Sophos Firewall v20 MR1: Novas Funcionalidades e Melhorias

A Sophos Firewall v20 MR1 traz uma variedade de novas funções e melhorias que aumentam ainda mais a segurança e o desempenho da firewall. Aqui estão as inovações mais importantes em detalhe:

⚠️ Importante para todos os utilizadores de RED 15 e RED 50 que ainda não atualizaram para SD-RED 20 ou SD-RED 60. A mensagem de que os REDs estão em Fim de Vida tem sido exibida na firewall há algum tempo. Após esta atualização, os modelos antigos de RED ainda serão visíveis no WebAdmin, mas já não se ligarão à firewall.

Deteção automática de idioma no login

Logo após o arranque com o novo firmware Sophos Firewall v20 MR1, vê a primeira mudança. Se é bom ou mau, cada um pode decidir por si mesmo, no que me diz respeito, prefiro o último.

O idioma para o portal de administração é determinado automaticamente com base nas definições do navegador. Isto é então também guardado como um cookie.

Segurança da Firewall e Controlo de Acesso Melhorados

Com a nova versão, obtém um controlo ainda mais preciso sobre quais serviços estão acessíveis na WAN. Isso melhora significativamente a postura de segurança da sua firewall. O que não é visível não pode ser atacado.

Novas opções de configuração para IPsec VPN e RED foram adicionadas:

Novos serviços na lista de exceções de ACL local

No entanto, ainda pode haver muita superfície de ataque por trás de uma zona, e é por isso que é aconselhável definir o acesso ainda mais precisamente na “Regra de exceção de ACL de serviço local”.

Os seguintes serviços foram adicionados à lista de exceções: AD SSO, Portal cativo, RADIUS SSO, Autenticação de Cliente, Wireless, SMTP, RED, IPsec e, por último mas não menos importante, Chromebook, embora eu nunca tenha visto um Chromebook exceto no YouTube 🤷‍♂️.

Exceções de controlo de acesso mais flexíveis

Com a nova versão da Sophos Firewall v20 MR1, a flexibilidade das exceções de controlo de acesso é significativamente melhorada e expandida por três objetos principais.

• Suporte para hosts FQDN: Agora pode usar nomes de domínio totalmente qualificados (FQDNs) em regras de exceção. Isso permite um controlo mais preciso sobre o tráfego controlando o acesso a domínios específicos com base nos seus nomes em vez de apenas endereços IP. Tenho estado à espera desta funcionalidade (que estava disponível no UTM 🤐) há muito tempo.
• Grupos de hosts: A capacidade de definir e usar grupos de hosts oferece uma flexibilidade estendida na gestão de regras de acesso. Pode agrupar vários hosts e depois usar este grupo nas suas regras de exceção.
• Endereços MAC: Além de endereços IP, endereços MAC agora também podem ser incluídos em exceções de controlo de acesso. Isso fornece uma camada adicional de controlo, particularmente útil em redes com muitos endereços IP dinâmicos ou em mudança.

Zero-Touch Deployment

Zero-Touch Deployment é uma funcionalidade avançada da Sophos Firewall v20 MR1.

Em muitos casos, nós na Avanet substituímos as firewalls existentes 1:1 por novas, e é importante que isso aconteça rapidamente e com interrupções mínimas. Geralmente, pré-configuramos o dispositivo no nosso escritório e depois enviamo-lo para o cliente, onde apenas precisa de ser substituído.

No passado, o Zero-Touch Deployment exigia uma pen USB para transferir o ficheiro de configuração para a firewall. Com a nova versão, no entanto, isso já não é necessário, pois toda a configuração pode ser feita via Sophos Central.

