Je k dispozici nová verze Sophos Firewall v19.5 MR2. Doporučujeme aktualizaci.
Co je nového ve verzi SFOS v19.5 MR2?
Přístup web admina pro konkrétní IP adresy:
Důrazně doporučujeme zakázat přístup ke konzoli webového správce ze všech zdrojů WAN (internet), aby se snížila možnost útoku. Místo toho doporučujeme vzdálenou správu firewallů provádět prostřednictvím Sophos Central, která je pro všechny zákazníky zdarma.
Pokud však nutně potřebujete zajistit přístup do sítě WAN k webové konzoli správce, verze v19.5 MR2 vynucuje přístup do sítě WAN z konkrétních IP adres a sítí pomocí pravidla výjimky ACL (Administration > Device access > Local service ACL exception rule). Přístup ke konzoli webového správce již nebude možné povolit ze všech zdrojů WAN.
Pro stávající nasazení to nemá žádný dopad: Přístup webového správce, pokud je již povolen ze všech zdrojů WAN, funguje i po aktualizaci na verzi v19.5 MR2, s výjimkou případů, kdy se již nepoužívá (viz následující bod). Jak je však uvedeno výše, důrazně doporučujeme tuto funkci zakázat nebo alespoň použít nové pravidlo výjimky ACL, abyste vylepšili své zabezpečení.
Webový administrátor nebo uživatelský portál Přístup ze všech zdrojů WAN (Internet) je zakázán po 90 po sobě jdoucích dnech nečinnosti:
Mnoho zákazníků si přístup k webové konzoli správce a/nebo portálu uživatele v síti WAN nastavilo již dávno, nepoužívají jej a zapomněli na něj, takže jejich firewally jsou potenciálně vystaveny útokům.
19.5 MR2 automaticky zakáže přístup k webové správcovské konzoli a/nebo uživatelskému portálu z internetu (všechny zdroje WAN) po 90 po sobě jdoucích dnech nečinnosti.
Přístup nakonfigurovaný pomocí nového pravidla výjimky ACL NEBUDE zakázán ani po 90 dnech nečinnosti.
Pro stávající nasazení s aktivním používáním to nemá žádný dopad. Pokud máte povolen přístup k portálu webového správce nebo uživatelskému portálu ze všech zdrojů WAN, přístup k těmto portálům zůstane neovlivněn, pokud bude alespoň jednou za 90 dní probíhat aktivita.
Směrování a konfigurace NAT pro IPsec: Nové návody jsou propojeny přímo s příslušnou částí produktu a pomáhají s nasazením protokolu IPsec, včetně případů použití, jako je přenos DHCP relay generovaný systémem, ověřovací přenos a přenos na hostitele přes existující tunel IPsec.
Další vylepšení:
Dynamické směrování: Nyní podporuje až 4K multicastových skupin pro větší škálovatelnost při nasazení dynamického směrování. Tím jsou odstraněny problémy spojené s tím, že se dynamické směrování nedokáže připojit ke skupinám vícesměrového vysílání.
SD-RED: Nový banner, který upozorňuje správce na blížící se konec životnosti (EoL) pro starší zařízení RED 15(w) a RED 50. Svá zařízení RED byste měli upgradovat na nejnovější modely s vyšším výkonem a lepší konektivitou.
Podrobné informace naleznete v informacích k verzi v19.5 MR2.