Sophos Firewall v20 MR1: Nuove funzionalità e miglioramenti

Sophos Firewall v20 MR1 porta con sé una serie di nuove funzionalità e miglioramenti che migliorano ulteriormente la sicurezza e le prestazioni del firewall. Ecco in dettaglio le novità più importanti:

⚠️ Importante per tutti gli utenti di RED 15 e RED 50 che non hanno ancora effettuato l’aggiornamento a SD-RED 20 o SD-RED 60. Il messaggio che i RED sono End of Life è stato visualizzato sul firewall per qualche tempo. Dopo questo aggiornamento, i vecchi modelli RED sono ancora visibili in WebAdmin, ma non si connettono più al firewall.

Riconoscimento automatico della lingua al momento del login

Il primo cambiamento si nota subito dopo l’avvio del nuovo firmware Sophos Firewall v20 MR1. Ognuno può decidere da solo se è una cosa buona o cattiva, ma per quanto mi riguarda è più la seconda.

La lingua del portale di amministrazione viene determinata automaticamente in base alle impostazioni del browser. Anche questo viene salvato come cookie.

Miglioramento della sicurezza del firewall e del controllo degli accessi

La nuova versione ti permette di controllare in modo ancora più preciso quali servizi sono accessibili nella WAN. Questo migliora notevolmente la sicurezza del tuo firewall. Ciò che non è visibile non può essere attaccato.

Le opzioni di impostazione per IPsec VPN e RED sono nuove:

Nuovi servizi nell’elenco delle eccezioni ACL locali

Tuttavia, dietro una zona può esserci ancora un’ampia superficie di attacco ed è quindi consigliabile definire l’accesso in modo ancora più preciso nella “Regola di eccezione ACL del servizio locale”.

I seguenti servizi sono stati aggiunti all’elenco delle eccezioni: AD SSO, Captive Portal, RADIUS SSO, Autenticazione client, Wireless, SMTP, RED, IPsec e infine Chromebook, anche se non ho mai visto un Chromebook se non su YouTube 🤷‍♂️.

Eccezioni di controllo degli accessi più flessibili

La nuova versione di Sophos Firewall v20 MR1 migliora significativamente la flessibilità delle eccezioni di controllo degli accessi e aggiunge tre oggetti chiave.

• Supporto per gli host FQDN: ora puoi utilizzare nomi di dominio completamente qualificati (FQDN) nelle regole di eccezione. Questo permette un controllo più preciso sul traffico, controllando l’accesso a domini specifici in base ai loro nomi piuttosto che ai soli indirizzi IP. Attendevo questa funzione (che era disponibile sull’UTM 🤐) da molto tempo.

• Gruppi di host: La possibilità di definire e utilizzare gruppi di host offre una maggiore flessibilità nella gestione delle regole di accesso. Puoi combinare diversi host in un gruppo e poi utilizzare questo gruppo nelle tue regole di eccezione.

• Indirizzi MAC: Oltre agli indirizzi IP, ora anche gli indirizzi MAC possono essere inclusi nelle eccezioni di controllo degli accessi. In questo modo si ottiene un ulteriore livello di controllo, particolarmente utile nelle reti con molti indirizzi IP dinamici o mutevoli.

Distribuzione zero-touch

L’implementazione zero-touch è una funzione avanzata di Sophos Firewall v20 MR1.

In molti casi, noi di Avanet sostituiamo i firewall esistenti 1:1 con nuovi firewall, ed è importante che ciò avvenga rapidamente e con il minimo disturbo. Di solito preconfiguriamo il dispositivo nel nostro ufficio e poi lo inviamo al cliente, dove deve solo essere sostituito.

In passato, Zero-Touch Deployment richiedeva una chiavetta USB per trasferire il file di configurazione al firewall. Tuttavia, con la nuova versione questo non è più necessario, poiché l’intera configurazione può essere effettuata tramite Sophos Central.

