Saltar para o conteudo
Avanet
Sophos UTM Update v9.6 lançado

Sophos UTM Update v9.6 lançado

23. NOVEMBRO 2018

A Sophos disponibilizou a versão 9.600 do firmware UTM. Abaixo encontra um resumo das principais alterações da versão 9.6:

Integração Let’s Encrypt

Há muito que a integração do Let’s Encrypt na UTM era um pedido recorrente. Com a versão 9.6, a espera chega finalmente ao fim. Os certificados podem ser criados através da WAF e são renovados automaticamente.

Dica: se tiver configurado uma regra DNAT para HTTP, terá de a desativar na interface onde o Let’s Encrypt é usado. O Country Blocking também pode interferir – nesse caso, crie uma exceção adequada.

ATP: nova biblioteca Advanced Threat Protection

O Advanced Threat Protection passa a utilizar uma nova biblioteca, melhorando ainda mais o nível de proteção e o desempenho.

RED: novo firmware

Os modelos RED 15 e RED 50 recebem um novo firmware com drivers atualizados para dongles USB 3G/4G, o que melhora o suporte para este tipo de dispositivos.

Sandstorm: carregamento manual de ficheiros e relatórios

Os administradores podem agora carregar manualmente ficheiros para o Sophos Sandstorm, de forma a executá‑los e analisá‑los. Desta forma, é possível examinar também ficheiros que não chegaram por email nem por download web. O módulo de reporting do Sandstorm foi igualmente melhorado e fornece dados mais detalhados para períodos específicos.

SMTP Proxy: melhorias

O proxy SMTP passa a suportar o „Submission Port” e oferece um endereço de escuta configurável.

WAF: páginas de erro personalizadas

Todas as páginas de erro devolvidas pela WAF podem agora ser personalizadas, permitindo, por exemplo, aplicar a identidade visual da sua organização em todas as páginas.

Desilusão em torno de IKEv2

O suporte a IKEv2 tem sido repetidamente solicitado pela comunidade. Segundo a Sophos, já não foi possível integrar IKEv2 na UTM 9.6. Sendo realistas: é pouco provável que IKEv2 venha a ser implementado na UTM. Ao analisar a roadmap da XG, percebe‑se que ela está bastante preenchida e que aí reside o foco principal de desenvolvimento. A roadmap da UTM, por comparação, é muito mais modesta.

Se precisa mesmo de IKEv2, recomendamos que considere uma migração para o novo sistema SFOS. Se utiliza um appliance SG, não há custos adicionais de hardware e o tempo restante de licença é mantido. Caso necessite de apoio na migração, teremos todo o gosto em ajudar. À data deste artigo (23‑11‑2018), não instalamos novas UTMs há cerca de um ano e meio – apenas XGs – e os nossos conhecimentos de UTM são utilizados quase exclusivamente em migrações para SFOS.

Nota: durante a atualização o sistema UTM é reiniciado e a configuração é atualizada. Tenha em atenção que os equipamentos RED e access points ligados recebem igualmente novo firmware.

Importante: após atualizar para UTM 9.6, o antigo template HTML da página de aviso de conteúdo do proxy HTTP deixa de funcionar corretamente. Descarregue os novos templates, adapte‑os às suas necessidades e volte a carregá‑los na UTM. Mais detalhes em: KBA133167 - Sophos UTM: Changes to customized web templates in 9.6.

