Sophos Firewall v20 MR1 est maintenant disponible

Nous sommes heureux d’annoncer le lancement de Sophos Firewall v20 MR1. Il s’agit de notre version de maintenance la plus importante à ce jour, rivalisant ainsi avec une version du pare-feu majeure en termes de nouvelles fonctionnalités.

Les nouveautés

Pare-feu : sécurité et accès

• Les mises à jour en matière d’accès aux appareils offrent un contrôle plus granulaire sur les services accessibles depuis le WAN, améliorant ainsi votre posture de sécurité au niveau de votre pare-feu (voir ci-dessous pour obtenir plus de détails).
• Des nouveaux services ont été ajoutés à la liste des exceptions ACL locales : AD SSO, portail captif, RADIUS SSO, authentification client, Chromebook, sans fil (wireless), SMTP, RED et IPsec.
• Une flexibilité accrue au niveau des exceptions aux règles d’accès avec prise en charge des hôtes FQDN, des groupes d’hôtes et des adresses MAC.

OpenVPN : mise à niveau vers la v2.6.0

• Le module OpenVPN de Sophos Firewall a été mis à niveau vers la version 2.6.0 pour améliorer la sécurité et les performances du VPN SSL. Consultez les détails ci-dessous pour connaître les incompatibilités et les solutions recommandées.

SD-WAN et VPN : Améliorations

• Perturbation minimale du trafic SD-WAN évolutif avec une amélioration qui multiplie par 4 le temps de disponibilité de la passerelle lors des événements de basculement haute disponibilité (HA failover) et de redémarrage des appareils.
• Le VPN SSL d’accès à distance fournit désormais un client OpenVPN 3.0 que les utilisateurs peuvent télécharger depuis le portail VPN.
• Prise en charge IPsec Phase-1 IKEv2 pour les chiffrements GCM et suite-B, offrant ainsi une meilleure interopérabilité et un meilleur débit.
• Améliorations de DHCP Busybox avec une durée de bail par défaut de 30 secondes pour éliminer les problèmes de déconnexion WAN.

Déploiement zero-touch

• Un véritable déploiement zero-touch de nouveaux pare-feu est désormais possible via Sophos Central sans avoir besoin d’une ressource sur-site/on-site avec une clé USB (plus d’informations sur la manière avec laquelle l’utiliser ci-dessous).

Les autres améliorations

• Nouvel assistant basé sur l’IA générative pour vous aider dans la gestion de votre pare-feu (voir exemple ci-dessous).
• Détection automatique de la langue de localisation lors de la connexion en fonction de la sélection de la langue du navigateur.
• Une nouvelle option de téléchargement de fichiers de débogage.
• Nouveau champ de description pour IP, MAC, FQDN et les objets de service.
• Mise à jour améliorée du préfixe IPv6 DHCP-PD.
• Nouvelle option CLI pour contourner le trafic généré par le système depuis le VPN IPsec site-à-site dans le cas de critères de correspondance de type “Any“.
• Nouvelles mises à jour de OpenVPN v2.6.0 et StrongSwan v5.9.11.

Remarques importantes sur la compatibilité SSL VPN

OpenVPN a été mis à niveau vers 2.6.0 dans cette version. Les pare-feu mis à niveau vers la version 20 MR1 n’établiront pas de tunnels VPN SSL avec les clients et versions de pare-feu suivants :

• SFOS v18.5 et versions antérieures (fin de vie) : les VPN SSL site-à-site ne seront pas établis entre SFOS v18.5 ou versions antérieures et SFOS v20.0 MR1. Nous vous recommandons de planifier, de manière simultanée, une mise à niveau vers la v20.0 MR1 pour tous les pare-feu concernés. Vous pouvez également utiliser des tunnels IPsec ou RED site-à-site.
• Client VPN SSL existant (fin de vie) : les tunnels VPN SSL d’accès à distance ne seront pas établis avec l’ancien client VPN SSL, qui est déjà en fin de vie. Vous pouvez utiliser le client Sophos Connect ou des clients tiers, tels que le client OpenVPN, ou bien utiliser des tunnels IPsec d’accès à distance.
• UTM9 OS : les VPN SSL site-à-site ne seront pas établis entre le système d’exploitation UTM9 et SFOS 2v0.0 MR1. Nous vous recommandons de migrer ces appareils vers la version 20.0 MR1. Vous pouvez également utiliser des tunnels IPsec ou RED site-à-site.

Notes de version complètes

Comment obtenir le firmware et la documentation ?

Sophos Firewall OS v20 MR1 est une mise à niveau gratuite pour tous les clients Sophos Firewall sous licence et doit être appliquée dès que possible à tous les pare-feu pris en charge pour garantir que vous disposez de tous les derniers correctifs en matière de sécurité, fiabilité et performances.

