Saltar para o conteudo
Avanet
Sophos Firewall v19.5 - Todas as novas funcionalidades nesta atualização

Sophos Firewall v19.5 - Todas as novas funcionalidades nesta atualização

2. DEZEMBRO 2022

Já se passaram alguns meses desde a última vez que tive tempo para escrever um artigo sobre a atualização do SFOS. No futuro, será melhor novamente. Por isso, estou ainda mais satisfeito em apresentar as novas funcionalidades e melhorias no SFOS 19.5.

A atualização é para todos os Sophos Firewalls das séries SG, XG e XGS e também para os appliances virtuais ou instâncias em plataformas cloud como Azure ou AWS.

Os seguintes modelos não receberão a atualização porque não possuem 4 GB de RAM: XG 85(w), XG 105(w), SG 105(w)

Vulnerabilidade de segurança CVE-2022-3236 é corrigida

Uma vulnerabilidade de injeção de código no portal do utilizador e no WebAdmin permite que um atacante execute código no Sophos Firewall, versão v19.0 MR1 e anteriores. CVE-2022-3236

Pesquisa de Hosts e Serviços

No SFOS v19, a pesquisa de objetos em regras de firewall foi massivamente melhorada. No entanto, a função de pesquisa ainda estava em falta em alguns locais, como nos objetos Hosts e Serviços. Aqui, é possível pesquisar por nome, portas ou endereços IP, o que também simplifica a localização de objetos duplicados.

Eliminar objetos duplicados, se ainda estiverem em uso, ainda não é tão fácil, pois não há indicação de onde esse objeto é usado.

Pesquisa de Hosts e Serviços Sophos Firewall v19.5
Pesquisa de Hosts e Serviços Sophos Firewall v19

Azure AD SSO para login Webadmin

O Azure AD já está disponível no Sophos Central há algum tempo. Com a v19.5, a integração do Azure Active Directory (Azure AD) chega agora ao Sophos Firewall para Single Sign-on (SSO) na consola Webadmin.

A integração do Azure AD também permite uma gestão dinâmica de funções e acessos de grupo. Assim, é possível criar perfis de direitos próprios na firewall ou utilizar os já existentes e atribuí-los a um utilizador no Azure AD.

Integração Sophos Firewall v19.5 Azure AD
Integração Sophos Firewall v19.5 Azure AD para login de Webadmin

A integração do Azure AD para o login do Webadmin é certamente um ótimo começo. Tornar-se-á emocionante quando os utilizadores de acesso remoto (SSLVPN ou IPsec) e o Portal do Utilizador também funcionarem com ele.

Melhorias de Alta Disponibilidade

Há também melhorias realmente boas para clusters HA. Uma pequena inovação, por exemplo, é a dica ao criar o cluster de que a licença deve estar presente no dispositivo primário ou, para um cluster Ativo-Ativo, que quase nunca usamos, a licença deve estar presente em ambos os appliances.

Sophos Firewall 19.5 Alta Disponibilidade criar cluster
Criação de cluster de alta disponibilidade Sophos Firewall v19.5

Agora é possível configurar múltiplos links HA e isso não apenas através de uma conexão direta, mas também através de LAGs e VLANs.

As interfaces VLAN também podem agora ser adicionadas à monitorização de interfaces.

Sophos Firewall 19.5 Alta Disponibilidade Página de status
Página de status de alta disponibilidade Sophos Firewall v19.5

A Página de Status agora fornece significativamente mais informações importantes. É visível em qual nó a licença está ativada. A data e a hora da última alteração de status do cluster. É possível atribuir um nome e não é mais necessário lembrar o número de série.

Sophos Firewall 19.5 Widget de alta disponibilidade
Widget de cluster de alta disponibilidade Sophos Firewall v19.5

O widget no Centro de Controlo moveu-se para o canto superior direito e também mostra mais informações sobre o cluster. O nome do separador agora também mostra a que nó se está a ligar, embora eu preferisse ver o nome do host da firewall aqui, uma vez que nunca me ligo ao Nó2 de qualquer forma.

Balanceamento de Carga SD-WAN

Desde a v19, existe o SD-WAN e, nas configurações da nova versão, é possível criar um balanceamento de carga. Os métodos disponíveis são Round Robin ou Session Persistence.