Aqui estão os passos e as melhorias em detalhe:

1. Inserir número de série: O número de série da nova firewall é inserido no Sophos Central. Isso serve para identificar e inicializar a firewall.
2. Definir configuração básica: É definida uma configuração básica que é aplicada quando a firewall é iniciada pela primeira vez. Isso inclui configurações importantes como fuso horário, nome de host da firewall e configurações de rede para LAN e WAN.
3. Estabelecer ligação à Internet: A firewall é simplesmente ligada à rede no local, pelo que se liga automaticamente ao Sophos Central e descarrega a configuração predefinida.
4. Ativar Gestão de Firewall: Após a ligação ao Sophos Central, a firewall é automaticamente configurada e pronta a usar. Os administradores podem então fazer mais configurações e ajustes finos diretamente via Sophos Central.

Este método reduz significativamente o tempo e a complexidade da instalação. Além disso, a firewall pode ser usada imediatamente assim que estiver ligada à Internet, acelerando todo o processo.

Vantagens do Zero-Touch Deployment

• Implementação rápida: Ideal para locais onde não há pessoal de TI no local. A firewall pode ser configurada e pronta a usar imediatamente após a ligação à rede.
• Gestão centralizada: Todos os passos de configuração são realizados via Sophos Central, permitindo uma gestão uniforme e consistente.
• Interrupções mínimas: Uma vez que a configuração é predefinida e aplicada automaticamente, o tempo de inatividade é mínimo, o que é particularmente vantajoso em ambientes críticos para o negócio.
• Personalização fácil: Após a configuração inicial, mais ajustes e configurações podem ser feitos centralmente sem que um técnico tenha de estar no local.

Com o Zero-Touch Deployment, a Sophos oferece uma solução eficiente para o deploy e configuração de firewalls que poupa tempo e maximiza a disponibilidade da rede.

• Sophos KB: Add Sophos Firewall with Zero Touch

Descarregar ficheiros de log para resolução de problemas

Com a Sophos Firewall v20 MR1, agora é possível descarregar ficheiros de log individuais diretamente da firewall. Esta função simplifica a resolução de problemas, uma vez que já não tem de aceder à firewall via uma ligação SSH para obter os dados necessários.

Sob o item de menu principal Diagnostics, encontrará a opção Troubleshooting Logs. Aqui, os administradores podem pesquisar especificamente por certos logs e selecionar vários logs simultaneamente. A Sophos Firewall oferece então um ficheiro ZIP para descarregar contendo todos os logs selecionados. Estes ficheiros podem ser abertos e analisados num cliente local.

Cada ligação IPsec Site-to-Site e ligação RED individual recebe o seu próprio log. Isso permite uma análise detalhada e específica sem ter de recorrer a métodos complicados. Isso torna a gestão e manutenção da firewall mais eficientes e fáceis de usar.

Campos de descrição para objetos

Todos os objetos sob “Host & Services” recebem agora um campo de descrição. Isso inclui hosts IP, grupos de hosts IP, endereços MAC e outros objetos de rede. A capacidade de adicionar uma descrição detalhada a cada objeto melhora significativamente a documentação.

Esta função permite que informações importantes sejam armazenadas diretamente na firewall. Por exemplo, ao criar um novo host IP, pode adicionar imediatamente uma descrição explicando o propósito e uso do host. Isso é particularmente útil quando vários administradores gerem a firewall ou quando é necessária uma documentação precisa.

Uma descrição também pode conter links para mais informações, como uma base de conhecimento ou um documento PDF fornecendo detalhes específicos sobre o objeto em questão. Isso aumenta a rastreabilidade e facilita futuras tarefas administrativas. Assim, uma porta de serviço usada apenas para uma aplicação específica pode ser fornecida diretamente com informações e contexto relevantes, aumentando significativamente a eficiência e clareza na gestão da rede.

A descrição também é indexada para permitir a pesquisa.

Assistente de Firewall de IA Generativa

Hoje em dia, simplesmente não é fixe como empresa se não mencionar IA. Há alguns anos era blockchain.

Um novo Assistente Sophos alimentado por IA generativa está integrado para o ajudar a gerir a sua firewall. Pode fazer qualquer pergunta ao assistente em linguagem simples e receber instruções e links para recursos úteis.

