trueNetLab logo
BN
Sophos Firewall v22 MR2: আপডেট, নাকি নতুন ঝুঁকি?

Sophos Firewall v22 MR2: আপডেট, নাকি নতুন ঝুঁকি?

সূচিপত্র

Sophos Firewall v22 MR2 প্রকাশিত হয়েছে। Build 546 এসেছে ১৪ জুলাই ২০২৬-এ। এতে রয়েছে সীমিত কিন্তু যথেষ্ট কার্যকর কিছু security feature, authentication পরিবর্তন, certificate সমন্বয় এবং ৫০টির বেশি bug fix।

কাগজে এটি একটি সাধারণ maintenance release। বাস্তবে এতে ঠিক সেই সমন্বয়টি আছে, যার কারণে Sophos update এখন আমি দুবার যাচাই করি: IPS-এ নতুন detection logic, user mapping-এর পরিবর্তিত আচরণ, নতুন certificate chain এবং একই সঙ্গে kernel crash, HA সমস্যা, failsafe state, VPN error ও reporting outage-এর দীর্ঘ তালিকা।

এটি শুধু ইতিবাচক নয়। ৫০টির বেশি fix একদিকে দেখায় Sophos সমস্যা পরিষ্কার করছে। অন্যদিকে GA ও MR1-এ কত গুরুতর সমস্যা তখনও ছিল, সেটিও স্পষ্ট করে। এই firmware quality নিয়ে আমি আগেই Sophos Firewall: CVE নেই, কিন্তু bug আছে (v21.5 থেকে v22) নিবন্ধে সমালোচনা করেছি।

আমি এখনই আমার একটি Sophos Firewall-এ MR2 install করব। release-এর প্রথম দিনেই অন্ধভাবে বিশ্বাস করি বলে নয়; বরং দেখতে চাই Build 546 অবশেষে v22 branch-কে স্থিতিশীল করে কি না, নাকি আবার fix-এর চেয়ে বেশি নতুন bug তৈরি হয়। বিশেষভাবে HA, logging, IPsec, WebAdmin response time, STAS এবং pattern update-এর পর স্থিতিশীলতা দেখব।

একই সঙ্গে Sophos একটি অদ্ভুত বৈপরীত্য তৈরি করছে। official firewall update-এ এখন Config Studio 2.6 অনেক জায়গা পাচ্ছে। বাইরের browser tool-টি template merge, উন্নত search, multi-file diff, migration analysis এবং hardware compatibility data পাচ্ছে। অথচ প্রতিদিন ব্যবহৃত firewall interface-এ দৃশ্যমানভাবে প্রায় কিছুই বদলাচ্ছে না।

তাই MR2-কে আমি প্রযুক্তিগতভাবে গুরুত্বপূর্ণ, কিন্তু কৌশলগতভাবে হতাশাজনক মনে করি। security engine নতুন capability পাচ্ছে, আর modern admin workflow আবার Config Studio-তে সরিয়ে দেওয়া হচ্ছে।

MR2 v22 branch-কে স্থিতিশীল করতে পারে। সত্যিই তা করে কি না, সেটি fix list-এর দৈর্ঘ্য নয়, upgrade-এর পর বাস্তব operation-ই দেখাবে।

সংক্ষেপে সবচেয়ে গুরুত্বপূর্ণ বিষয়

SFOS 22.0 MR2-এর build number 546 এবং এটি MR1 Build 490-এর পরবর্তী release। Sophos মূলত সাতটি ক্ষেত্র উল্লেখ করেছে:

  • post-quantum cryptography শনাক্ত ও নিয়ন্ত্রণ
  • generative AI application-এর উন্নত categorization
  • Manifest V3-ভিত্তিক নতুন Chromebook User ID extension
  • STAS-এর পরিবর্তিত default behavior
  • SFOS 23.0-এ Novell eDirectory support বন্ধ হওয়ার আগাম ঘোষণা
  • নতুন Let’s Encrypt trust chain ও উন্নত email notification
  • analysis, migration এবং comparison feature-সহ Config Studio 2.6

এর সঙ্গে ৫০টির বেশি সমস্যা fix হয়েছে। operation-এর দিক থেকে কিছু fix নতুন feature-এর চেয়েও গুরুত্বপূর্ণ, কারণ এর মধ্যে kernel crash, HA failure, failsafe state, VPN error এবং reporting performance সমস্যা রয়েছে।

আমার সংক্ষিপ্ত মূল্যায়ন:

  • যারা ইতিমধ্যে v22 GA বা MR1 চালাচ্ছেন এবং তালিকাভুক্ত কোনো bug-এর প্রভাব পাচ্ছেন, তাদের MR2 install করার নির্দিষ্ট কারণ আছে।
  • স্থিতিশীল 21.5 installation শুধু PQC বা Config Studio-এর জন্য তাড়াহুড়ো করে upgrade করা উচিত নয়।
  • PQC signature প্রথমে observation mode-এ চালানো উচিত, সরাসরি Drop নয়।
  • STAS environment-এ upgrade-এর পর Identity Probe চলাকালে unauthenticated traffic কীভাবে handle হয় তা পরীক্ষা করতে হবে।
  • HA, IPsec, WAF, mail ও reporting installation-এ শুধু green status নয়, বাস্তব functional test দরকার।
  • Config Studio 2.6 প্রযুক্তিগতভাবে উপকারী, কিন্তু SFOS WebAdmin আধুনিক হচ্ছে—এমন প্রমাণ নয়। বরং উল্টো ইঙ্গিত দেয়।

hardware সীমাও গুরুত্বপূর্ণ: SFOS 22.0 আর XG ও SG hardware appliance support করে না। MR2 XGS, virtual, software এবং supported cloud installation-এর জন্য। এখনও XG hardware চালালে MR2-কে স্বাভাবিক পরবর্তী firmware step হিসেবে নেওয়া যাবে না।

Post-Quantum Cryptography শনাক্ত ও নিয়ন্ত্রণ

সবচেয়ে আকর্ষণীয় প্রযুক্তিগত সংযোজন হলো post-quantum cryptography বা PQC নিয়ন্ত্রণ। এর অর্থ Sophos Firewall হঠাৎ quantum computer ঠেকাবে না। এটি এমন আধুনিক key exchange mechanism নিয়ে কাজ করে, যেগুলো ভবিষ্যতের শক্তিশালী quantum computer-এর attack-এর বিরুদ্ধে বেশি resilient হওয়ার জন্য তৈরি।

MR2 ML-KEM-এর ওপর জোর দেয়। ২০২৪ সালে এটি FIPS 203 হিসেবে standard হয় এবং Module Learning With Errors সমস্যার অনুমিত কঠিনতার ওপর নির্ভর করে। NIST তিনটি parameter set নির্ধারণ করেছে:

  • ML-KEM-512: সবচেয়ে ছোট key ও data volume
  • ML-KEM-768: মাঝারি এবং বর্তমানে বহুল ব্যবহৃত variant
  • ML-KEM-1024: বেশি security level, তবে বেশি computing ও transmission overhead

MR2 documentation-এ Sophos শুধু pure ও hybrid ML-KEM-based key-exchange algorithm-এর কথা বলেছে। কোন parameter set, TLS group বা signature ID covered, তা প্রকাশ করেনি। তাই প্রত্যেক সম্ভাব্য ML-KEM variant শনাক্ত হবে ধরে নেওয়া উচিত নয়।

KEM প্রযুক্তিগতভাবে কী করে

ML-KEM সরাসরি পুরো data stream encrypt করে না। সরলভাবে একটি Key Encapsulation Mechanism-এ তিনটি operation থাকে:

  1. KeyGen একটি encapsulation key এবং সংশ্লিষ্ট decapsulation key তৈরি করে।
  2. Encaps public encapsulation key ব্যবহার করে একটি ciphertext object ও shared secret তৈরি করে।
  3. Decaps অন্য প্রান্তে private decapsulation key দিয়ে একই secret পুনরুদ্ধার করে।

protocol এই shared secret থেকে symmetric session key derive করে। আসল payload এখনও AES বা ChaCha20-এর মতো দ্রুত symmetric algorithm দিয়ে সুরক্ষিত থাকে। অর্থাৎ ML-KEM key negotiation-এর ঝুঁকিপূর্ণ asymmetric অংশটি বদলায়, পুরো TLS data encryption নয়।

ব্যবহারিক পটভূমি হলো Harvest now, decrypt later: attacker আজ encrypted traffic record করে রাখে, যাতে কয়েক বছর পরে cryptographically relevant quantum computer দিয়ে decrypt করতে পারে। স্বল্পস্থায়ী data-র জন্য ঝুঁকি কম হতে পারে। কিন্তু health data, government communication, intellectual property বা দীর্ঘমেয়াদি confidential business data-র protection period নতুন attack class আসার সময়ের চেয়েও দীর্ঘ হতে পারে।

Pure ও hybrid এক নয়

pure PQC key exchange-এ negotiation security শুধু নতুন post-quantum method-এর ওপর নির্ভর করে। hybrid exchange একটি classic mechanism-এর সঙ্গে ML-KEM মিলিয়ে ব্যবহার করে। বাস্তব TLS implementation-এর বহুল ব্যবহৃত উদাহরণ X25519MLKEM768: classic X25519 এবং ML-KEM-768 উভয়ই final secret-এ অবদান রাখে।

migration period-এ এটি যুক্তিযুক্ত। পরে ML-KEM-এ implementation error বা mathematical weakness পাওয়া গেলে classic component থাকে। বিপরীতে যথেষ্ট শক্তিশালী quantum computer classic elliptic curve ভাঙতে পারলেও ML-KEM অংশ থাকে। তাই hybrid অপ্রয়োজনীয় double encryption নয়, migration bridge।

তবে X25519MLKEM768 বর্তমান TLS-এর একটি বাস্তব উদাহরণ মাত্র। Sophos শুধু বা প্রধানত এই group শনাক্ত করে—MR2 documentation এমন দাবি করে না।

IPS কী করে

Intrusion Prevention System নতুন signature পায়, যা pure ও hybrid ML-KEM key exchange শনাক্ত করতে পারে। admin নিজস্ব IPS rule তৈরি করে Allow, Drop বা Reset-এর মতো action সেট করতে পারেন।

TLS handshake-এ offered ও selected key exchange firewall প্রযুক্তিগতভাবে দেখতে পারে। client ClientHello-তে supported group ও key share দেয়, server ServerHello-তে selection নিশ্চিত করে। encrypted application stream শুরু হওয়ার আগেই এটি ঘটে, তাই পরবর্তী HTTPS content না পড়েও detection সম্ভব।

তবে Sophos বলে না Snort বা SFOS IPS pipeline-এর কোন অংশে field-গুলো evaluate হয়, কোন TLS version covered এবং proxy, DPI ও undecrypted FastPath traffic-এ behavior আলাদা কি না। release note capability নিশ্চিত করে, internal data path implementation নয়। তাই production policy-র জন্য firewall ও IPS log দিয়ে নিজস্ব test দরকার।

action-গুলোর প্রভাব আলাদা:

  • Allow connection চলতে দেয় এবং logging-এর সঙ্গে inventory তৈরিতে উপযোগী।
  • Drop matching packet নীরবে ফেলে দেয়; client সাধারণত timeout বা failed handshake দেখে।
  • Reset TCP connection সক্রিয়ভাবে শেষ করে; error দ্রুত দেখা যায়, তবে client ও application log-এ silent drop-এর চেয়ে ভিন্নভাবে দেখা দিতে পারে।

নতুন signature default-এ disabled, যা সঠিক সিদ্ধান্ত। PQC আর শুধু lab technology নয়। বড় browser, cloud service ও web platform ইতিমধ্যে hybrid method test বা ব্যবহার করছে। blanket blocking বৈধ website ও application বন্ধ করতে পারে।

তাই সঠিক rollout হবে:

  1. signature enable করে traffic allow ও log করা।
  2. কয়েক দিন বা সপ্তাহ দেখে কোন application ও destination ML-KEM ব্যবহার করে তা বিশ্লেষণ করা।
  3. internal cryptography policy কোনো method নিষিদ্ধ বা বাধ্যতামূলক করে কি না পরীক্ষা করা।
  4. তারপরই নির্দিষ্ট ক্ষেত্রে Drop বা Reset enforce করা।

প্রথম community discussion-এ একজন admin upgrade-এর পর PQC, KEM বা quantum দিয়ে search করেও signature পাননি। pattern update তখনও না পৌঁছানো বা আলাদা naming এর কারণ হতে পারে। release-এর কয়েক ঘণ্টার তথ্য থেকে product defect নিশ্চিত করা যায় না। তবে documentation সমস্যা স্পষ্ট: signature name, SID, category ও log field খুঁজে না পেলে feature administrate করা যায় না।

policy বদলানোর আগে আমি যাচাই করব:

  • IPS active এবং Network Protection subscription valid কি না
  • কোন IPS pattern version install আছে
  • নতুন signature কোন name ও SID-তে দেখা যায়
  • hit IPS log ও central reporting-এ আসে কি না
  • DPI exception, TLS Inspection ও FastPath-এ detection একই থাকে কি না
  • কোন browser, OS, cloud service ও internal application hit তৈরি করে