Correções de bugs

  • NUTM-10128 [Access & Identity] MDW waits hours for lock on shared cache with AUA
  • NUTM-10130 [Access & Identity] Unable to connect RDP type bookmark with NLA
  • NUTM-7418 [Access & Identity] SAA - Rename Client Auth CA
  • NUTM-9368 [Access & Identity] SSL VPN: optional user auth not working
  • NUTM-9525 [Access & Identity] Disk filling up with argos error messages in endpoint.log
  • NUTM-9843 [Access & Identity] HTML5 VPN portal connections periodically stop working until service is restarted
  • NUTM-10080 [Basesystem] Update to latest Avira SAVAPI version
  • NUTM-10366 [Basesystem] Missing IP address in IPset of user network for STAS
  • NUTM-9783 [Basesystem] IPsec routing issue if gateway interface has additional addresses
  • NUTM-9810 [Basesystem] IPset Object takes 30 seconds to update after SSL VPN connection was established
  • NUTM-9860 [Basesystem] Selfmon trying to start DHCP even when not in use
  • NUTM-10226 [Email] Can’t release POP3 messages due to URL in User Portal
  • NUTM-9681 [Email] cssd coredumps and root partition is filling up
  • NUTM-9716 [Email] S/MIME encryption - automatic certificate extraction causing high load / no webadmin access
  • NUTM-9733 [Email] Change default encryption algorithm to ‘smime’
  • NUTM-9853 [Email] Fix policy traversal (for gpg, smime, unscanable)
  • NUTM-9882 [Email] Umlauts in mail addresses get corrupted if SPX encryption is used
  • NUTM-10181 [Network] Remove DNSdynamic from available dynamic DNS providers
  • NUTM-10307 [Network] ATP exception still working after deletion
  • NUTM-10337 [Network] High CPU load by AFCd when hotspot is enabled
  • NUTM-10414 [Network] Segfault in oculusd
  • NUTM-2791 [Network] Fix detection of sub applications in Application Control
  • NUTM-4767 [Network] SSH for single host skipping AFC check
  • NUTM-9462 [Network] Update to BIND 9.11 ESV
  • NUTM-10197 [RED] All REDs disconnect intermittently
  • NUTM-10227 [RED] Offline provisioning does not work
  • NUTM-10303 [RED] Unified FW: split networks does not work
  • NUTM-10384 [RED] Update hostapd for Unified-FW
  • NUTM-9026 [RED] TP-LINK MA260 dongle on RED doesn’t work anymore after update to v9.5
  • NUTM-9795 [RED] RED50 issue with large packets in Transparent/Split mode
  • NUTM-10060 [Reporting] ATP alerts / events not deleted after three days
  • NUTM-10201 [Reporting] Unable to download S/MIME internal user certificate
  • NUTM-10352 [Sandstorm] Sandstorm Activity Report table and graph do not show same data
  • NUTM-10367 [Sandstorm] Sandstorm Activity Graph does not include email cached results
  • NUTM-2644 [UI Framework] Webadmin prefetching list box not displaying any users, if one user contains a single tick
  • NUTM-10066 [WAF] Existing certificate chain overrides after new certificate chain has been added
  • NUTM-10185 [WAF] Using printenv SSI directive in custom theme causes segfault
  • NUTM-10315 [WAF] Let’s Encrypt can’t be enabled after upgrade from 9.5 (/etc/ssl/certs not accessible)
  • NUTM-10316 [WAF] Let’s Encrypt certificates allow wildcards in domain name list
  • NUTM-10332 [WAF] Let’s Encrypt not working over IPv6
  • NUTM-9809 [WAF] Potential memory allocation failure for “Rewrite HTML” + location with special characters
  • NUTM-10188 [WebAdmin] [OTP] QR code not visible for the first user login
  • NUTM-10214 [WebAdmin] Breach Vulnerability in WebAdmin (CVE-2013-3587)
  • NUTM-6945 [WebAdmin] Popup too small for secret when deleting SHA512 OTP token
  • NUTM-7381 [WebAdmin] Login to UserPortal only works at second try when using RADIUS authentication
  • NUTM-9424 [WebAdmin] Webadmin session interrupted with pop-up “Backend connection failed”
  • NUTM-10200 [Web] Segfault in libc-2.11.3.so
  • NUTM-10284 [Web] HTTP Proxy crash with coredumps
  • NUTM-9676 [Web] HTTP Proxy out-of-memory segfault / HTTP Proxy stops working with “Avira engine not available”
  • NUTM-9854 [Web] Warning page bypass using crafted URLs
  • NUTM-9873 [Web] File blocked due to MIME type detection even if there is an exception
  • NUTM-9956 [Web] HTTP Proxy coredumps in geoip scanner
  • NUTM-10365 [Wireless] RED15w: SSID isn’t broadcasted when “Enterprise Authentication” is in use
Patrizio

Patrizio

Patrizio e um especialista de redes experiente, focado em firewalls Sophos, switches e pontos de acesso. Apoia clientes e equipas de TI na configuracao, na migracao e numa segmentacao de rede limpa.