Saltar para o conteudo
Avanet
Sophos Firewall v19.5 - Todas as novas funcionalidades nesta atualização

Sophos Firewall v19.5 - Todas as novas funcionalidades nesta atualização

Já passaram alguns meses desde a última vez que tive tempo para escrever um artigo sobre uma atualização do SFOS. No futuro, isso voltará a melhorar. Por isso, fico ainda mais satisfeito por apresentar as novas funcionalidades e melhorias do SFOS 19.5.

A atualização destina-se a todos os Sophos Firewalls das séries SG, XG e XGS, bem como a appliances virtuais ou instâncias em plataformas cloud como Azure ou AWS.

Os seguintes modelos não receberão a atualização porque não possuem 4 GB de RAM: XG 85(w), XG 105(w), SG 105(w)

Vulnerabilidade de segurança CVE-2022-3236 é corrigida

Uma vulnerabilidade de injeção de código no portal do utilizador e no WebAdmin permite que um atacante execute código no Sophos Firewall, versão v19.0 MR1 e anteriores. CVE-2022-3236

Pesquisa de Hosts e Serviços

No SFOS v19, a pesquisa de objetos em regras de firewall foi massivamente melhorada. No entanto, a função de pesquisa ainda estava em falta em alguns locais, como nos objetos Hosts e Serviços. Aqui, é possível pesquisar por nome, portas ou endereços IP, o que também simplifica a localização de objetos duplicados.

Eliminar objetos duplicados quando ainda estão em uso continua a não ser assim tão simples, pois não há indicação de onde o objeto está a ser utilizado.

Pesquisa de Hosts e Serviços Sophos Firewall v19.5
Pesquisa de Hosts e Serviços Sophos Firewall v19

Azure AD SSO para login Webadmin

O Azure AD já está disponível no Sophos Central há algum tempo. Com a v19.5, a integração do Azure Active Directory (Azure AD) chega agora ao Sophos Firewall para Single Sign-on (SSO) na consola Webadmin.

A integração do Azure AD também permite uma gestão dinâmica de funções e acessos de grupo. Assim, é possível criar perfis de direitos próprios na firewall ou utilizar os já existentes e atribuí-los a um utilizador no Azure AD.

Integração Sophos Firewall v19.5 Azure AD
Integração Sophos Firewall v19.5 Azure AD para login de Webadmin

A integração do Azure AD para o login no Webadmin é certamente um ótimo começo. Ficará realmente interessante quando os utilizadores de acesso remoto (SSL VPN ou IPsec) e o Portal do Utilizador também funcionarem com esta integração.

Melhorias de Alta Disponibilidade

Há também melhorias realmente boas para clusters HA. Uma pequena inovação, por exemplo, é a dica ao criar o cluster de que a licença deve estar presente no dispositivo primário ou, para um cluster Ativo-Ativo, que quase nunca usamos, a licença deve estar presente em ambos os appliances.

Sophos Firewall 19.5 Alta Disponibilidade criar cluster
Criação de cluster de alta disponibilidade Sophos Firewall v19.5

Agora é possível configurar múltiplos links HA e isso não apenas através de uma conexão direta, mas também através de LAGs e VLANs.

As interfaces VLAN também podem agora ser adicionadas à monitorização de interfaces.

Sophos Firewall 19.5 Alta Disponibilidade Página de status
Página de status de alta disponibilidade Sophos Firewall v19.5

A página de estado fornece agora muito mais informações importantes. É possível ver em que nó a licença está ativada, incluindo a data e hora da última alteração de estado do cluster. Também é possível atribuir um nome, deixando de ser necessário memorizar o número de série.

Sophos Firewall 19.5 Widget de alta disponibilidade
Widget de cluster de alta disponibilidade Sophos Firewall v19.5

O widget no Control Center passou para o canto superior direito e também mostra mais informações sobre o cluster. O nome do separador indica agora a que nó se está ligado, embora eu preferisse ver aqui o hostname da firewall, já que, de qualquer forma, nunca inicio sessão no Node2.

Balanceamento de Carga SD-WAN

Desde a v19 existe SD-WAN e, nos perfis da nova versão, é possível configurar Load Balancing. Os métodos disponíveis são Round Robin ou Session Persistence.

