Sophos Firewall v19.5 - Alla nya funktioner i denna uppdatering
Det har gått några månader sedan jag senast hade tid att skriva en artikel om en SFOS-uppdatering. Framöver ska det bli bättre igen. Därför är jag desto gladare att kunna presentera de nya funktionerna och förbättringarna i SFOS 19.5.
Uppdateringen är tillgänglig för alla Sophos Firewall-enheter i SG-, XG- och XGS-serien samt för virtuella appliances och instanser på molnplattformar som Azure eller AWS.
Följande modeller kommer inte att få uppdateringen eftersom de inte har 4 GB RAM: XG 85(w), XG 105(w), SG 105(w)
Säkerhetsluckan CVE-2022-3236 stängs
En sårbarhet för kodinjektion i användarportalen och i WebAdmin tillåter en angripare att köra kod i Sophos Firewall, version v19.0 MR1 och äldre. CVE-2022-3236
Hosts och Services Sök
I SFOS v19 förbättrades objektsökningen i firewall-reglerna avsevärt. Men på vissa ställen saknades sökfunktionen fortfarande, till exempel för Hosts- och Services-objekt. Här går det nu att söka efter namn, portar eller IP-adresser, vilket också gör det enklare att hitta dubbletter.
Att sedan radera dubbla objekt om de fortfarande används är fortfarande inte så lätt, eftersom man inte får någon information om var objektet används.
Azure AD SSO för Webadmin-inloggning
Azure AD har funnits på Sophos Central under en längre tid. Med v19.5 kommer integrationen av Azure Active Directory (Azure AD) nu till Sophos Firewall för Single Sign-on (SSO) på Webadmin-konsolen.
Azure AD-integrationen möjliggör också dynamisk roll- och gruppbaserad åtkomsthantering. Det går alltså att skapa egna behörighetsprofiler på Sophos Firewall, eller använda befintliga, och sedan tilldela dem till en användare i Azure AD.
Azure AD-integrationen för Webadmin-inloggning är säkert en bra början. Det blir spännande när även fjärråtkomstanvändare (SSLVPN eller IPsec) och användarportalen fungerar med den.
Förbättringar för hög tillgänglighet
Det finns också riktigt bra förbättringar för HA-kluster. En liten nyhet är till exempel att det när klustret skapas visas att licensen måste finnas på Primary Device eller, vid ett Active-Active-kluster, som vi i praktiken nästan aldrig använder, på båda enheterna.
Det är nu möjligt att konfigurera flera HA-länkar, och detta inte längre bara via en direktanslutning, utan även via LAG:er och VLAN:er.
VLAN-gränssnitt kan nu också läggas till i gränssnittsövervakningen.
Statussidan visar nu betydligt mer viktig information. Man ser på vilken nod licensen är aktiverad, liksom datum och tid för klustrets senaste statusändring. Man kan dessutom tilldela ett namn och behöver inte längre komma ihåg serienumret.
Widgeten i kontrollcentret har flyttats upp till höger och visar också mer information om klustret. Fliknamnet visar nu dessutom vilken nod du ansluter till, även om jag hellre skulle se Sophos Firewall-värdnamnet här, eftersom jag ändå aldrig loggar in på Nod2.
SD-WAN Lastbalansering
Sedan v19 finns SD-WAN och i den nya versionens profiler är det möjligt att konfigurera lastbalansering. Metoderna som finns är Round Robin och Session Persistence.
Round Robin
Anslutningarna fördelas mellan de valda anslutningarna utifrån viktning. I skärmdumpen har båda gatewayerna för närvarande en viktning på 1, vilket resulterar i en jämn fördelning över båda gatewayerna.
Session Persistence
Med Session Persistence kan man definiera om trafiken ska delas upp per käll-IP, destinations-IP, båda samtidigt eller per anslutning.
Denna nyhet gäller för SD-WAN-profilen. Man kan naturligtvis skapa flera profiler och använda dem enligt routingstrategins krav baserat på applikation, källa, destination eller tjänst.
Mer prestanda för alla Sophos XGS Firewalls
Varje Sophos XGS Appliance har en dubbelprocessorarkitektur. Redan vid lanseringen av XGS-serien accelererade Sophos vissa anslutningar med upp till dubbla hastigheten jämfört med XG-serien. Sophos meddelade då att kommande programuppdateringar skulle flytta fler processer från CPU till NPU för att förbättra prestandan. Med version 19.5 hanteras ytterligare processer av Xstream Flow-processorn och accelereras därmed. Tack vare denna utveckling har antalet IPsec VPN-tunnlar i XGS-modellerna helt enkelt fördubblats i den här versionen.
På modellerna XGS 4300, 4500, 5500 och 6500 accelereras TLS-krypterade anslutningar på FastPath, vilket gör djup paketinspektion ännu mer prestandastark.
Ytterligare små förbättringar i v19.5
OSPFv3
Den nya dynamiska routingsmotorn erbjuder stöd för OSPFv3. Bland nyheterna i OSPFv3 finns bland annat stöd för IPv6, mindre headstorlek och att MD5 inte längre används för autentisering. OSPFv3 avstår helt från eget autentiseringsstöd och förlitar sig istället på IPv6:s mer flexibla IPsec-ramverk.
Logg
Förbättrad lagring av loggfiler möjliggör detaljerad felsökning.
Maskinvarusupport
Förbättrad support för 40G-gränssnitt med automatisk detektering av utökade portkonfigurationer på modellerna XGS 5500 och 6500.
Hårdvarusupporten för 5G-modulerna, som listades i EAP, ingår inte längre i den slutliga v19.5-versionen. Jag antar därför att modulerna kommer lite senare än förväntat.
Video om innovationerna i Sophos Firewall OS v19.5
Ni ser redan att Sophos numera lägger stor vikt vid att visa nya funktioner i videor, vilket vi tycker är väldigt bra. Tidigare fanns det ofta nya funktioner som försvann lite i release notes och bara upptäcktes av ett fåtal. Förutom videorna om enskilda funktioner som infogats ovan finns det också en video om Sophos Firewall 19.5 som helhet.
Uppdateringar är inte längre gratis under lång tid
Kanske har informationen inte nått alla: Sophos Firewall-uppdateringar kommer inte längre att vara gratis i framtiden
Nu har vi alltså den första uppdateringen sedan version 19.0 MR1 och räknaren för gratis uppdateringar startar på tre. Efter installationen, närmare bestämt när den nya firmware-imagen 19.5 laddas upp, kommer den att stå på två.
Om man nu tittar på innovationerna i denna uppdatering, som visserligen är en större uppdatering, ser man redan att många nya funktioner kommer som gör Sophos Firewall ännu bättre. Denna utveckling måste betalas, och som man känner till från smartphone-appar, går många utvecklare över till prenumerationsmodellen för att få denna utveckling betald.
Följaktligen, om firmware-räknaren står på noll, krävs en Enhanced Support-licens, som ingår individuellt eller i ett licenspaket som Standard Protection, Xstream Protection eller Epic Protection.
