نگاهی به Sophos Firewall 20.0 MR1
26 اردیبهشت 1403، شرکت سوفوس (Sophos) اقدام به انتشار Sophos Firewall 20.0 MR1 نمود. در این گزارش بهبودها و تغییرات اعمالشده در نسخه مذکور مورد بررسی قرار گرفته است.
نکات مهم پیش از ارتقا
سازگاری 20.0 MR1 با SSL VPN، نسخههای از رده خارج SFOS و UTM9 OS
در 20.0 MR1، نسخه OpenVPN به 2.6.0 ارتقا داده شده است. فایروالهای ارتقایافته به 20.0 MR1، قادر به ایجاد ارتباطات SSL VPN با کلاینتها و فایروالهای زیر نخواهند بود:
- SFOS 18.5 و نسخههای قبل از آن (از رده خارج): برقراری ارتباط Site-to-Site SSL VPN میان SFOS 18.5 و نسخههای قبل از آن با SFOS 20.0 MR1 فراهم نخواهد بود. پیشنهاد میشود فایروالها، همزمان به نسخه 0 MR1 ارتقا داده شوند. در عین حال، استفاده از Site-to-Site IPsec یا تونلهای RED نیز بهعنوان راهکار ارتباطی جایگزین ممکن خواهد بود.
- کلاینتهای SSL VPN قدیمی (از رده خارج): ارتباطات تونلهای SSL VPN با کلاینتهای با SSL VPN قدیمی که پشتیبانی از آنها پایان یافته ممکن نخواهد بود. این امکان فراهم است که از Sophos Connect Client یا کلاینتهای ثالث نظیر OpenVPN استفاده شود و یا از تونلهای IPsec بهره گرفته شود. در این خصوص مطالعه لینکهای زیر توصیه میشود:
- UTM9 OS: برقراری ارتباطات Site-to-Site SSL VPN میان UTM9 OS و SFOS 20.0 MR1 ممکن نخواهد بود. مهاجرت از این سیستم عامل قدیمی به 0 MR1 توصیه میشود. ضمن آن که، استفاده از Site-to-Site IPsec یا تونلهای RED نیز بهعنوان راهکار ارتباطی جایگزین امکانپذیر میباشد. اطلاعات بیشتر در لینکهای زیر:
تجهیزات RED از رده خارج
20.0 MR1 و نسخههای بعد از آن، از دستگاههای از رده خارج RED-15, RED-15w, RED-50 پشتیبانی نمیکنند. با این توضیح که پشتیبانی از این دستگاهها از سال میلادی گذشته متوقف شده است. جزییات بیشتر در این خصوص در لینک زیر قابلمطالعه است:
https://support.sophos.com/support/s/article/KB-000044880
دسترسی دستگاه و قواعد مستثنیسازی Local Service ACL
دسترسی دستگاه: در این نسخه، بهبودهایی در جدول Device Access بهمنظور دسترسی مناطق (Zone) به سرویسهای خاص اعمال شده است. با تغییرات زیر، جدول مذکور کاربرپسندتر و کنترلهای آن جزییتر شده است:
- IPsec & RED: سرویسهای IPsec و RED در بخش Device Access در دسترس قرار گرفته تا مجاز یا مسدودسازی ترافیک بر اساس مناطق مختلف ممکن باشد. برای مثال، میتوان دسترسی به سرویس RED از سمت WAN را در حالی مسدود کنید که همزمان دسترسی از سایر مناطق مجاز باشد.
- سرویسهای VPN: گزینههای IPsec, SSL VPN, VPN portal, RED همگی در سرویسهای VPN دستهبندی شدهاند.
قواعد مستثنیسازی (Local service ACL Exception Rule):
- List View: نمای فهرست قواعد مستثنیسازی شامل اطلاعات جزییتری نظیر مبدا، مقصد، سرویس و واکنش شده و دیگر نیازی به باز کردن هر قاعده برای مشاهده اطلاعات مذکور نیست.
