Saltar para o conteudo
Avanet
Sophos Firewall v20 MR1: Novas Funcionalidades e Melhorias

Sophos Firewall v20 MR1: Novas Funcionalidades e Melhorias

A Sophos Firewall v20 MR1 traz uma série de novas funções e melhorias que aumentam ainda mais a segurança e o desempenho da firewall. Aqui estão as novidades mais importantes em detalhe:

⚠️ Importante para todos os utilizadores de RED 15 e RED 50 que ainda não atualizaram para SD-RED 20 ou SD-RED 60. A mensagem de que as REDs estão End of Life já é apresentada na firewall há algum tempo. Depois desta atualização, os modelos RED antigos continuam visíveis no WebAdmin, mas deixam de se ligar à firewall.

Deteção automática de idioma no login

Logo após o arranque com o novo firmware Sophos Firewall v20 MR1, vê-se a primeira alteração. Se é boa ou má, cada um decide por si; para mim, tende mais para a segunda opção.

O idioma do portal de administração é determinado automaticamente com base nas definições do browser. Essa escolha é depois guardada também como cookie.

Página de login de administração da Sophos Firewall v20 MR1
Página de login de administração da Sophos Firewall v20 MR1

Segurança da firewall e controlo de acesso melhorados

Com a nova versão, obtém-se um controlo ainda mais granular sobre os serviços acessíveis na WAN. Isto melhora significativamente a postura de segurança da firewall. O que não está visível também não pode ser atacado.

Foram adicionadas novas opções de configuração para IPsec VPN e RED:

Sophos Firewall v20 MR1 Local service ACL
Sophos Firewall v20 MR1 Local service ACL

Novos serviços na lista de exceções da Local ACL

Atrás de uma zona pode continuar a existir uma superfície de ataque considerável, por isso é recomendável definir o acesso com ainda mais precisão nas “Local service ACL exception rule”.

Foram adicionados os seguintes serviços à lista de exceções: AD SSO, Captive Portal, RADIUS SSO, Client Authentication, Wireless, SMTP, RED, IPsec e, por fim, Chromebook, embora eu nunca tenha visto um Chromebook fora do YouTube 🤷‍♂️.

Sophos Firewall v20 MR1 Local service ACL exception rules
Sophos Firewall v20 MR1 Local service ACL exception rules

Exceções de controlo de acesso mais flexíveis

Com a nova versão da Sophos Firewall v20 MR1, a flexibilidade das exceções de controlo de acesso melhora significativamente e passa a incluir três objetos importantes.

  • Suporte para hosts FQDN: Agora pode usar nomes de domínio totalmente qualificados (FQDNs) nas regras de exceção. Isto permite um controlo mais preciso do tráfego, ao gerir o acesso a determinados domínios com base no nome e não apenas em endereços IP. Eu esperava há muito tempo por esta funcionalidade (que existia na UTM 🤐).
  • Grupos de hosts: A possibilidade de definir e utilizar grupos de hosts oferece mais flexibilidade na gestão de regras de acesso. Pode agrupar vários hosts e usar esse grupo nas regras de exceção.
  • Endereços MAC: Além de endereços IP, também é agora possível incluir endereços MAC nas exceções de controlo de acesso. Isto oferece uma camada adicional de controlo, especialmente útil em redes com muitos endereços IP dinâmicos ou variáveis.

Zero-Touch Deployment

Zero-Touch Deployment é uma funcionalidade avançada da Sophos Firewall v20 MR1.

Em muitos casos, nós na Avanet substituímos as firewalls existentes 1:1 por novas, e é importante que isso aconteça rapidamente e com interrupções mínimas. Normalmente pré-configuramos o equipamento no nosso escritório e enviamo-lo depois ao cliente, onde apenas precisa de ser trocado.

No passado, o Zero-Touch Deployment exigia uma pen USB para transferir o ficheiro de configuração para a firewall. Com a nova versão, isso já não é necessário, porque toda a configuração pode ser feita através do Sophos Central.