Round Robin

As ligações são distribuídas entre as ligações selecionadas com base no peso. Na captura de ecrã, ambos os gateways têm atualmente um peso de 1, resultando numa distribuição uniforme por ambos os gateways.

Persistência de Sessão

Com Session Persistence, é possível definir se o tráfego deve ser distribuído por Source-IP, Destination-IP, ambos em simultâneo ou por ligação.

Opções de balanceamento de carga Sophos Firewall SD-WAN
Opções de balanceamento de carga Sophos Firewall SD-WAN

Esta novidade aplica-se ao perfil SD-WAN. Naturalmente, é possível criar vários perfis e utilizá-los conforme os requisitos da estratégia de routing, com base na aplicação, origem, destino ou serviço.

Mais desempenho para todos os Sophos XGS Firewalls

Cada Sophos XGS Appliance tem uma arquitetura de processador duplo. No lançamento da XGS-Series, a Sophos acelerou algumas ligações para o dobro em comparação com a XG-Series. Foi anunciado que, com futuras atualizações de software, processos seriam transferidos da CPU para a NPU para melhorar o desempenho. Com a versão 19.5, outros processos passam a ser tratados pelo Xstream Flow Processor e, por isso, acelerados. Nesta versão, graças a esta evolução, o número de túneis VPN IPsec nos modelos XGS foi simplesmente duplicado.

Nos modelos XGS 4300, 4500, 5500 e 6500, as ligações encriptadas por TLS são aceleradas no FastPath, tornando a Deep Packet Inspection ainda mais eficiente.

Outras pequenas melhorias em v19.5

OSPFv3

O novo motor de routing dinâmico oferece suporte para OSPFv3. Entre as novidades do OSPFv3 estão o suporte para IPv6, um tamanho de cabeçalho menor e a dispensa de MD5 para autenticação. O OSPFv3 abdica totalmente de suporte próprio para autenticação e recorre, em vez disso, ao framework IPsec mais flexível do IPv6.

Registo

O armazenamento melhorado de ficheiros de registo permite uma resolução de problemas exaustiva.

Suporte de Hardware

Suporte melhorado para interfaces 40G com deteção automática de configurações de portas estendidas nos modelos XGS 5500 e 6500.

O suporte de hardware para os módulos 5G, que estava listado no EAP, já não está incluído na versão final v19.5. Suspeito, portanto, que os módulos chegarão um pouco mais tarde do que o esperado.

Vídeo sobre as inovações no Sophos Firewall OS v19.5

Como podem ver, a Sophos está agora a fazer um grande esforço para mostrar as novas funcionalidades em vídeos, o que achamos muito positivo. Muitas vezes havia novas funcionalidades que se perdiam nas release notes e poucas pessoas reparavam nelas. Além dos vídeos sobre funcionalidades individuais inseridos acima, existe também um vídeo sobre o Sophos Firewall 19.5 como um todo.

As atualizações não serão mais gratuitas por muito tempo

Talvez a informação não tenha chegado a todos: As atualizações do Sophos Firewall deixarão de ser gratuitas no futuro

Agora teríamos a primeira atualização desde a versão 19.0 MR1 e o contador de atualizações gratuitas começa em três. Após a instalação, mais precisamente ao carregar a nova imagem de firmware 19.5, estará em dois.

Se analisarmos as inovações desta atualização, que, há que admitir, é uma atualização importante, vemos que estão a chegar muitas novas funcionalidades que tornarão o Sophos Firewall ainda melhor. Este desenvolvimento tem de ser pago e, como se sabe das aplicações para smartphones, muitos programadores estão a mudar para o modelo de subscrição para que este desenvolvimento seja pago.

Consequentemente, quando o contador de firmware chegar a zero, será necessária uma licença Enhanced Support, disponível individualmente ou incluída num pacote de licenças como Standard Protection, Xstream Protection ou Epic Protection.

Contador de atualizações de firmware gratuitas do Sophos Firewall
Contador Sophos Firewall para atualizações gratuitas
Patrizio

Patrizio

Patrizio e um especialista de redes experiente, focado em firewalls Sophos, switches e pontos de acesso. Apoia clientes e equipas de TI na configuracao, na migracao e numa segmentacao de rede limpa.