نگاهی به Sophos Firewall 20.0 MR1

26 اردیبهشت 1403، شرکت سوفوس (Sophos) اقدام به انتشار Sophos Firewall 20.0 MR1 نمود. در این گزارش بهبودها و تغییرات اعمال‌شده در نسخه مذکور مورد بررسی قرار گرفته است.

 

نکات مهم پیش از ارتقا

 

سازگاری 20.0 MR1 با SSL VPN، نسخه‌های از رده خارج SFOS و UTM9 OS

در 20.0 MR1، نسخه OpenVPN به 2.6.0 ارتقا داده شده است. فایروال‌های ارتقایافته به 20.0 MR1، قادر به ایجاد ارتباطات SSL VPN با کلاینت‌ها و فایروال‌های زیر نخواهند بود:

• SFOS 18.5 و نسخه‌های قبل از آن (از رده خارج): برقراری ارتباط Site-to-Site SSL VPN میان SFOS 18.5 و نسخه‌های قبل از آن با SFOS 20.0 MR1 فراهم نخواهد بود. پیشنهاد می‌شود فایروال‌ها، همزمان به نسخه 0 MR1 ارتقا داده شوند. در عین حال، استفاده از Site-to-Site IPsec یا تونل‌های RED نیز به‌عنوان راهکار ارتباطی جایگزین ممکن خواهد بود.
• کلاینت‌های SSL VPN قدیمی (از رده خارج): ارتباطات تونل‌های SSL VPN با کلاینت‌های با SSL VPN قدیمی که پشتیبانی از آنها پایان یافته ممکن نخواهد بود. این امکان فراهم است که از Sophos Connect Client یا کلاینت‌های ثالث نظیر OpenVPN استفاده شود و یا از تونل‌های IPsec بهره گرفته شود. در این خصوص مطالعه لینک‌های زیر توصیه می‌شود:

https://docs.sophos.com/nsg/sophos-firewall/20.0/Help/en-us/webhelp/onlinehelp/index.html?contextId=remote-access-VPN-SSL-Sophos-Connect-client-configuration

https://docs.sophos.com/nsg/sophos-firewall/20.0/Help/en-us/webhelp/onlinehelp/index.html?contextId=remote-access-VPN-sophos-connect-client-configuration

• UTM9 OS: برقراری ارتباطات Site-to-Site SSL VPN میان UTM9 OS و SFOS 20.0 MR1 ممکن نخواهد بود. مهاجرت از این سیستم عامل قدیمی به 0 MR1 توصیه می‌شود. ضمن آن که، استفاده از Site-to-Site IPsec یا تونل‌های RED نیز به‌عنوان راهکار ارتباطی جایگزین امکان‌پذیر می‌باشد. اطلاعات بیشتر در لینک‌های زیر:

https://docs.sophos.com/nsg/sophos-firewall/20.0/Help/en-us/webhelp/onlinehelp/index.html?contextId=site-to-site-VPN-route-based-VPN

https://docs.sophos.com/nsg/sophos-firewall/20.0/Help/en-us/webhelp/onlinehelp/index.html?contextId=network-interfaces-RED-create-site-to-site-tunnel

تجهیزات RED از رده خارج

20.0 MR1 و نسخه‌های بعد از آن، از دستگاه‌های از رده خارج RED-15, RED-15w, RED-50 پشتیبانی نمی‌کنند. با این توضیح که پشتیبانی از این دستگاه‌ها از سال میلادی گذشته متوقف شده است. جزییات بیشتر در این خصوص در لینک زیر قابل‌مطالعه است:

https://support.sophos.com/support/s/article/KB-000044880

 

دسترسی دستگاه و قواعد مستثنی‌سازی Local Service ACL

 

دسترسی دستگاه: در این نسخه، بهبودهایی در جدول Device Access به‌منظور دسترسی مناطق (Zone) به سرویس‌های خاص اعمال شده است. با تغییرات زیر، جدول مذکور کاربرپسندتر و کنترل‌های آن جزیی‌تر شده است:

• IPsec & RED: سرویس‌های IPsec و RED در بخش Device Access در دسترس قرار گرفته تا مجاز یا مسدودسازی ترافیک بر اساس مناطق مختلف ممکن باشد. برای مثال، می‌توان دسترسی به سرویس RED از سمت WAN را در حالی مسدود کنید که همزمان دسترسی از سایر مناطق مجاز باشد.
• سرویس‌های VPN: گزینه‌های IPsec, SSL VPN, VPN portal, RED همگی در سرویس‌های VPN دسته‌بندی شده‌اند.