Web Protection কী করে

Sophos আরও বলেছে, Web Protection web session-কে unsupported PQC algorithm negotiate করা থেকে আটকায়। এটি IPS signature-এর কাজ নয়। IPS pattern detect করে action নেয়। Web Protection controlled TLS ও web workflow-তে হস্তক্ষেপ করে, যাতে firewall process করতে পারে না বা policy অনুমতি দেয় না—এমন method connection ব্যবহার না করে।

TLS Inspection-এ এটি বিশেষভাবে গুরুত্বপূর্ণ। firewall client-এর TLS session terminate করে এবং destination server-এর দিকে দ্বিতীয় TLS session তৈরি করে। তাই দুটি আলাদা handshake ও দুটি session key set থাকে। browser ও web server PQC support করলেও মাঝের inspection component offered group ঠিকভাবে process নাও করতে পারে।

controlled behavior না থাকলে জটিল error হয়: client নতুন group offer করে, firewall handshake relay করতে পারে না, server অপ্রত্যাশিত variant বেছে নেয় বা fallback ভিন্নভাবে চলে। MR2 unsupported PQC algorithm negotiation বন্ধ করার কথা বলে।

Sophos যা সুনির্দিষ্ট করেনি, সেটিও গুরুত্বপূর্ণ: Web Protection-এর জন্য আলাদা PQC policy matrix, supported group list বা unsupported offer remove, reject কিংবা classic fallback-এ বদলে দেওয়া হয় কি না—কিছুই বলা নেই। এটিকে configurable IPS action-এর সমান ধরা যাবে না।

feature-টি উপকারী, কিন্তু cryptography strategy-র বিকল্প নয়। কোন TLS connection decrypt হয়, কোথায় exception আছে এবং PQC শুধু observe নাকি enforce করা হবে—organization-কে এখনও জানতে হবে।

Generative AI application আরও দৃশ্যমান

দ্বিতীয় security feature হলো Synchronized Application Control-এর মাধ্যমে generative AI application-এর উন্নত categorization।

মূল ধারণা নতুন নয়: Sophos Endpoint দেখে কোন local process connection খুলেছে এবং Security Heartbeat-এর মাধ্যমে application context firewall-কে জানায়। port, destination IP ও encrypted traffic যথেষ্ট না হলেও SFOS session-কে program-এর সঙ্গে associate করতে পারে।

simplified data path:

  1. protected endpoint-এর application network connection খোলে।
  2. Sophos Endpoint process name, path ও local application context জানে।
  3. Security Heartbeat endpoint ও firewall visibility যুক্ত করে।
  4. SFOS unknown বা মোটামুটি চিহ্নিত session-কে application-এর সঙ্গে map করে।
  5. application Synchronized Application Control-এ আসে ও categorize করা যায়।
  6. Application Filter Policy traffic allow, block বা shape করে।

Connection List-এ Resolve application info unidentified connection-এর জন্য endpoint থেকে data চাইতে পারে। application list name, path, category বা endpoint দিয়ে search করা যায়। Sophos সর্বোচ্চ 15,000 managed application উল্লেখ করে। memory বাঁচাতে application ও endpoint প্রতি শুধু শেষ পাঁচটি occurrence রাখা হয়।

MR2 বিশেষভাবে generative AI application mapping উন্নত করে। Sophos Endpoint আরও নির্ভুলভাবে এগুলো detect করে SFOS-কে information দেওয়ার কথা। Generative AI category Application Filter ও report-এ ব্যবহার করা যায়।

admin-এর জন্য তিনটি দিক গুরুত্বপূর্ণ:

  • Visibility: organization কোন generative AI application ব্যবহার করছে তা report-এ পরিষ্কার হয়
  • Rule: detected application আরও নির্দিষ্টভাবে allow, restrict বা block করা যায়
  • Inventory: approved ও unapproved AI service আলাদা করার ভালো ভিত্তি

এটি উপকারী, কিন্তু “generative AI detect” কথাটিকে অতিরঞ্জিত করা যাবে না। Synchronized Application Control মূলত উত্তর দেয়: কোন application connection তৈরি করেছে? এটি নিজে থেকে বলে না:

  • user কী prompt দিয়েছে
  • কোন file upload হয়েছে
  • personal বা confidential data ছিল কি না
  • browser session private না business use
  • approved service-এর embedded AI feature ব্যবহার হয়েছে কি না

unique process path-সহ desktop client একই browser process-এর দশটি AI web service-এর চেয়ে সহজে map হয়। URL categorization, TLS Inspection ও cloud-app detection অতিরিক্ত তথ্য দিতে পারে, তবে এগুলো আলাদা detection layer।

মূল্য Sophos Endpoint, active Security Heartbeat ও enabled Synchronized Application Control-এর ওপরও নির্ভরশীল। প্রথম enable Sophos Central থেকে করতে হয়। শুধু SFOS চালালে বা Heartbeat path-এর বাইরে endpoint থাকলে একই depth পাওয়া যাবে না।

সঠিক expectation হলো উন্নত application attribution এবং ভালো policy basis। কোন AI service অনুমোদিত ও সেখানে কোন data process করা যাবে—এই organizational প্রশ্ন একা MR2 সমাধান করে না।

upgrade-এর পর পুরো Generative AI category সঙ্গে সঙ্গে block করব না। আগে report-এ দেখতে হবে hit endpoint context, firewall signature না web categorization থেকে এসেছে। না হলে Microsoft 365, developer tool, browser বা support platform-এর উৎপাদনশীল feature প্রকৃত ব্যবহার না বুঝেই block হতে পারে।

Authentication ও user mapping পরিবর্তন

MR2-এ তিনটি স্বাধীন authentication topic আছে। দুটির জন্য প্রস্তুতি দরকার, তৃতীয়টি early migration warning।

Manifest V3-সহ Chromebook User ID

Sophos Chromebook User ID Extension এখন Chrome-এর বর্তমান extension platform Manifest V3 ব্যবহার করে।

গুরুত্বপূর্ণ বিষয়: Sophos পুরোনো extension uninstall করে নতুনটি install করতে বলেছে। silent in-place update যথেষ্ট নয়। centrally managed Chromebook-সহ school ও business-এর Google Admin policy দিয়ে transition তৈরি, pilot group-এ test এবং পরে broad rollout করা উচিত।

extension SSO path-এর শুধু একটি অংশ। Sophos আরও চায়:

  • firewall-এ AD, LDAP বা Google Secure LDAP server
  • SFOS-protected network-এ Chromebook
  • registered Google Workspace domain-এর user address
  • encrypted communication-এর certificate ও matching CN
  • default Sophos communication port 65123
  • SFOS থেকে export করা ও Google Workspace-এ রাখা JSON configuration
  • accounts.google.com, Google API host এবং Chrome Web Store access