Ecco i passaggi e i miglioramenti in dettaglio:

1. Inserisci il numero di serie: il numero di serie del nuovo firewall viene inserito in Sophos Central. Viene utilizzato per identificare e inizializzare il firewall.
2. Imposta configurazione di base: viene definita una configurazione di base che viene utilizzata quando il firewall viene avviato per la prima volta. Questo include impostazioni importanti come il fuso orario, il nome host del firewall e le configurazioni di rete per LAN e WAN.
3. Stabilire una connessione a Internet: Il firewall viene semplicemente collegato alla rete in loco, che stabilisce automaticamente una connessione a Sophos Central e scarica la configurazione predefinita.
4. Attiva la gestione del firewall: Dopo la connessione a Sophos Central, il firewall viene automaticamente configurato e pronto all’uso. Gli amministratori possono poi effettuare ulteriori impostazioni e messe a punto direttamente tramite Sophos Central.

Questo metodo riduce notevolmente i tempi e la complessità dell’installazione. Inoltre, il firewall può essere utilizzato non appena il computer è connesso a Internet, il che accelera l’intero processo.

Vantaggi della distribuzione zero-touch

• Implementazione rapida: Ideale per le sedi in cui non c’è personale IT in loco. Il firewall può essere configurato e reso pronto all’uso non appena viene collegato alla rete.
• Gestione centralizzata: tutte le fasi di configurazione vengono eseguite tramite Sophos Central, che consente una gestione uniforme e coerente.
• Interruzioni minime: Poiché la configurazione viene definita in anticipo e applicata automaticamente, i tempi di inattività sono ridotti al minimo, il che è particolarmente vantaggioso negli ambienti business-critical.
• Semplicità di personalizzazione: dopo la configurazione iniziale, è possibile effettuare ulteriori regolazioni e impostazioni a livello centrale senza la necessità della presenza di un tecnico in loco.

Con Zero-Touch Deployment, Sophos offre una soluzione efficiente per l’implementazione e la configurazione dei firewall che consente di risparmiare tempo e di massimizzare la disponibilità della rete.

• Sophos KB: Aggiungi Sophos Firewall con Zero Touch

Scarica i file di log per la risoluzione dei problemi

Con Sophos Firewall v20 MR1 è ora possibile scaricare i singoli file di log direttamente dal firewall. Questa funzione semplifica la risoluzione dei problemi, in quanto non è più necessario accedere al firewall tramite una connessione SSH per ottenere i dati necessari.

L’opzione Registri di risoluzione dei problemi si trova alla voce Diagnostica del menu principale. Qui gli amministratori possono cercare registri specifici e selezionare più registri contemporaneamente. Sophos Firewall offre quindi la possibilità di scaricare un file ZIP contenente tutti i log selezionati. Questi file possono essere aperti e analizzati su un client locale.

Ogni connessione IPsec da sito a sito e ogni singola connessione RED riceve il proprio registro. Questo permette di effettuare analisi dettagliate e specifiche senza dover ricorrere a metodi macchinosi. Questo rende la gestione e la manutenzione del firewall più efficiente e facile da usare.

Campi di descrizione per gli oggetti

Tutti gli oggetti in “Host e servizi” hanno ora un campo descrizione. Questo include host IP, gruppi di host IP, indirizzi MAC e altri oggetti di rete. La possibilità di aggiungere una descrizione dettagliata a ogni oggetto migliora notevolmente la documentazione.

Questa funzione permette di memorizzare informazioni importanti direttamente nel firewall. Ad esempio, quando crei un nuovo host IP, puoi aggiungere una descrizione che spieghi lo scopo e l’uso dell’host. Questo è particolarmente utile se diversi amministratori gestiscono il firewall o se è necessaria una documentazione precisa.

Una descrizione può anche contenere link a ulteriori informazioni, come una base di conoscenza o un documento PDF che fornisce dettagli specifici sull’oggetto in questione. Questo aumenta la tracciabilità e facilita le attività amministrative future. Ciò significa che una porta di servizio utilizzata solo per un’applicazione specifica può essere fornita direttamente con le informazioni e il contesto pertinenti, aumentando in modo significativo l’efficienza e la chiarezza nella gestione della rete.

Anche la descrizione viene indicizzata per consentire una ricerca.

Assistente Firewall AI generativo

Oggi un’azienda non è più cool se non parla di AI. Qualche anno fa si parlava ancora di blockchain.

Per aiutarti a gestire il tuo firewall è stato integrato un nuovo Assistente Sophos con intelligenza artificiale generativa. Puoi porre all’assistente qualsiasi domanda in un linguaggio semplice e ricevere istruzioni e link a risorse utili.