Round Robin

As ligações são distribuídas entre as ligações selecionadas com base no peso. Na captura de ecrã, ambos os gateways têm atualmente um peso de 1, resultando numa distribuição uniforme por ambos os gateways.

Persistência de Sessão

Com a Persistência de Sessão, pode-se definir se o tráfego deve ser dividido por IP de Origem, IP de Destino, ambos simultaneamente ou por ligação.

Opções de balanceamento de carga Sophos Firewall SD-WAN
Opções de balanceamento de carga Sophos Firewall SD-WAN

Esta inovação aplica-se ao perfil SD-WAN. É claro que se podem criar múltiplos perfis e utilizá-los de acordo com os requisitos da estratégia de routing com base na aplicação, origem, destino ou serviço.

Mais desempenho para todos os Sophos XGS Firewalls

Cada Appliance Sophos XGS possui uma arquitetura de processador duplo. A Sophos, no lançamento da série XGS, acelerou algumas conexões em dobro em comparação com a série XG. Foi anunciado que com as próximas atualizações de software, os processos seriam descarregados da CPU para a NPU para melhorar o desempenho. Com a versão 19.5, outros processos são tratados pelo Processador Xstream Flow e, assim, acelerados. Nesta versão, graças a este desenvolvimento, o número de túneis VPN IPsec nos modelos XGS foi simplesmente duplicado.

Nos modelos XGS 4300, 4500, 5500 e 6500, as ligações cifradas TLS são aceleradas no FastPath, tornando a inspeção profunda de pacotes ainda mais performática.

Outras pequenas melhorias em v19.5

OSPFv3

O novo motor de encaminhamento dinâmico oferece suporte para OSPFv3. Entre as inovações do OSPFv3 estão o suporte para IPv6, um tamanho de cabeçalho menor e a substituição do MD5 para autenticação. OSPFv3 dispensa completamente o seu próprio suporte de autenticação e, em vez disso, baseia-se na estrutura IPsec mais flexível do IPv6.

Registo

O armazenamento melhorado de ficheiros de registo permite uma resolução de problemas exaustiva.

Suporte de Hardware

Suporte melhorado para interfaces 40G com deteção automática de configurações de portas estendidas nos modelos XGS 5500 e 6500.

O suporte de hardware para os módulos 5G, que estava listado no EAP, já não está incluído na versão final v19.5. Suspeito, portanto, que os módulos chegarão um pouco mais tarde do que o esperado.

Vídeo sobre as inovações no Sophos Firewall OS v19.5

Como podem ver, a Sophos está agora a fazer um grande esforço para mostrar as novas funcionalidades em vídeos, o que consideramos muito interessante. Muitas vezes havia novas funcionalidades que passavam despercebidas nas notas de lançamento e apenas algumas pessoas reparavam. Para além do vídeo sobre funcionalidades individuais inserido acima, existe também um vídeo sobre o Sophos Firewall 19.5 como um todo.

As atualizações não serão mais gratuitas por muito tempo

Talvez a informação não tenha chegado a todos: As atualizações do Sophos Firewall deixarão de ser gratuitas no futuro

Agora teríamos a primeira atualização desde a versão 19.0 MR1 e o contador de atualizações gratuitas começa em três. Após a instalação, mais precisamente ao carregar a nova imagem de firmware 19.5, estará em dois.

Se analisarmos as inovações desta atualização, que, há que admitir, é uma atualização importante, vemos que estão a chegar muitas novas funcionalidades que tornarão o Sophos Firewall ainda melhor. Este desenvolvimento tem de ser pago e, como se sabe das aplicações para smartphones, muitos programadores estão a mudar para o modelo de subscrição para que este desenvolvimento seja pago.

Consequentemente, se o contador de firmware chegar a zero, é necessária uma licença de suporte aprimorado, que está incluída individualmente ou em um pacote de licenças como Standard Protection, Xstream Protection ou Epic Protection.

Contador de atualizações de firmware gratuitas do Sophos Firewall
Contador Sophos Firewall para atualizações gratuitas
Patrizio

Patrizio

Patrizio e um especialista de redes experiente, focado em firewalls Sophos, switches e pontos de acesso. Apoia clientes e equipas de TI na configuracao, na migracao e numa segmentacao de rede limpa.