- سرویسها: تمامی سرویسها در جدول Device Access، شامل سرویسهای RED و IPsec اکنون در بخش سرویسهای این قواعد در دسترس قرار گرفته و امکان اعمال کنترلهای جزییتر فراهم شده است. برای مثال، میتوان یک قاعده مستثنیسازی جهت مسدود یا مجازسازی VPN بر روی یک رابط شبکهای خاص را طوری ایجاد نمود که سرویس از سوی WAN مجاز تلقی شده باشد. همچنین این امکان فراهم است که کشور و نشانی IP خاصی را در این قواعد بکار برد. برای نمونه در حالی که دسترسی از ایالات متحده را مسدود کردهاید میتوانید همزان ترافیک VPN از مبدا نشانیهای FQDN خاصی را مجاز کنید. سایر سرویسهایی که در قواعد مستثنیسازی قابل دسترسند عبارتند از AD SSO, RADIUS SSO, Captive portal, Client authentication, Chromebook, Wireless, SMTP, SNMP, RED, IPsec.
- آبجکتهای بیشتر: آبجکتهای میزبان FQDN، گروهی از میزبانهای FQDN، نشانی MAC و فهرستی از نشانیهای MAC در قسمت تعیین مبدا و مقصد قاعده مستثنیسازی قابلانتخاب شده و دیگری نیازی به بهروزرسانی نشانیهای IP پویا نمیباشد.
بهبودها در بخش SD-WAN برای مقیاسپذیری
- مقیاسپذیری: این نسخه بهبودهای قابلملاحظهای را در مدت زمان دردسترسپذیری Gateway، حین HA Failover و راهاندازی مجدد دستگاه اعمال کرده تا بروز اختلال در ترافیک به حداقل برسد.
- نمای با جزییات: در پیکربندیهای Route مربوط به SD-WAN، اطلاعاتی نظیر نشانی IP، رابط شبکهای و عنوان در هنگام نگاه داشتن موشواره بر روی Gateway ظاهر میشود.
بهبودها در بخش VPN
SSL VPN
- OpenVPN 3.0: از این نسخه، Sophos Firewall با کلاینتهای OpenVPN 3.0 سازگار شده است. راهبران میتوانند فایل پیکربندی سازگار را از پورتال VPN دریافت کنند.
IPsec VPN
- رمزگذارهای Phase I: رمزگذاریهای GCM suite-B ciphers, AES256GCM16, AES192GCM16, AES128GCM16 در تونلهای Phase I IKEv2 قابلدسترس هستند. قابلیتی که موجب توان عملیاتی بهتر و سازگاری بیشتر با دستگاههای ثالث میشود.
- ترافیک سیستمی: فرامین CLI بهنحوی در دسترس قرار گرفتهاند که از ترافیک موسوم به System-generated در تونلهای IPsec مبتنی بر پالیسی در هنگامی که Remote Subnet بر روی Any تنظیم شده جلوگیری شود. جزییات بیشتر در خصوص فرامین مسیریابی در اینجا قابل مطالعه است.
- در این نسخه، فایروال از نسخه ارتقایافته StrongSwan 5.9.11 بهره میگیرد.
بهبودها در بخش DHCP
- IPv6 DHCP Prefix Delegation: فایروال در هر بار بهروزرسانی پیکربندی رابط شبکهای یا راهاندازی مجدد، Prefix پیشفرض را از ISP درخواست میکند.
- DHCP Lease Time: در این نسخه، کلاینتهای DHCP با ایجاد درخواستهای به اصطلاح Renewal در 30 ثانیه، شاهد استمرار اتصال WAN، در مواقعی که نصف مدت زمان تخصیص، 30 ثانیه یا کمتر از آن است خواهیم بود.