Google Workspace-এর Devices > Chrome > Apps and extensions > Users and browsers থেকে extension deploy হয়। production-এ Force install উপযোগী, যাতে user এটি remove করতে না পারে। API Controls-এ Sophos User ID App trusted করতে হবে, নইলে OAuth fail করতে পারে।

switch-এর পর শুধু extension installed কি না নয়, পুরো chain test করতে হবে:

  1. user Chromebook-এ sign in করে।
  2. extension নির্ধারিত network ও certificate দিয়ে firewall-এ পৌঁছায়।
  3. user Live users-এ দেখা যায়।
  4. user-based rule সত্যিই user বা group-এ match করে।
  5. sign-out বা device change-এর পর mapping সঠিকভাবে মুছে যায়।

নতুন extension ছাড়া future update বন্ধ হতে পারে। authentication design অনুযায়ী user mapping এবং user-based firewall বা web rule ক্ষতিগ্রস্ত হতে পারে। school-এ firewall, internet ও Chromebook সব “online” মনে হলেও filtering বন্ধ হতে পারে।

STAS Identity Probe-এর সময় default-এ আর block করে না

Sophos Transparent Authentication Suite-এ MR2 Restrict client traffic during identity probe-এর default value No করে।

STAS Windows domain controller-এ দেখা user-কে IP address-এর সঙ্গে map করে:

  1. user Windows domain-এ log on করে।
  2. domain controller Security Audit Event লেখে; নতুন Windows version-এ সাধারণত Event ID 4768
  3. STAS Agent event থেকে username ও IP address পড়ে।
  4. agent default-এ TCP 5566 দিয়ে collector-কে পাঠায়।
  5. collector successful mapping UDP 6060 দিয়ে firewall-কে জানায়।
  6. SFOS unknown IP-এর traffic দেখলে port 6677-এ collector query করতে পারে।
  7. firewall configured AD server থেকে group membership যোগ করে user-based rule apply করে।

unknown IP Learning Mode-এ যায়। আগে probe-এর সময় traffic default-এ hold বা discard হতো। documented default period 120 seconds। collector reply না দিলে IP পরে এক ঘণ্টা unauthenticated থাকতে পারে, তখন unauthenticated traffic-এর rule চলে।

MR1-এ এখানে বাস্তব operation সমস্যা ছিল। Sophos NC-181885 document করেছে: Restrict client traffic during identity probe = Yes থাকলে repeated Identity Probe intermittent disruption করতে বা MR1 upgrade block করতে পারত। MR2 fix version এবং একই সঙ্গে default No করে।

No হলে probe চলাকালে client traffic চলতে থাকে। disruption কমে, তবে trade-off বদলায়:

  • user কম interruption পায়।
  • firewall-এর কাছে তখনও confirmed identity নাও থাকতে পারে।
  • transition phase-এ user-based rule ও logging যাচাই দরকার।

এটি availability ও strict identity enforcement-এর trade-off। Yes-এ collector communication failure client block করতে পারে। No-তে identity confirm হওয়ার আগে traffic যেতে পারে। সেটি general network rule, unauthenticated rule না পরে user rule-এ match করে, নিজস্ব ruleset-এ test করতে হবে।

release note বলছে default value No হচ্ছে। ইচ্ছাকৃতভাবে set করা existing configuration সব overwrite হবে কি না পরিষ্কার নয়। upgrade-এর পর actual value পরীক্ষা করতে হবে।

আরও পরীক্ষা করা উচিত:

  • firewall ও collector-এর মধ্যে UDP 60606677 open কি না
  • STAS Service চলছে এবং সঠিক NIC-তে bound কি না
  • fault tolerance-এর জন্য একাধিক collector group করা আছে কি না
  • printer, IoT ও non-domain device-এর Clientless User object আছে কি না
  • sleep, roaming, DHCP change ও logout-এর পর user ঠিকভাবে map হয় কি না
  • Learning Mode ও unauthenticated state-এর rule security design অনুযায়ী match করে কি না

যেখানে identity শুধু reporting নয়, বাস্তব access condition, সেখানে এটি বিশেষ গুরুত্বপূর্ণ।

Novell eDirectory SFOS 23.0-এ শেষ হচ্ছে

MR2 প্রথমবার আগাম জানায় যে Sophos SFOS 23.0-এ Novell eDirectory authentication server support বন্ধ করবে।

MR2-এ eDirectory এখনও চলে। এটি advance notice, immediate service loss নয়। production user-এর SFOS 23.0 install করার আগে supported authentication type-এ migrate করা উচিত।

migration শুধু server entry বদলানো নয়। group, firewall rule, web policy, VPN access, user portal ও reporting identity source-এর ওপর নির্ভর করতে পারে। ভিন্ন Distinguished Name, nested group, search path ও username format-এর কারণে successful LDAP test policy migration সফল প্রমাণ করে না।

STAS দীর্ঘদিন ধরেই eDirectory-র জন্য LDAP over SSL/TLS support করে না, তাই সম্পূর্ণ removal পুরোপুরি অপ্রত্যাশিত নয়। replacement architecture-কে test account, parallel group, documented rule reference ও rollback plan-সহ আলাদা project হিসেবে নিতে হবে।

Let’s Encrypt: নতুন chain ও উন্নত identification

Let’s Encrypt ধীরে ধীরে certificate infrastructure নতুন root ও intermediate certificate-এ নিচ্ছে। MR2 YE Root, YE1, YE2, YR Root, YR1YR2 support যোগ করে।

এই Generation Y hierarchy-তে দুই key type-এর নতুন Root CA আছে:

  • ISRG Root YE ECDSA P-384 ব্যবহার করে এবং পুরোনো ECDSA path-এর successor।
  • ISRG Root YR RSA 4096 ব্যবহার করে এবং নতুন RSA root path।
  • YE1YE2 ECDSA P-384 intermediate।
  • YR1YR2 RSA 2048 intermediate।

root-গুলো existing ISRG root দিয়ে cross-signed। browser ও OS vendor নতুন root Trust Store-এ নেওয়ার সময়ও নতুন chain পুরোনো widely deployed trust anchor-এ terminate করতে পারে। YE1, YE2, YR1 ও YR2 intermediate ২০২৬ সালে active issuance-এর জন্য relevant হয়েছে।

