Sophos XG Firewall v18 MR-3 - doporučujeme
Vylepšení v Sophos XG Firewall v18 MR-3
Zabezpečení:
- Několik bezpečnostních a tvrdších vylepšení – včetně SSMK (secure storage master key) pro šifrování citlivých dat. Více informací naleznete v KB-000040174
- Granulární volba pro povolení/zakázání ověřování captcha z CLI
Vylepšení VPN:
- Zvýšení kapacity připojení SSL VPN přes celou linii firewall nahoru; 6x zvýšení za 2U HW. KB-000039345 se aktualizuje s rozšířenou kapacitou
- Skupinová podpora pro Sophos Connect VPN klienta
Cloud – vylepšení AWS/ Azure/ Nutanix:
- Podpora novějších instancí AWS – C5/ M5 a T3
- Podpora pro šablony CloudFormation odstranění nutnosti spustit průvodce instalací v některých případech
- Virtuální zóna WAN na vlastní bráně pro použití jednoho ramene po nasazení
- Na jednom rameni – jediné rozhraní v AWS nebo Azure – může admin vytvořit více vlastních bran a k těmto branám připojit různé zóny. To umožňuje správci vytvořit přístupová a bezpečnostní pravidla pro provoz směřující do těchto zón.
- XG Firewall je nyní Nutanix AHV a Nutanix Flow Ready. XG Firewall byl ověřen pro poskytování dvou provozních režimů v rámci infrastruktury Nutanix AHV.
- Optimalizovat náklady na cloud a zlepšit bezpečnost v prostředí s více cloudy pomocí Cloud Optix. automatická identifikace a profilování rizik v oblasti bezpečnosti a dodržování předpisů v rámci AWS, Azure a Google Cloud umožňují týmům opravit bezpečnostní mezery a nejistá nasazení před jejich ohrožením. Více informací.
Vylepšení Central management:
- XG běžící v konfiguraci HA (buď A-A nebo A-P) může nyní spravovat Sophos Central. Každý firewall musí být odděleně spojen se stejným účtem Sophos Central a pokud je seskupen, musí být obě zařízení HA přidána do stejné skupiny.
- Audit stopy byl živě spuštěn pod frontou úkolů
Vylepšení Central Firewall Reporting:
- Začátkem tohoto měsíce vydala společnost Sophos Uložit, plánovat, exportovat a stahovat sestavy.
Problémy vyřešené v18 MR-3
- NC-58229 [Authentication] Sophos AV and Avira AV Pattern updates failing
- NC-51876 [Core Utils] Weak SSHv2 key exchange algorithms
- NC-58144 [DNS] XG self reporting its own lookups in ATP causing flood of events
- NC-54542 [Email] Email banner is added to incoming emails
- NC-59396 [Email] Blocked senders are able to send the mails
- NC-58159 [Firewall] Unable to ping the external IPs from auxiliary appliance console
- NC-58356 [Firewall] Direct proxy traffic doesn’t work when RBVPN is configured.
- NC-58402 [Firewall] Firewall reboots randomly.
- NC-59399 [Firewall] ERROR(0x03): Failed to migrate config. Loading default.
- NC-60713 [Firewall] Userportal hotspot voucher config gets timeout
- NC-60848 [Firewall] HA cluster both nodes rebooting unexpectedly
- NC-59063 [Firmware Management] Remove expired CAs from SFOS
- NC-44455 [HA] System originated traffic is not flow from AUX when SNAT policy configured for system originated traffic
- NC-62850 [HA] Filesystem oddity in /conf
- NC-58295 [IPsec] Dropped due to TLS engine error: STREAM_INTERFACE_ERROR
- NC-58416 [IPsec] IKE SA Re keying won’t be re-initiate itself after re-transmission time out of 5 attempts
- NC-58499 [IPsec] Sophos Connect Client ”IP is supposed to be added in the “##ALL_IPSEC_RW “
- NC-58687 [IPsec] IPsec tunnel not getting reinitiated after PPPoE reconnect
- NC-58075 [Netflow/IPFIX] Netflow data not sending interface ID
- NC-55698 [nSXLd] Not able to add new domain in custom category
- NC-62029 [PPPoE] PPPoE link does not reconnect after disconnecting
- NC-57819 [RED] XG Site to Site RED Tunnel disconnects randomly also with MR10 and v18
- NC-60240 [RED] Interfaces page is blank after adding SD-RED60 with PoE selected
- NC-61509 [RED] RCA s2s red tunnel static routes disappear on FW update
- NC-62161 [RED] RED connection with device becomes unstable after upgrading to v18.0 MR1 from v17.5 MR12
- NC-59204 [SFM-SCFM] Task queue pending but never apply with XG86W appliance
- NC-60599 [SFM-SCFM] Task queue pending but never apply due to no proper encoding
- NC-62304 [SFM-SCFM] The notification e-mail sent from the XG displays the wrong Central Administrator
- NC-61956 [UI Framework] WebAdmin Console and User Portal not accessible because space in certificate name
- NC-62218 [UI Framework] Post-auth command injection via User Portal 1/2 (CVE-2020-17352)
- NC-62222 [UI Framework] Post-auth command injection via User Portal 2/2 (CVE-2020-17352)
- NC-58960 [Up2Date Client] HA: IPS service observed DEAD
- NC-59064 [Web] Appliance goes unresponsive : Awarrenhttp high memory consumption
- NC-60719 [WebInSnort] DPI engine causing website to intermittently load slowly
Od 15. ledna, 2021, starší verze firmware XG Firewall v18, včetně GA a MR1, již nebudou dostávat aktualizace podpisů IPS, protože IPS engine již nebude podporován.
Firewally, které již byly aktualizovány na XG Firewall v18 MR3 (nebo novější) nebo běžící v17.5 nevyžadují žádnou změnu.
Doporučujeme, aby všechny firewally verze 18 byly aktualizovány na MR3 nejpozději před 15. lednem kvůli nepřerušované ochraně IPS. Po 15. lednu, Zařízení Sophos XG Firewall v18 nespouštějící MR3 nebo novější budou stále fungovat normálně, ale neobdrží nové IPS podpisy.