utmshop Support-Portal - Sophos Firewall 19.5 MR2

Beschreibung

Bemerkungen

Features

Wichtige Sicherheits- und Härtungsverbesserungen

Dieses Release implementiert zwei Sicherheitsverbesserungen die dazu dienen, Ihre Firewall zu härten und den Best Practices der Industrie folgen um Ihre Firewall vor Angriffen zu schützen.

Die Änderungen haben Einfluss auf den Zugriff zum WebAdmin und Benutzerportal von der WAN-Zone aus.

WebAdmin-Zugriff von festgelegten WAN-IP-Adressen

Sophos empfiehlt den WebAdmin NICHT über WAN-Schnittstellen verfügbar zu machen
Sophos empfiehlt für die Fernwartung Sophos Central zu benutzen.
Wenn der Zugriff auf den WebAdmin über WAN friegegeben muss, schränken Sie den Zugriff über Access Control Lists (ACLs) ein.
Der WebAdmin wird künftig nicht mehr über alle WAN-Quellen verfügbar sein. Die entsprechende Option wurde aus „Device Access“ entfernt.

Bereits vorhandener Zugang über WAN wird durch diese Änderungen nicht beeinflusst

Nicht genutzter WAN-Zugang zu WebAdmin und Benutzerportal

Zugriff zu WebAdmin und Benutzerportal über WAN wird nun automatisch abgeschalten, wenn über 90 zusammenhängende Tage kein Zugriff erfolgt.
Zugang über bestimmte WAN-IP-Adressen und Netzwerke durch eine Lokale ACL sind von dieser Änderung ausgenommen. Diese Quellen behalten Zugriff auch nach Ablauf der 90 Tage

Diese Änderungen wurden eingeführt um zu verhindern, das ungenutzte Zugänge mögliche Angriffsflächen bieten

Zugriff auf IPsec How-to-Artikel-Liste über WebAdmin

Routing und NAT-Konfigurationen für IPsec:

Eine Liste mit How-to-Artikeln ist direkt auf der Seite „Site-to-Site-VPN“-> „IPsec“ verlinkt, um mit IPsec-Konfigurationen zu helfen, die Routing via NAT benötigen. In der Liste finden sich Artikel die solche Anwendungsfälle näher beleuchten, wie etwa systemgenerierte DHCP-Relays und Authentifizierungs-Verkehr und Verkehr zu einem Host hinter einem existierenden IPsec-Tunnel.

weitere Verbesserungen

Dynamisches Routing: Die Firewall unterstützt nun bis zu 4000 Multicast-Gruppen, wodurch zusätzliche Skalierbarkeit in dynamischen ROuting-Umgebungen bereitgestellt wird. Dadurch wird das Problem beseitigt, das dynamische Routen nicht in der Lage sind Multicast-Gruppen beizutreten.
SD-RED: Ein neues Banner auf den Wireless-Seiten hebt das nahende End-of-Life (EOL) Datum für RED 15, 15w und RED 50-Geräte hervor. Das End-of-Life ist am 31. August 2023.

Betroffene Produktgruppen

Bugfixes

NC-115369: Dynamic Routing (OSPF) OSPF repeatedly flaps when running a continuous scan with ICMP echo in 19.5.
NC-115199: Web Couldn't turn on OTP for the administrator's account.
NC-115019: IPS-DAQ-NSE Primary device in HA becomes unresponsive.
NC-114627: Clientless Access Unable to connect to RDP over Clientless access SSL VPN when username includes a space.
NC-114586: WAF Unable to restore backup taken from Sophos Central.
NC-114411: IPS Engine IPS policy behavior issue when configured through Sophos Central management.
NC-114163: SSLVPN Connections from LAN to static SSL VPN IP address are routed through WAN on the XGS device.
NC-114104: AppFilter Policy Application filter policy set to block all applications doesn't set the risk level when configured through Sophos Central management.
NC-114092: Wireless Wireless APX stopped working with no traffic for Wi-Fi Clients after 19.5 GA upgrade.
NC-114075: SDWAN Routing Connectivity issue when using IPsec route-based VPN with SD-WAN routes and profiles.
NC-114057: Authentication Match known users option in firewall rule drops traffic because user identity isn't being marked.
NC-113902: WAF WAF isn't working after upgrading to 19.5 GA
NC-113866: Static Routing 19.0 and 18.5 migration to 19.5 GA and MR1 blocked when routes are configured from the web admin console using PPPoE interface.
NC-113547: Email Invalid IP address causes an error for notification emails.
NC-113532: Authentication Unable to remove authorizers from data anonymization setting.
NC-113102: DHCP Unable to add static MAC address to a specific DHCP pool.
NC-113005: RED RED tunnels restarted due to a SIGPIPE issue.
NC-113004: Logging Framework Garner crashed at init_cache_tree during sync cache.
NC-112722: SDWAN Routing Garner failure logs for usercache output.
NC-112621: RED Unable to edit some RED interfaces.
NC-112528: VFP-Firewall Unable to upgrade HA pair to 19.5 GA.
NC-112492: Dynamic Routing (PIM) PIMD service shows DEAD status.
NC-112363: IPsec GUI inaccessible over IPsec RBVPN with traffic selectors in use.
NC-112117: RED Editing the details of a RED in XG Firewall caused the firewall to become unresponsive.
NC-112065: SSLVPN When Azure AD is selected as the authentication method, Services page becomes unresponsive.
NC-112058: RED Some reports aren't loading for RED tunnel on XG Firewall.
NC-111151: Clientless Access Clientless VPN bookmark for RDP becomes intermittently unresponsive.
NC-110897: Email Getting error logs when Antivirus mode is set to Sophos in WAF protection policy.
NC-110678: Logging Framework Live logs not appearing in log viewer.
NC-109689: FQDN Adding a new FQDN host object to the firewall causes the resolver to restart or become unresponsive and causes DNS resolution to fail during the time.
NC-109627: Wireless AP and APX devices go offline.
NC-107504: Logging Framework Unable to update the pattern file at AirGap sites.
NC-107388: DDNS DDNS logs appear every 5 minutes.
NC-106284: UI Framework Couldn't see the settings under Administration > Device access with read-only profile sign-in.
NC-103578: Web Web policy set to Warn with filetype policy and default action set to Block results in page block.
NC-102265: VFP-Firewall Kernel crash (_test_firewall+0x171). CPU is unresponsive.
NC-101846: Firewall Connections fail due to high number of sockets in FIN_WAIT status.
NC-100702: UI Framework Package.json URL works on the SSL VPN portal.
NC-95429: WWAN Sierra Wireless MC7430 Qualcomm® Snapdragon™ X7 LTE-A doesn't connect.