 

قواعد مستثنی‌سازی (Local service ACL Exception Rule):

• List View: نمای فهرست قواعد مستثنی‌سازی شامل اطلاعات جزیی‌تری نظیر مبدا، مقصد، سرویس و واکنش شده و دیگر نیازی به باز کردن هر قاعده برای مشاهده اطلاعات مذکور نیست.
• سرویس‌ها: تمامی سرویس‌ها در جدول Device Access، شامل سرویس‌های RED و IPsec اکنون در بخش سرویس‌های این قواعد در دسترس قرار گرفته و امکان اعمال کنترل‌های جزیی‌تر فراهم شده است. برای مثال، می‌توان یک قاعده مستثنی‌سازی جهت مسدود یا مجاز‌سازی VPN بر روی یک رابط شبکه‌ای خاص را طوری ایجاد نمود که سرویس از سوی WAN مجاز تلقی شده باشد. همچنین این امکان فراهم است که کشور و نشانی IP خاصی را در این قواعد بکار برد. برای نمونه در حالی که دسترسی از ایالات متحده را مسدود کرده‌اید می‌توانید همزان ترافیک VPN از مبدا نشانی‌های FQDN خاصی را مجاز کنید. سایر سرویس‌هایی که در قواعد مستثنی‌سازی قابل دسترسند عبارتند از AD SSO, RADIUS SSO, Captive portal, Client authentication, Chromebook, Wireless, SMTP, SNMP, RED, IPsec.
• آبجکت‌های بیشتر: آبجکت‌های میزبان FQDN، گروهی از میزبان‌های FQDN، نشانی MAC و فهرستی از نشانی‌های MAC در قسمت تعیین مبدا و مقصد قاعده مستثنی‌سازی قابل‌انتخاب شده و دیگری نیازی به به‌روزرسانی نشانی‌های IP پویا نمی‌باشد.

 

بهبودها در بخش SD-WAN برای مقیاس‌پذیری

 

• مقیاس‌پذیری: این نسخه بهبودهای قابل‌ملاحظه‌ای را در مدت زمان دردسترس‌پذیری Gateway، حین HA Failover و راه‌اندازی مجدد دستگاه اعمال کرده تا بروز اختلال در ترافیک به حداقل برسد.
• نمای با جزییات: در پیکربندی‌های Route مربوط به SD-WAN، اطلاعاتی نظیر نشانی IP، رابط شبکه‌ای و عنوان در هنگام نگاه داشتن موشواره بر روی Gateway ظاهر می‌شود.

 

بهبودها در بخش VPN

 

SSL VPN

• OpenVPN 3.0: از این نسخه، Sophos Firewall با کلاینت‌های OpenVPN 3.0 سازگار شده است. راهبران می‌توانند فایل پیکربندی سازگار را از پورتال VPN دریافت کنند.

 

IPsec VPN

• رمزگذارهای Phase I: رمزگذاری‌های GCM suite-B ciphers, AES256GCM16, AES192GCM16, AES128GCM16 در تونل‌های Phase I IKEv2 قابل‌دسترس هستند. قابلیتی که موجب توان عملیاتی بهتر و سازگاری بیشتر با دستگاه‌های ثالث می‌شود.
• ترافیک سیستمی: فرامین CLI به‌نحوی در دسترس قرار گرفته‌اند که از ترافیک موسوم به System-generated در تونل‌های IPsec مبتنی بر پالیسی در هنگامی که Remote Subnet بر روی Any تنظیم شده جلوگیری شود. جزییات بیشتر در خصوص فرامین مسیریابی در اینجا قابل مطالعه است.
• در این نسخه، فایروال از نسخه ارتقایافته StrongSwan 5.9.11 بهره می‌گیرد.

 

بهبودها در بخش DHCP

 

• IPv6 DHCP Prefix Delegation: فایروال در هر بار به‌روزرسانی پیکربندی رابط شبکه‌ای یا راه‌اندازی مجدد، Prefix پیش‌فرض را از ISP درخواست می‌کند.
• DHCP Lease Time: در این نسخه، کلاینت‌های DHCP با ایجاد درخواست‌های به اصطلاح Renewal در 30 ثانیه، شاهد استمرار اتصال WAN، در مواقعی که نصف مدت زمان تخصیص، 30 ثانیه یا کمتر از آن است خواهیم بود.
• گزینه‌های Boot: در این نسخه، DHCP از Boot Server و Boot File Options در سرایند DHCP پیشتیبانی می‌کند. همچنین می‌توانید کماکان مشخصه‌ را از طریق گزینه‌های مربوطه DHCP به دستگاه‌های شبکه ارسال کنید.