Aqui estão os passos e as melhorias em detalhe:

  1. Introduzir o número de série: O número de série da nova firewall é introduzido no Sophos Central. Isto serve para identificar e inicializar a firewall.
  2. Definir a configuração básica: É definida uma configuração básica que será aplicada no primeiro arranque da firewall. Esta inclui definições importantes como fuso horário, hostname da firewall e configurações de rede para LAN e WAN.
  3. Estabelecer ligação à Internet: No local, a firewall é simplesmente ligada à rede, estabelecendo automaticamente ligação ao Sophos Central e descarregando a configuração predefinida.
  4. Ativar Firewall Management: Após a ligação ao Sophos Central, a firewall é configurada automaticamente e fica pronta a ser utilizada. Os administradores podem então fazer outras definições e ajustes diretamente através do Sophos Central.

Este método reduz significativamente o tempo necessário e a complexidade da instalação. Além disso, a firewall pode ser utilizada assim que estiver ligada à Internet, o que acelera todo o processo.

Vantagens do Zero-Touch Deployment

  • Implementação rápida: Ideal para locais onde não há equipa de TI no local. A firewall pode ser configurada e colocada em funcionamento imediatamente após ser ligada à rede.
  • Gestão centralizada: Todos os passos de configuração são realizados através do Sophos Central, permitindo uma gestão uniforme e consistente.
  • Interrupções mínimas: Como a configuração é definida antecipadamente e aplicada automaticamente, os tempos de indisponibilidade são mínimos, o que é particularmente vantajoso em ambientes críticos para o negócio.
  • Adaptação simples: Após a configuração inicial, outros ajustes e definições podem ser feitos centralmente, sem que um técnico tenha de estar no local.

Com o Zero-Touch Deployment, a Sophos oferece uma solução eficiente para a implementação e configuração de firewalls, poupando tempo e maximizando a disponibilidade da rede.

Descarregar ficheiros de log para troubleshooting

Com a Sophos Firewall v20 MR1, passa a ser possível descarregar ficheiros de log individuais diretamente da firewall. Esta função simplifica o troubleshooting, porque deixa de ser necessário aceder à firewall por SSH para obter os dados necessários.

No ponto de menu principal Diagnostics, encontra-se a opção Troubleshooting Logs. Aqui, os administradores podem procurar logs específicos e selecionar vários logs em simultâneo. A Sophos Firewall disponibiliza então para download um ficheiro ZIP que contém todos os logs selecionados. Estes ficheiros podem ser abertos e analisados num cliente local.

Sophos Firewall v20 MR1 - Descarregar logs
Sophos Firewall v20 MR1 - Descarregar logs

Cada ligação IPsec Site-to-Site e cada ligação RED individual recebe o seu próprio log. Isto permite uma análise detalhada e específica sem recorrer a métodos mais trabalhosos. Assim, a gestão e a manutenção da firewall tornam-se mais eficientes e mais simples para o utilizador.

Sophos Firewall v20 MR1 - Logs para IPsec S2S ou qualquer RED
Sophos Firewall v20 MR1 - Logs para IPsec S2S ou qualquer RED

Campos de descrição para objetos

Todos os objetos em “Host & Services” recebem agora um campo de descrição. Isto inclui IP hosts, grupos de IP hosts, endereços MAC e outros objetos de rede. A possibilidade de adicionar uma descrição detalhada a cada objeto melhora significativamente a documentação.

Esta função permite guardar informações importantes diretamente na firewall. Por exemplo, ao criar um novo IP host, pode adicionar imediatamente uma descrição que explique a finalidade e a utilização desse host. Isto é particularmente útil quando vários administradores gerem a firewall ou quando é necessária uma documentação precisa.

Descrição de objeto da Sophos Firewall v20 MR1
Descrição de objeto da Sophos Firewall v20 MR1

Uma descrição também pode conter links para informações adicionais, por exemplo uma Knowledge Base ou um documento PDF com detalhes específicos sobre o objeto em questão. Isto aumenta a rastreabilidade e facilita futuras tarefas administrativas. Assim, uma porta de serviço utilizada apenas por uma aplicação específica pode receber diretamente informações e contexto relevantes, aumentando significativamente a eficiência e a clareza na gestão da rede.

A descrição também é indexada para permitir a pesquisa.

Generative AI Firewall Assistant

Hoje em dia, uma empresa simplesmente já não é fixe se não mencionar IA. Há alguns anos era blockchain.