SFOS-এর জন্য এটি মূলত compatibility change। automatic issuance, renewal, WAF use ও validation যাতে নতুন Let’s Encrypt infrastructure-এ কাজ করে, firewall-কে নতুন issuer ও chain চিনতে হবে। updated trust chain না থাকলে domain, port 80 ও HTTP-01 validation সঠিক হলেও certificate operation fail করতে পারে।

operation-এ এটি বিরক্তিকর, কারণ ACME error সহজেই DNS, DNAT, port 80, WAF rule বা Terms of Service সমস্যা মনে হয়, যখন আসল কারণ নতুন CA chain।

SFOS এখনও HTTP-01 ব্যবহার করে। domain FQDN selected public WAN address-এ point করতে হবে, port 80 firewall-এ পৌঁছাতে হবে এবং একই address ও port 80-এর competing DNAT rule validation আটকাতে পারে। MR2 এই মূলনীতি বদলায় না; supported CA hierarchy বাড়ায়।

Let’s Encrypt email notification-এ এখন firewall hostname ও serial number থাকে। MSP ও বড় environment-এ এটি খুব উপকারী: generic message থেকে অনুসন্ধান না করে warning সঠিক device-এ map করা যায়।

এটি ছোট কিন্তু বাস্তব quality-of-life improvement। centrally managed firewall-এর system message-এ অন্তত hostname, serial number, model ও firmware থাকা উচিত। backup email-এর পর Let’s Encrypt-ও MR2-এ সেই পথে এগিয়েছে।

Config Studio 2.6: প্রতিটি নতুন feature

Sophos MR2 announcement-এ Config Studio 2.6-কে official অংশ হিসেবে রেখেছে, যদিও এটি আলাদা browser-based tool, SFOS-এর ভেতরের নতুন interface নয়। মূল workflow আগের নিবন্ধ Sophos Firewall Config Studio V2: viewer-এর চেয়েও বেশি-তে export, Entities.xml, comparison ও editor-সহ ব্যাখ্যা করা হয়েছে।

প্রযুক্তি ও privacy-র জন্য গুরুত্বপূর্ণ: Sophos বলছে parsing, analysis ও report generation endpoint-এর browser-এ local হয়; configuration Sophos বা অন্য server-এ upload হয় না। Entities.xml-এ internal network, object, ruleset, VPN definition, certificate reference ও organizational name থাকতে পারে।

local processing স্বয়ংক্রিয়ভাবে risk-free নয়। browser এখনও internet থেকে application load করে। highly sensitive environment-এ code version, browser cache, offline use, endpoint hardening ও export-এর secure storage বিবেচনা করতে হবে। Entities.xml uncontrolled অবস্থায় Downloads, ticket বা সাধারণ cloud synchronization-এ রাখা উচিত নয়।

Config Studio 2.6 এখন পাঁচটি work area cover করে:

  • Policy Test, analysis ও global search-সহ Configuration Report
  • দুই বা তার বেশি configuration comparison
  • bulk editing এবং XML, API বা curl output-সহ visual editor
  • Sophos UTM, SonicWall, FortiGate ও Palo Alto Networks থেকে migration
  • backup restore, Flexi Port, transceiver ও model compatibility

Template merge

Merge Templates baseline configuration-এর সঙ্গে industry-specific template মিলিয়ে দেয়। MSP logging, DNS, admin access ও standard object-এর technical baseline-এর সঙ্গে clinic, school বা branch template যোগ করতে পারে।

reuse প্রতিটি firewall-এ শূন্য থেকে শুরু করা ঠেকায়, কিন্তু conflict handling গুরুত্বপূর্ণ:

  • একই object name-এ ভিন্ন value হলে কী হয়?
  • UUID, reference ও rule order consistentভাবে resolve হয় কি?
  • কোন interface ও zone reference target model-এ fit করে না?
  • merge duplicate বা overlapping rule তৈরি করে কি?
  • restrictive object কি broader template value দিয়ে বদলে যায়?

merge-এর পর Duplicate Analysis, Shadow Rule Analysis, Usage References ও সম্পূর্ণ Policy Test বাধ্যতামূলক। technically successful merge resulting policy secure প্রমাণ করে না।

global search configuration object দ্রুত খুঁজে সরাসরি সেখানে নিয়ে যায়। বড় ruleset-এ একটি host object firewall, NAT, TLS, web বা VPN configuration-এ referenced হতে পারে। data type অনুযায়ী value, path ও referenced element-ও searchable। Server, LAN_Network বা পুরোনো host group-এর মতো generic name-এ direct navigation বিশেষ উপকারী।

search Usage Reference নয়। search জিজ্ঞেস করে “object বা value কোথায়?”, Usage Reference জিজ্ঞেস করে “অন্য কোন configuration element এর ওপর নির্ভর করে?” safe change-এর জন্য দুটোই দরকার। এই feature সরাসরি firewall interface-এও জরুরি।

বেশি তথ্যপূর্ণ configuration report

report firewall, NAT ও TLS rule-এ শুধু reference name নয়, ব্যবহৃত object-এর value ও detail-ও দেখায়। শুধু Webserver-Gruppe না দেখে reviewer কোন host বা network group-এর মধ্যে আছে তা দেখতে পারে। পরিষ্কার নামের আড়ালেও Any, overly broad network বা obsolete entry থাকতে পারে।

report Policy Test ও analysis support করে। Policy Test নির্দিষ্ট source ও destination-এ কোন rule বা route match করে তা পরীক্ষা করে। analysis shadowing ও duplicate খোঁজে। SFOS firewall rule top-down evaluate করে এবং প্রথম match-এ থামে, তাই order শুধু presentation নয়, security logic।

Config Studio 2.6: Migration, comparison ও export

Success rate-সহ migration analysis

Config Studio migration ও conversion information, সফলভাবে নেওয়া অংশের percentage-সহ দেখায়। percentage দ্রুত indicator, acceptance report নয়।

Sophos কয়েকটি state আলাদা করে:

  • Supported: স্বয়ংক্রিয়ভাবে ও substantive change ছাড়া migrated
  • Partial: gap-সহ migrated; missing অংশ পূরণ দরকার
  • Manual: Sophos Firewall-এ manually recreate করতে হবে
  • Not supported: migrated হয় না
  • Action required: export-এর আগে decision দরকার

95 শতাংশ configuration convert হলেও missing পাঁচ শতাংশ certificate, password, VPN, NAT বা special routing হতে পারে। তাই green percentage নয়, unresolved, partial বা automatically resolved element-এর list-ই মূল্যবান।

vendor logic বাস্তবেই আলাদা। FortiGate rule বেশি interface-based হতে পারে, SFOS zone ব্যবহার করে। Palo Alto-তে অন্য object, zone ও policy model আছে। Config Studio syntax ও structure convert করতে পারে, কিন্তু security model semantically identical প্রমাণ করতে পারে না।