 

بهبودها در بخش ثبت رخداد

 

• دریافت فایل‌های Log: شما قادر خواهید بود که فایل‌های لاگ را به‌طور مستقل از کنسول Web Admin در بخش Troubleshooting logs صفحه Diagnostics دانلود کنید. Consolidated Troubleshooting Report یا همان CTR همچنان تمامی فایل‌های لاگ را در بر خواهد داشت.
• خط‌های پیش‌فرض لاگ در CTR: تعداد پیش‌فرض خطوط در فایل‌های لاگ در Consolidated Troubleshooting Report به 10،000 تغییر کرده است.
• تعیین جداکننده در Syslog: امکان سفارشی‌سازی جداکننده (Delimiter) در پیام‌های رخداد Syslog با هدف افزایش انعطاف در مدیریت داده‌های لاگ فراهم شده است.

 

پیکربندی True Zero Touch

 

به منظور تسهیل راه‌اندازی از راه دور فایروال‌های شعبه‌ها، قابلیت True Zero Touch مبتنی بر TPM در Sophos Central در دسترس قرار گرفته است. برای این منظور، باید پیکربندی فایروال در Sophos Central انجام شود. راهبر فایروال از راه دور، پس از اتصال دستگاه به اینترنت، آن را روشن می‌کند. فایروال به Sophos Central متصل شده و پس از دریافت پیکربندی‌ها، آنها را اعمال نموده و در ادامه در Sophos Central ثبت می‌شود. راهنمای Sophos Central در اینجا قابل دسترس است.

 

RED

 

SD-RED اکنون از پیکربندی Bridge برای رابط‌های شبکه‌ای WAN در تونل RED پشتیبانی می‌کند.

 

سایر بهبودها

 

• همراه با هوش مصنوعی پویا: بخش Sophos Assistant فایروال، مجهز به قابلیت پیشرفته‌ای با عنوان Generative AI شده است.
• شناسایی خودکار زبان: کنسول Web Admin و پورتال کاربر به‌صورت خودکار زبان مرورگر را تشخیص داده و در قسمت پشتیبانی از آن بهره می‌گیرد.
• Gateway سفارشی: Gatewayهای Custom، اکنون از نشانی link-local پشتیبانی می‌کنند.
• بهینه‌سازی داده‌ها در Synchronized Application Control: در این نسخه، فایروال، تنها 5 رخداد اخیر را برای هر برنامه شناسایی‌شده توسط SAC به ازای هر نقطه پایانی نگاه می‌دارد.
• IPv4 internet host group: محدوده نشانی‌های IPv4 عمومی پیش‌فرض به‌روزرسانی شده تا شامل همه دامنه‌های IPv4 باشد.
• شرح آبجکت: فیلدهای توضیح برای آبجکت‌های IP, MAC, FQDN, service لحاظ شده است.
• فهرست کشورها: فهرست کشورها در این نسخه به‌روز شده است.
• Web: در پراکسی وب، قابلیت حفاظتی Pharming به نحوی بهبود داده شده که آسیب‌پذیری‌های بالقوه ناشی از ویرایش نشانی IP مقصد در حین فرایند DNS Resolution کشف شوند. با الگوی به‌روزرسانی‌شده، پالیسی فایروال با استفاده از نشانی استخراج‌شده IP از DNS از طریق Pharming مورد ارزیابی مجدد قرار می‌گیرد.
• XML API: نسخه 0 MR1 از نسخه‌های از رده خارج XML API (شامل 17.5 & 18.0) پشتیبانی نمی‌کند. اگر از APIVersion tag برای شناسایی نسخه‌های قدیمی استفاده می‌کنید تنظیمات Tag را به نسخه‌های قابل پشتیبانی تغییر دهید.

جزییات کامل نسخه 20.0 MR1 در لینک زیر قابل مطالعه است:

https://docs.sophos.com/releasenotes/index.html?productGroupID=nsg&productID=xg&versionID=20.0