Está integrado um novo Sophos Assistant com IA generativa para o ajudar a gerir a sua firewall. Pode fazer qualquer pergunta ao assistente em linguagem simples e recebe instruções e links para recursos úteis.

Sophos Firewall v20 MR1 - Assistente com um pouco de IA
Sophos Firewall v20 MR1 - Assistente com um pouco de IA

Nada mau para uma primeira versão, mas penso que imaginamos IA de outra forma, e não apenas como uma pesquisa um pouco melhor.

Upgrade do OpenVPN para v2.6.0

O componente OpenVPN da Sophos Firewall foi atualizado para a versão 2.6.0. Isto melhora a segurança e o desempenho para SSL VPN. As Site-to-Site SSL VPNs com versões mais antigas deixam de ser suportadas. Recomenda-se atualizar para v20.0 MR1 ou utilizar soluções VPN alternativas como IPsec.

Além disso, a versão mais recente do Sophos Connect Client (v2.3) pode ser descarregada através do VPN Portal:

Notas importantes sobre a compatibilidade SSL VPN

Devido ao upgrade para OpenVPN 2.6.0 nesta versão, os túneis SSL VPN deixam de ser estabelecidos com os seguintes clientes e versões de firewall:

  • SFOS v18.5 e versões anteriores: As Site-to-Site SSL VPNs deixam de poder ser estabelecidas. Recomenda-se atualizar todas as firewalls relevantes para v20.0 MR1 ou usar Site-to-Site IPsec ou túneis RED.
  • Legacy SSL VPN Client: Os túneis Remote Access SSL VPN deixam de ser estabelecidos com o antigo SSL VPN Client. Utilize o Sophos Connect Client ou clientes de terceiros, como o OpenVPN Client.
  • UTM9 OS: As Site-to-Site SSL VPNs deixam de poder ser estabelecidas entre UTM9 OS e SFOS v20.0 MR1. Recomenda-se migrar estes equipamentos para v20.0 MR1 ou usar Site-to-Site IPsec ou túneis RED.

Melhorias em SD-WAN e VPN

A nova versão da Sophos Firewall v20 MR1 traz melhorias importantes nas áreas de SD-WAN e VPN, aumentando significativamente tanto a fiabilidade como o desempenho.

  • Interrupções mínimas de tráfego: A disponibilidade dos gateways durante HA failover e reinícios de equipamentos foi melhorada por um fator de quatro. Isto significa que, em caso de falha de um gateway ou reinício de um equipamento, as interrupções no tráfego são significativamente reduzidas, resultando numa ligação de rede mais estável.
  • Novo OpenVPN 3.0 Client: O novo OpenVPN 3.0 Client para Remote Access SSL VPN está agora disponível para download através do VPN Portal. Este client oferece funções de segurança melhoradas e maior compatibilidade com vários sistemas operativos, simplificando a configuração e gestão de ligações VPN e melhorando a experiência do utilizador.
  • Suporte para IPsec Phase-1 IKEv2: Foi adicionado suporte para cifras GCM e Suite-B, o que melhora a interoperabilidade e o débito em ligações IPsec. Estes métodos modernos de encriptação garantem uma transmissão de dados mais segura e eficiente entre dispositivos de rede.
  • Melhorias em DHCP Busybox: O tempo de lease predefinido para DHCP foi fixado em 30 segundos para eliminar problemas de ligação WAN. Tempos de lease mais curtos significam que os endereços IP são atribuídos e renovados mais rapidamente, resultando numa ligação de rede mais estável e fiável, especialmente em ambientes com ligações que mudam com frequência.

Instalar a Sophos Firewall v20 MR1

Para instalar a versão de firmware mais recente, é necessária uma licença Enhanced Support, exceto se a firewall tiver sido comprada recentemente e ainda dispuser de uma licença de avaliação: Atualizações da Sophos Firewall deixarão de ser gratuitas no futuro

Este guia descreve como instalar a versão mais recente na sua firewall e descarregar a imagem: Atualização do firmware na Sophos Firewall

Mais informações sobre o release encontram-se na Sophos Community - Sophos Firewall OS v20 MR1 is Now Available

Patrizio

Patrizio

Patrizio e um especialista de redes experiente, focado em firewalls Sophos, switches e pontos de acesso. Apoia clientes e equipas de TI na configuracao, na migracao e numa segmentacao de rede limpa.