Multi-File Configuration Diff

Multi-File Diff দুই বা তার বেশি configuration সময় ধরে compare করে। Config Studio file modification date অনুযায়ী সাজায় এবং field-level-এ added, removed বা changed দেখায়।

Side-by-Side, Unified ও Semantic view আছে। plain XML diff order, ID ও formatting-এর noise-এ ভরে যায়, তাই semantic comparison বিশেষ গুরুত্বপূর্ণ। entity ও field-level diff আসল configuration change দেখানোর চেষ্টা করে।

change reconstruction ও delayed problem troubleshooting-এ এটি উপকারী। তবে নিয়মিত saved configuration, সঠিক timestamp ও sensitive export-এর secure handling দরকার। downloaded বা copied file-এর modification date firewall change-এর সময় নাও হতে পারে। reliable history-র জন্য filename, export time, hostname, serial number, firmware ও change ticket একসঙ্গে document করা উচিত।

version discipline ছাড়া Multi-File Diff history তৈরি করতে পারে না। manual upload-এর বদলে immutable Audit History-সহ Central-এ সরাসরি থাকলে feature-টি অনেক শক্তিশালী হতো।

Backup restore, Flexi Port ও speed reference

Config Studio বিভিন্ন Sophos Firewall model-এর backup restore compatibility ও port layout পরীক্ষা করতে পারে। Flexi Port module এবং 25, 40 বা 100 Gbit/s পর্যন্ত supported port speed ও standard-ও দেখায়।

hardware migration-এর আগে বোঝা যায়:

  • backup সাধারণভাবে restore করা যাবে কি না
  • কত physical port আছে
  • existing Flexi Port module compatible কি না
  • কোন interface standard ও speed supported

এটি migration design-এর বিকল্প নয়। LAG, VLAN, bridge, HA, port name, zone ও interface mapping এখনও plan ও restore-এর পর verify করতে হবে।

broader backup restore compatibility SFOS 20.0 MR2 ও পরবর্তী target-এর জন্য। source ও target অনুযায়ী Backup-Restore Assistant interface map করে। physical port remap করা যায়, VLAN ও alias parent interface follow করে এবং LAG বা bridge mapped port থেকে rebuild হয়।

Flexi Port-এ শুধু module physically fit করে কি না যথেষ্ট নয়। model generation, form factor, transceiver, supported standard, port speed, breakout behavior ও SFOS version একসঙ্গে পরীক্ষা করতে হবে। Config Studio reference দ্রুত করে, কিন্তু migration-এর পর link ও failover test-এর বিকল্প নয়।

Dark Mode

release note-এ Dark Mode-ও আছে। এটি ছোট usability improvement, firewall feature নয়। তবু প্রতীকী: local WebAdmin console-এর visual ও ergonomic উন্নতি বছরের পর বছর ধীর, অথচ Dark Mode-ও আগে external Config Studio-তে আসে।

Editor প্রযুক্তিগতভাবে কী output দেয়

editor configuration import বা নতুন তৈরি করতে, Bulk Changes করতে এবং export-এর আগে Import XML, API Request বা curl হিসেবে result দেখাতে পারে। XML বা TAR archive download করে Backup & firmware > Import export দিয়েও SFOS-এ import করা যায়।

ক্ষমতা admin-এর দায়িত্বও বাড়ায়। generated API request স্বয়ংক্রিয়ভাবে idempotent নয়। successful import Rule Order, object use, NAT, VPN ও Security Policy functionally সঠিক প্রমাণ করে না। production-এর আগে output change ticket-এ, diff review-তে এবং result real data path test-এ নিতে হবে।

৫০টির বেশি Fix-ই MR2-এর আসল কারণ

Sophos ৫০টির বেশি reliability, stability ও security problem fix করেছে। সব fix সব installation-এ প্রযোজ্য নয়, তবে বেশ কয়েকটি গুরুতর।

ক্ষেত্রRelease note-এর উদাহরণব্যবহারিক অর্থ
HA ও failsafeNC-177467, NC-181331, NC-177441, NC-180110auxiliary startup, পূর্ণ configuration partition, logging ও Postgres HA device বা primary-কে failsafe-এ নিতে পারত।
Firewall ও SD-WANNC-180974, NC-178354, NC-177934, NC-181741kernel crash, upgrade-এর পর failsafe ও প্রতি ঘণ্টায় unauthenticated traffic drop বাস্তব outage ঘটাতে পারত।
IPsec ও routingNC-180433, NC-171719, NC-180520, NC-176855multicast firewall crash করতে পারত; ESP routing, XFRM gateway ও IPv6 throughput ক্ষতিগ্রস্ত ছিল।
Reporting ও logNC-181520, NC-178745, NC-155252Log Viewer দ্রুত হয়; memory ও disk I/O সমস্যা restart, CPU spike ও ছোট internet outage ঘটাতে পারত।
Central ManagementNC-181175, NC-180513, NC-181904Group Policy pending থাকত, import কাজ করত না ও Central থেকে quarantine mail release করা যেত না।
Security ও updateNC-180331, NC-180066, NC-177769kernel vulnerability, failed AV pattern update ও stuck eBPF service address করা হয়েছে।
WAF ও mailNC-180200, NC-177930, NC-171602Home Edition WAF outage, mail spool ও DKIM problem fix হয়েছে।

HA ও failsafe peripheral বিষয় নয়

কিছু fix একটি feature নয়, appliance operation-এ প্রভাব ফেলে:

  • NC-181331: পূর্ণ configuration partition firewall-কে Failsafe Mode-এ নিতে পারত।
  • NC-180110: primary-তে Logging Daemon start না হলে HA device failsafe-এ যেত।
  • NC-177441: v22 GA upgrade-এর পর Postgres problem original primary-কে failsafe-এ নিতে পারত।
  • NC-178906: RED Server Service start না হয়ে failsafe trigger করতে পারত।
  • NC-177467: প্রচুর concurrent unauthenticated SSH attempt-এ auxiliary ঠিকমতো start করত না।

কারণ ভিন্ন, operation result একই: service হারায়, protection mode আসে বা green cluster view থাকা সত্ত্বেও HA peer unavailable হয়। upgrade-এর পর শুধু HA status: Active-Passive নয়; synchronization, service status, failover ও real traffic test করতে হবে।

IPsec Fix data path-এর গভীরে যায়

  • NC-180433: VPN tunnel দিয়ে multicast traffic repeated firewall crash ঘটাতে পারত।
  • NC-171719: SD-WAN scenario-তে ESP traffic ভুল routing-এ যেত।
  • NC-180520: IPsec Acceleration enabled থাকলে, tunnel alias IP-তে bound ও ESP অন্য WAN port দিয়ে এলে upgrade-এর পর XFRM gateway unavailable থাকত।
  • NC-176855: route-based IPsec-এ IPv6 throughput ক্ষতিগ্রস্ত ছিল।
  • NC-178121: drag-and-drop Failover Group-এর site-to-site IPsec connection ভুল position-এ নিতে পারত।