Nada mau para uma primeira versão, mas acho que imaginamos a IA de forma diferente do que apenas uma pesquisa ligeiramente melhor?

Atualização OpenVPN para v2.6.0

O componente OpenVPN da Sophos Firewall foi atualizado para a versão 2.6.0. Isso melhora a segurança e o desempenho para SSL VPN. VPNs SSL Site-to-Site com versões mais antigas já não são suportadas. Recomenda-se atualizar para v20.0 MR1 ou usar soluções VPN alternativas como IPsec.

Além disso, a versão mais recente do cliente Sophos Connect (v2.3) pode ser descarregada através do portal VPN:

• Instalar Cliente Sophos Connect SSL VPN (Windows) – SFOS
• Comunidade Sophos: Sophos Connect 2.3 Update Released
• Comunidade Sophos: Sophos Connect News and Release Notes

Notas importantes sobre compatibilidade SSL VPN

Devido à atualização para OpenVPN 2.6.0 nesta versão, túneis SSL VPN deixarão de ser estabelecidos com os seguintes clientes e versões de firewall:

• SFOS v18.5 e versões anteriores: VPNs SSL Site-to-Site deixarão de poder ser estabelecidas. Recomenda-se atualizar todas as firewalls relevantes para v20.0 MR1 ou usar túneis IPsec ou RED Site-to-Site.
• Cliente SSL VPN legado: Túneis SSL VPN de Acesso Remoto deixarão de ser estabelecidos com o Cliente SSL VPN obsoleto. Use o Cliente Sophos Connect ou clientes de terceiros como o Cliente OpenVPN.
• UTM9 OS: VPNs SSL Site-to-Site deixarão de poder ser estabelecidas entre UTM9 OS e SFOS v20.0 MR1. Recomenda-se migrar estes dispositivos para v20.0 MR1 ou usar túneis IPsec ou RED Site-to-Site.

Melhorias em SD-WAN e VPN

A nova versão da Sophos Firewall v20 MR1 traz melhorias importantes na área de SD-WAN e VPN, que aumentam significativamente tanto a fiabilidade como o desempenho.

• Interrupções de tráfego mínimas: A disponibilidade do gateway durante failover HA e reinícios de dispositivos foi melhorada quatro vezes. Isso significa que, no caso de uma falha de gateway ou reinício de dispositivo, as interrupções no tráfego de dados são significativamente minimizadas, levando a uma ligação de rede mais estável.
• Novo Cliente OpenVPN 3.0: O novo Cliente OpenVPN 3.0 para SSL VPN de Acesso Remoto está agora disponível para download através do portal VPN. Este cliente oferece funcionalidades de segurança melhoradas e maior compatibilidade com vários sistemas operativos, simplificando a configuração e gestão de ligações VPN e melhorando a experiência do utilizador.
• Suporte IPsec Phase-1 IKEv2: Foi adicionado suporte para cifras GCM e Suite-B, melhorando a interoperabilidade e o rendimento para ligações IPsec. Estes métodos de encriptação modernos garantem uma transmissão de dados mais segura e eficiente entre dispositivos de rede.
• Melhorias no DHCP Busybox: O tempo de concessão padrão para DHCP foi definido para 30 segundos para eliminar problemas de ligação WAN. Tempos de concessão mais curtos significam que os endereços IP são atribuídos e renovados mais rapidamente, levando a uma ligação de rede mais estável e fiável, especialmente em ambientes com ligações que mudam frequentemente.

Instalar Sophos Firewall v20 MR1

Para instalar a versão de firmware mais recente, é necessária uma licença de Suporte Melhorado, a menos que a firewall tenha acabado de ser comprada nova e ainda tenha uma licença de avaliação: Atualizações da Sophos Firewall deixarão de ser gratuitas no futuro

Este guia descreve como instalar a versão mais recente na sua firewall e descarregar a imagem: Atualização de firmware na Sophos Firewall

Mais informações sobre o lançamento podem ser encontradas na Comunidade Sophos - Sophos Firewall OS v20 MR1 is Now Available