- گزینههای Boot: در این نسخه، DHCP از Boot Server و Boot File Options در سرایند DHCP پیشتیبانی میکند. همچنین میتوانید کماکان مشخصه را از طریق گزینههای مربوطه DHCP به دستگاههای شبکه ارسال کنید.
بهبودها در بخش ثبت رخداد
- دریافت فایلهای Log: شما قادر خواهید بود که فایلهای لاگ را بهطور مستقل از کنسول Web Admin در بخش Troubleshooting logs صفحه Diagnostics دانلود کنید. Consolidated Troubleshooting Report یا همان CTR همچنان تمامی فایلهای لاگ را در بر خواهد داشت.
- خطهای پیشفرض لاگ در CTR: تعداد پیشفرض خطوط در فایلهای لاگ در Consolidated Troubleshooting Report به 10،000 تغییر کرده است.
- تعیین جداکننده در Syslog: امکان سفارشیسازی جداکننده (Delimiter) در پیامهای رخداد Syslog با هدف افزایش انعطاف در مدیریت دادههای لاگ فراهم شده است.
پیکربندی True Zero Touch
به منظور تسهیل راهاندازی از راه دور فایروالهای شعبهها، قابلیت True Zero Touch مبتنی بر TPM در Sophos Central در دسترس قرار گرفته است. برای این منظور، باید پیکربندی فایروال در Sophos Central انجام شود. راهبر فایروال از راه دور، پس از اتصال دستگاه به اینترنت، آن را روشن میکند. فایروال به Sophos Central متصل شده و پس از دریافت پیکربندیها، آنها را اعمال نموده و در ادامه در Sophos Central ثبت میشود. راهنمای Sophos Central در اینجا قابل دسترس است.
RED
SD-RED اکنون از پیکربندی Bridge برای رابطهای شبکهای WAN در تونل RED پشتیبانی میکند.
سایر بهبودها
- همراه با هوش مصنوعی پویا: بخش Sophos Assistant فایروال، مجهز به قابلیت پیشرفتهای با عنوان Generative AI شده است.
- شناسایی خودکار زبان: کنسول Web Admin و پورتال کاربر بهصورت خودکار زبان مرورگر را تشخیص داده و در قسمت پشتیبانی از آن بهره میگیرد.
- Gateway سفارشی: Gatewayهای Custom، اکنون از نشانی link-local پشتیبانی میکنند.
- بهینهسازی دادهها در Synchronized Application Control: در این نسخه، فایروال، تنها 5 رخداد اخیر را برای هر برنامه شناساییشده توسط SAC به ازای هر نقطه پایانی نگاه میدارد.
- IPv4 internet host group: محدوده نشانیهای IPv4 عمومی پیشفرض بهروزرسانی شده تا شامل همه دامنههای IPv4 باشد.
- شرح آبجکت: فیلدهای توضیح برای آبجکتهای IP, MAC, FQDN, service لحاظ شده است.
- فهرست کشورها: فهرست کشورها در این نسخه بهروز شده است.
- Web: در پراکسی وب، قابلیت حفاظتی Pharming به نحوی بهبود داده شده که آسیبپذیریهای بالقوه ناشی از ویرایش نشانی IP مقصد در حین فرایند DNS Resolution کشف شوند. با الگوی بهروزرسانیشده، پالیسی فایروال با استفاده از نشانی استخراجشده IP از DNS از طریق Pharming مورد ارزیابی مجدد قرار میگیرد.
- XML API: نسخه 0 MR1 از نسخههای از رده خارج XML API (شامل 17.5 & 18.0) پشتیبانی نمیکند. اگر از APIVersion tag برای شناسایی نسخههای قدیمی استفاده میکنید تنظیمات Tag را به نسخههای قابل پشتیبانی تغییر دهید.
جزییات کامل نسخه 20.0 MR1 در لینک زیر قابل مطالعه است:
https://docs.sophos.com/releasenotes/index.html?productGroupID=nsg&productID=xg&versionID=20.0