এই ক্ষেত্রে tunnel status Active কিছুই প্রমাণ করে না। route-based VPN-এ XFRM interface, Routing Table, SD-WAN decision, ESP path, MTU, IPv4 ও IPv6 আলাদাভাবে test করতে হবে। Failover Group-এ order ও switching documented priority অনুযায়ী কি না যাচাই দরকার।

Logging ও reporting নিজেরাই outage ঘটিয়েছে

NC-155252 বিশেষভাবে খারাপ: reporting-এর high disk I/O load CPU spike ও এক মিনিট পর্যন্ত intermittent internet outage ঘটাত। analysis subsystem production data path-এ প্রভাব ফেলেছে।

NC-178745 Logging Framework-এর out-of-memory-তে HA device automatic restart এবং NC-181520 Log Viewer performance উন্নতির কথা বলে। একসঙ্গে এগুলো দেখায় SFOS logging নিরীহ side feature নয়। storage, database, Garner, Log Viewer ও Central Reporting system-এর সঙ্গে interface-এ দেখার চেয়ে বেশি ঘনিষ্ঠ।

MR2-এর পর নতুন log line ছাড়াও পরীক্ষা দরকার:

  • firewall, IPS, WAF, authentication ও VPN event সম্পূর্ণ আসে কি না
  • timeline-এ gap আছে কি না
  • external syslog collector data পায় কি না
  • normal load-এ CPU, RAM ও disk I/O stable কি না
  • report data path-এ প্রভাব না ফেলে তৈরি হয় কি না

Central Fix “Single Pane of Glass”-এর সীমা দেখায়

NC-181175-এ Sophos Central-এর Group Policy Pending থাকত। NC-180513 MR1 upgrade-এর পর Central View configuration import এবং NC-181904 Central থেকে quarantine mail release problem।

common issue: central interface operation accept বা display করতে পারে, কিন্তু firewall সত্যিই execute করেছে প্রমাণ করে না। Group Policy push-এর পর target device-এ object, rule, order ও timestamp এসেছে কি না পরীক্ষা করতে হবে। Central-এর success dialog technical commit proof নয়।

এ কারণেই maintenance release শুধু feature list দিয়ে বিচার করি না। logging, Postgres, SD-WAN বা multicast-এর জন্য firewall failsafe বা restart হলে তার fix নতুন dashboard tile-এর চেয়ে মূল্যবান।

তবে fix সংখ্যা quality certificate নয়। এটি problem ঠিক হয়েছে এবং আগের build-এ কত serious problem ছিল—দুটিই দেখায়। critical HA, VPN বা WAF environment-এর ভয়ে পুরোনো build-এ অনন্তকাল থাকা বা প্রথম দিন untested MR2 সবখানে deploy—কোনোটিই উচিত নয়।

Upgrade-এর আগে admin-এর কী পরীক্ষা করা উচিত

Sophos security, stability ও performance fix-এর জন্য MR2 দ্রুত install করতে বলে। production-এ দ্রুত মানে blind নয়।

Bridge-এর Legacy VLAN Tagging MR2 block করে

MR2 bridge interface-এর পুরোনো CLI-based VLAN tagging-এর জন্য hard upgrade block যোগ করে। configuration-এ legacy system vlan-tag থাকলে SFOS 22.0 MR2 বা নতুন version-এ upgrade করা যাবে না।

আগে পরিষ্কার বা migrate করতে হবে। এই legacy configuration-সহ backup SFOS 22.0 GA বা নতুন version-এ restore-ও করা যায় না। বহু বছরের ও CLI-modified installation-এ এটি বিশেষ গুরুত্বপূর্ণ।

আগের v22 বাধাও থাকে

  • Legacy Remote Access IPsec MR1 বা MR2-এর আগে remove বা migrate করতে হবে।
  • SFOS 22 বেশি storage চায়; কিছু desktop, virtual বা software appliance adjust করতে হবে।
  • policy-based IPsec VPN behavior GA থেকে বদলেছে এবং সংশ্লিষ্ট tunnel test দরকার।
  • XG ও SG hardware SFOS 22 support করে না।
  • RED 15, RED 15w ও RED 50 v21.5 থেকে unsupported।

আমার upgrade process

production firewall-এ অন্তত:

  1. current backup তৈরি ও externally store করা।
  2. support, license status ও approved upgrade path দেখা।
  3. Legacy Remote Access IPsec ও bridge-এর CLI VLAN tagging নেই নিশ্চিত করা।
  4. Control Center-এর Disk Space warning দেখা।
  5. HA-তে দুই node, synchronization ও available firmware দেখা।
  6. critical VPN, WAF publication, mail flow, SD-WAN rule ও authentication document করা।
  7. representative test বা less critical appliance-এ আগে MR2 install করা।
  8. upgrade-এর পর log, pattern, HA, routing, DNS, VPN, WebAdmin, reporting ও central policy push test করা।

বেশি fix-এর release-এ before/after test বিশেষ মূল্যবান। নইলে শুধু firmware নতুন জানা যায়, critical data path ঠিক আগের মতো কাজ করে কি না নয়।

SFOS version 20 থেকে configuration migration fail হলে automatic firmware rollback করে। Factory Configuration-এ start-এর risk কমে, কিন্তু unsupported upgrade path বা কিছু Setup Assistant flow-সহ সব scenario covered নয়। automatic rollback-এর পর migration.logmigrationhash.log analysis দরকার।

automatic rollback externally stored backup, Secure Storage Master Key বা console access-এর বিকল্প নয়। এটি মূলত failed configuration migration থেকে রক্ষা করে; successful upgrade-এর পর WAF, VPN, HA বা reporting functionally correct প্রমাণ করে না।

আমার direct MR2 test-এ আগে ও পরে একই বিষয় measure বা trigger করব:

  • reboot ও complete service startup
  • WebAdmin login ও বড় rule list response
  • local ও external log flow
  • IPsec traffic, rekey ও failover
  • firewall-এ verified Central Policy Push
  • IPS ও Application Control pattern update
  • STAS reauthentication ও unknown client IP behavior
  • cluster হলে HA synchronization ও controlled role change

তারপরই বলতে পারব আমার environment-এ MR2 সত্যিই ভালো কি না। successful installation ও green Control Center যথেষ্ট নয়।

প্রথম Community feedback কী বলে

feedback thread MR2 release-এর দিনই খুলেছে এবং এই analysis-এর সময় মাত্র কয়েক ঘণ্টার পুরোনো। এতে MR2 stable বা problematic—কোনোটিই প্রমাণ হয় না।

