Le taux d’adoption de notre nouveau firmware Sophos Firewall v19.5 continue d’être le plus rapide que nous ayons observé jusqu’à maintenant, avec près de la moitié de notre important volume d’installation utilisant déjà la dernière version majeure.
Nous sommes heureux d’annoncer la disponibilité de notre deuxième mise à jour de maintenance majeure de la v19.5 avec cette nouvelle version.
Améliorations importantes en matière de sécurité et de renforcement (hardening)
Avec cette nouvelle version, nous implémentons deux améliorations de sécurité qui aident à renforcer votre pare-feu et suivent les meilleures pratiques du secteur pour la protection de ce dernier contre les attaques.
Ces modifications concernent l’accès à l’administration Web et au portail utilisateur à partir du WAN :
Accès à l’administration Web pour des IP spécifiques :
- Nous vous recommandons fortement de désactiver l’accès à la console d’administration Web à partir de toutes les sources WAN (Internet) afin de réduire le risque d’attaque par force brute ou reconnaissance. À la place, nous suggérons que la gestion à distance de vos pare-feu soit effectuée via Sophos Central, qui est gratuit pour tous les clients.
- Cependant, si vous devez absolument disposer d’un accès WAN à la console d’administration Web, la version 19.5 MR2 utilise l’accès WAN à partir d’adresses IP et de réseaux spécifiques à l’aide d’une règle d’exception ACL (Administration > Device access > Local service ACL exception rule). Il ne sera plus possible d’activer l’accès à la console d’administration Web à partir de toutes les sources WAN.
- Il n’y a aucun impact sur les déploiements existants : l’accès à l’administration Web, s’il est déjà activé à partir de toutes les sources WAN, continue de fonctionner même après la mise à niveau vers la v19.5 MR2, sauf s’il n’est plus utilisé (voir point suivant). Cependant, comme mentionné ci-dessus, nous vous encourageons fortement à désactiver cette fonctionnalité ou au moins à utiliser la nouvelle règle d’exception ACL pour améliorer votre posture de sécurité.
L’accès à l’administration Web ou au portail utilisateur depuis toutes les sources WAN (Internet) désactivé après 90 jours consécutifs d’inactivité :
- De nombreux clients ont depuis longtemps configuré l’accès WAN à la console d’administration Web et/ou au portail utilisateur, mais ne l’utilisent pas et l’ont oublié, laissant ainsi leurs pare-feu potentiellement exposés aux attaques par force brute ou reconnaissance à partir d’Internet.
- La version v19.5 MR2 désactivera automatiquement l’accès à l’administration Web et/ou au portail utilisateur depuis Internet (toutes les sources WAN) après 90 jours consécutifs d’inactivité.
- L’accès configuré à l’aide de la nouvelle règle d’exception ACL ne sera PAS désactivé même après 90 jours d’inactivité.
- Il n’y a aucun impact sur les déploiements existants avec une utilisation active. Si vous avez activé l’accès à l’administration Web ou au portail utilisateur à partir de toutes les sources WAN, l’accès à ces portails ne sera pas affecté tant qu’il y aura une activité au moins tous les 90 jours.
N’hésitez pas à consulter notre article récent : Sophos Firewall : les bonnes pratiques pour sécuriser votre pare-feu.
Nos nouveaux guides pratiques
- Configuration du routage et du NAT pour IPsec : de nouveaux tutoriels sont directement intégrés aux sections dédiées du produit pour faciliter les déploiements IPsec, notamment les cas d’usage tels que le trafic de relais DHCP généré par le système, le trafic d’authentification et le trafic vers un hôte via un tunnel IPsec existant.
Les autres améliorations
- Routage dynamique : il prend désormais en charge jusqu’à 4 000 groupes Multicast pour une évolutivité accrue au niveau des déploiements en matière de routage dynamique. Il élimine tous les problèmes liés au routage dynamique qui ne parvient pas à rejoindre les groupes Multicast.
- SD-RED : une nouvelle bannière est ajoutée pour informer les administrateurs de l’approche de la date de fin de vie (EoL) pour les anciens appareils RED 15(w) et RED 50. Les clients doivent mettre à niveau leurs appareils RED vers les derniers modèles avec des performances plus élevées et une connectivité améliorée.
Consultez les notes de version de la v19.5 MR2 pour obtenir plus de détails.
Comment l’obtenir ?
Sophos Firewall OS v19.5 MR2 est une mise à niveau gratuite pour tous les clients Sophos Firewall sous licence et doit être appliquée à tous les pare-feu pris en charge dès que possible pour garantir que vous disposez bien de tous les derniers correctifs de sécurité et mises à jour en matière de fonctionnalités.
Cette version du firmware suivra notre processus de mise à jour standard. Vous pouvez télécharger manuellement SFOS v19.5 MR2 à partir du Portail des licences et le mettre à jour à tout moment. Néanmoins, sachez qu’elle sera déployée sur tous les appareils connectés au cours des prochaines semaines. Une notification apparaîtra sur votre appareil local ou sur la console d’administration Sophos Central lorsque la mise à jour sera disponible, vous permettant ainsi de la planifier à votre convenance.
Sophos Firewall OS v19.5 MR2 est une mise à niveau, entièrement prise en charge, de toutes les versions précédant la v19.5 et la v19.0, notamment la dernière v19.0 MR2 ; et de toutes les versions précédant la v18.5, notamment la dernière v18.5 MR5. Vous pouvez vous rendre sur l’onglet “Informations sur la mise à niveau” dans les notes de version pour obtenir plus de détails.
La documentation complète du produit est disponible en ligne et au niveau du produit lui-même.
Billet inspiré de Sophos Firewall v19.5 MR2 is now available, sur le Blog Sophos.
Qu’en pensez-vous ? Laissez un commentaire.