Cette version du firmware suivra notre processus de mise à jour standard. Vous pouvez télécharger manuellement SFOS v20 MR1 depuis Sophos Central et le mettre à jour à tout moment. Néanmoins, sachez qu’elle sera déployée sur tous les appareils connectés au cours des prochaines semaines. Une notification apparaîtra sur votre appareil local ou sur la console d’administration Sophos Central lorsque la mise à jour sera disponible, vous permettant ainsi de la planifier à votre convenance.

Sophos Firewall OS v20 MR1 est une mise à niveau entièrement prise en charge à partir de toutes les précédentes versions :  v20, v19.5 et v19.0. Vous pouvez vous rendre sur l’onglet ‘Upgrade Information’ (Informations sur la Mise à Niveau) dans les notes de version pour obtenir plus de détails.

La documentation complète du produit est disponible en ligne et au niveau du produit lui-même.

Voici un aperçu en détail de quelques-unes de ces nouvelles fonctionnalités intéressantes…

Sécurité de l’accès aux appareils

Assurez-vous de consulter les dernières améliorations en matière d’accès aux appareils et de limiter les services que vous rendez disponibles sur le WAN pour améliorer votre posture de sécurité :

Nouveautés :

• Nouveaux services ajoutés : IPsec/RED
• La règle d’exception ACL prend en charge de nouveaux types d’hôte : Hôte FQDN, groupe d’hôte FQDN, adresse MAC, liste d’adresses MAC.
• Les règles d’exception ACL prennent désormais en charge de nouveaux services : AD SSO, portail captif, Radius SSO, authentification client, Chromebook, sans fil/wireless, SMTP, SNMP, RED, IPsec.
• Améliorations de la page de gestion de l’accès aux appareils, avec un nouveau groupe de services VPN et des informations ajoutées pour les règles d’exception.

Nouveau déploiement de pare-feu zero-touch depuis Sophos Central

Vous pouvez désormais prédéfinir, déployer, puis terminer la configuration de vos pare-feu distants sans rien faire d’autre sur-site que de les connecter. Un périphérique USB n’est plus nécessaire !

Découvrez son fonctionnement :

1. Saisissez le numéro de série de l’appareil dans Sophos Central.
2. Préconfigurez certains paramètres essentiels dans Sophos Central, tels que les paramètres de fuseau horaire, LAN, WAN et DHCP, ainsi que les préférences de protection initiales.
3. Déployez le pare-feu sur l’emplacement distant en connectant les câbles d’alimentation et WAN, puis activez-le. Le pare-feu se connectera automatiquement à Sophos Central au démarrage, puis téléchargera et appliquera la configuration de l’étape 2.
4. Vous pouvez désormais gérer les pare-feu et terminer la configuration dans Sophos Central.

Consultez la documentation complète pour obtenir plus de détails.

Assistant de pare-feu basé sur l’IA générative

Un nouvel assistant Sophos basé sur l’IA générative est intégré pour vous aider à gérer votre pare-feu. Vous pouvez poser n’importe quelle question en langage simple à l’assistant et il vous fournira des instructions et des liens vers des ressources utiles.

Par exemple, si vous souhaitez de l’aide pour configurer DNAT, vous pouvez simplement demander :

Et vous obtiendrez non seulement un bref aperçu des instructions pour vous guider, mais également une liste complète de ressources pour approfondir cette question si nécessaire.

Détection automatique de la langue lors de la connexion :

Votre langue sera automatiquement sélectionnée sur l’écran de connexion en fonction des préférences de votre navigateur.

Globalement, cette version constitue une mise à jour majeure de votre pare-feu et, comme d’habitude, elle est gratuite pour tous les clients Sophos Firewall sous licence. Avec Sophos, vous continuez à bénéficier d’une formidable valeur ajoutée à chaque nouvelle version.

Maintenez votre firmware à jour

Sophos Firewall intègre une fonctionnalité de correctif innovant qui nous permet de transmettre des correctifs urgents et importants au pare-feu “over the air” pour traiter toute nouvelle vulnérabilité Zero-Day ou tout autre problème critique qui surviendrait. Cette possibilité permet d’appliquer une solution rapide sans temps d’arrêt normalement associé à une mise à niveau et à un redémarrage du firmware. Vous bénéficierez de correctifs importants appliqués immédiatement sans aucun effort à déployer manuellement de votre part.

Cependant, il est extrêmement important de vous assurer que le firmware de votre pare-feu soit maintenu à jour, car des correctifs de sécurité non urgents sont souvent intégrés aux versions de maintenance. Étant donné que toutes les mises à jour du firmware sont gratuites pour les clients Sophos Firewall sous licence, il n’y a aucune raison de ne pas profiter de toutes les améliorations apportées dans chaque version.

Billet inspiré de Sophos Firewall v20 MR1 is now available, sur le Blog Sophos.