Non male per una prima versione, ma credo che immaginiamo che l’AI sia diversa da una ricerca leggermente migliore?

Aggiornamento di OpenVPN alla versione 2.6.0

Il componente OpenVPN di Sophos Firewall è stato aggiornato alla versione 2.6.0. Questo migliora la sicurezza e le prestazioni della VPN SSL. Le VPN SSL site-to-site con versioni precedenti non sono più supportate. Si consiglia di aggiornare alla versione 20.0 MR1 o di utilizzare soluzioni VPN alternative come IPsec.

Inoltre, l’ultima versione del client Sophos Connect (v2.3) può essere scaricata tramite il VPN Portal:

• Installare il client VPN SSL Sophos Connect (Windows) – SFOS
• Comunità Sophos: rilasciato l’aggiornamento Sophos Connect 2.3
• Sophos Commuinity: notizie e note di rilascio di Sophos Connect

Note importanti sulla compatibilità di SSL VPN

Con l’aggiornamento a OpenVPN 2.6.0 in questa versione, i tunnel SSL VPN non vengono più stabiliti con i seguenti client e versioni del firewall:

• SFOS v18.5 e versioni precedenti: Non è più possibile stabilire VPN SSL da sito a sito. Si consiglia di aggiornare tutti i firewall pertinenti alla versione 20.0 MR1 o di utilizzare tunnel IPsec o RED da sito a sito.
• Client SSL VPN obsoleto: i tunnel SSL VPN di accesso remoto non vengono più stabiliti con il client SSL VPN obsoleto. Utilizza il client Sophos Connect o client di terze parti come il client OpenVPN.
• UTM9 OS: non è più possibile stabilire VPN SSL site-to-site tra UTM9 OS e SFOS v20.0 MR1. Si consiglia di migrare questi dispositivi alla versione 20.0 MR1 o di utilizzare tunnel IPsec o RED da sito a sito.

Miglioramenti a SD-WAN e VPN

La nuova versione di Sophos Firewall v20 MR1 apporta importanti miglioramenti a SD-WAN e VPN che migliorano significativamente sia l’affidabilità che le prestazioni.

• Interruzioni del traffico ridotte al minimo: La disponibilità dei gateway durante i failover HA e i riavvii dei dispositivi è stata quadruplicata. Ciò significa che se un gateway si guasta o un dispositivo si riavvia, le interruzioni del traffico di dati sono significativamente ridotte al minimo, con il risultato di una connessione di rete più stabile.
• Nuovo client OpenVPN 3.0: il nuovo client OpenVPN 3.0 per Remote Access SSL VPN è ora disponibile per il download tramite il portale VPN Portal. Questo client offre funzioni di sicurezza migliorate e una maggiore compatibilità con i diversi sistemi operativi, semplificando la configurazione e la gestione delle connessioni VPN e migliorando l’esperienza dell’utente.
• Supporto IPsec Phase-1 IKEv2: è stato aggiunto il supporto ai cifrari GCM e Suite-B, migliorando l’interoperabilità e il throughput dei dati per le connessioni IPsec. Questi moderni metodi di crittografia garantiscono una trasmissione dei dati più sicura ed efficiente tra i dispositivi di rete.
• Miglioramenti a DHCP Busybox: Il tempo di locazione predefinito per il DHCP è stato impostato a 30 secondi per eliminare i problemi di connettività WAN. Tempi di locazione più brevi significano che gli indirizzi IP vengono assegnati e rinnovati più rapidamente, con il risultato di una connessione di rete più stabile e affidabile, soprattutto in ambienti con connessioni che cambiano frequentemente.

Installare Sophos Firewall v20 MR1

Per installare l’ultima versione del firmware è necessaria una licenza Enhanced Support, a meno che il firewall non sia stato appena acquistato e abbia ancora una licenza di valutazione: Gli aggiornamenti di Sophos Firewall non saranno più gratuiti.

Questa guida descrive come installare l’ultima versione sul tuo firewall e come scaricare l’immagine: Aggiornamento del firmware di Sophos Firewall (Aggiornamento del firmware)

Ulteriori informazioni sulla release sono disponibili nella Community Sophos – Sophos Firewall OS v20 MR1 è ora disponibile