দুটি discussion তবু উল্লেখযোগ্য:

  • XGS 5500 Active-Passive HA operator test depth জানতে চেয়েছেন, কারণ NC-177467 MR1-এ কয়েক মাস সমস্যা করেছে। Sophos MR2-এ fixed বলেছে; অনেক simultaneous unauthenticated SSH attempt-এ auxiliary start না হওয়ার সমস্যা।
  • PQC signature সম্পর্কে Sophos employee বলেছে এগুলো ইচ্ছাকৃতভাবে disabled। browser ও application-এ PQC TLS বাড়ছে, তাই immediate enable অনেক alert দিতে পারে। প্রথমে Allow ও logging, পরে দরকার হলে blocking action সুপারিশ করা হয়েছে।

নতুন release-এর early phase-এ এটিই যুক্তিযুক্ত: vague “চলে” বা “ভাঙা” নয়, concrete test, case ID ও reproducible feedback। HA, IPsec, WAF, STAS ও reporting-এর জন্য thread দেখব।

Config Studio পুরোনো interface-এর spare-parts store হচ্ছে

এখন অস্বস্তিকর অংশ।

Config Studio 2.6 ভালো tool। template merge, object search, report-এ reference resolve, একাধিক configuration compare এবং hardware migration preparation সত্যিকারের admin feature। Sophos এগুলো বানায় বলে নয়, কোথায় বানায়—সেটিই আমার সমালোচনা।

Sophos এখন firewall release note ও official MR2 announcement-এ Config Studio সরাসরি উল্লেখ করছে। WebAdmin বা Sophos Central-এ সমাধান হওয়া উচিত এমন সমস্যার strategic answer মনে হচ্ছে।

local firewall UI এখনও পুরোনো এবং বড় configuration-এ প্রায়ই ধীর। bulk change অপর্যাপ্ত। object usage, real global search, clean diff, NAT cloning, rule conflict ও modern change workflow admin-এর দৈনন্দিন interface-এ নেই। Central শুধু কিছু gap ভরে।

problem শুধু design নয়। modern firewall interface-এ দরকার:

  • instantly applied individual change-এর বদলে Candidate Configuration
  • commit-এর আগে complete before/after diff
  • object, rule, NAT, VPN ও TLS-এর dependency check
  • atomic commit বা clear transaction status
  • last known state-এ validated rollback
  • Audit Trail-এ real user, time ও source attribution
  • preview ও conflict check-সহ Bulk Operations
  • reproducible change-এর consistent API output

Config Studio system-এর বাইরে কিছু অংশ তৈরি করে। export analyze করে, XML বা API request generate করে এবং diff-এ সাহায্য করে। কিন্তু offline view ও active runtime state-এর gap থাকে। session, dynamic routing, HA state, current pattern, certificate status ও actually loaded configuration local Entities.xml-এর সমান নয়।

একটি announcement থেকে Sophos SFOS interface আর কখনও modernize করবে না বলা অতিরঞ্জিত। confirmed statement নেই। তবু signal খারাপ: usability, search, comparison ও configuration work-এর সবচেয়ে visible progress আবার actual management interface-এর বাইরে।

workflow fragmented থাকে:

  1. firewall থেকে configuration export।
  2. archive extract করে Entities.xml খোঁজা।
  3. আলাদা browser tool-এ file load।
  4. সেখানে analyze, compare বা edit।
  5. result export করে XML, API বা curl দিয়ে ফেরত আনা।

audit-এর জন্য ঠিক, modern, secure ও traceable administration-এর জন্য indirect। Config Studio শুধু niche use case নয়; Sophos admin বহু বছর ধরে যে low-hanging fruit চায়, সেগুলোই পাচ্ছে।

normal firewall release note-এ Config Studio বড় বিষয় হলে এটিকে ছোট helper বলা যায় না। এটি visibly admin strategy-র অংশ। Sophos-এর বলা উচিত কোন feature WebAdmin বা Central-এ যাবে এবং কোনটি browser tool-এ থাকবে।

roadmap না থাকলে ধারণা হয় পুরোনো, ধীর ও বড় configuration-এ increasingly unfriendly interface থাকবে এবং modern workflow-এর জন্য Config Studio ব্যবহার করতে হবে। এটি confirmed Sophos plan নয়, কিন্তু product বর্তমানে এই direction দেখায়।

এতে UniFi কেন সহজ সুযোগ পায়

UniFi প্রত্যেক Sophos Firewall-এর সম্পূর্ণ replacement নয়। license ও architecture অনুযায়ী Sophos বেশি গভীর security, IPS, Web Protection, WAF, endpoint integration, MDR/XDR integration ও classic enterprise feature দেয়। fair comparison-এ পার্থক্য মুছতে পারে না।

কিন্তু perceived product quality প্রতিদিন usability দিয়ে তৈরি হয়।

Ubiquiti visibly design, mobile app, consistent navigation, topology, simple device onboarding এবং বছরের product experience ছাড়াই বোঝা যায় এমন interface-এ invest করে। সব UniFi feature technically deeper নয়, কিন্তু product modern মনে হয়। traditional firewall vendor যতটা মানতে চায়, buying decision-এ তার চেয়ে বেশি প্রভাব পড়ে।

ছোট IT team শুধু IPS datasheet দেখে না। আরও দেখে:

  • device, rule বা client কত দ্রুত পাওয়া যায়?
  • smartphone থেকে environment কার্যকরভাবে দেখা যায়?
  • specialist knowledge ছাড়া warning ও dependency বোঝা যায়?
  • daily change-এ কত click লাগে?
  • product এক platform, নাকি পাশাপাশি কয়েকটি tool মনে হয়?

Sophos এখানে Ubiquiti-র মতো vendor-কে অপ্রয়োজনীয়ভাবে সহজ সুযোগ দেয়। security-তে Sophos Firewall বেশি করতে পারে এবং বহু SMB environment-এ এখনও ভালো choice। কিন্তু modern search, diff, template ও bulk change-এর জন্য আলাদা Config Studio দরকার এবং core interface পুরোনো ও sluggish থাকলে সবচেয়ে visible layer-এ Sophos trust হারায়।

ভালো security-র জন্য শুধু strong engine নয়, এমন interface দরকার যেখানে মানুষ rule বুঝতে, mistake দেখতে ও safe change করতে পারে। usability cosmetic extra নয়, operational security-র অংশ।

উপসংহার: MR2 install করব, কিন্তু product problem থাকে

SFOS 22.0 MR2 বড় feature release নয়। এটি useful addition-সহ গুরুত্বপূর্ণ maintenance release।

PQC control সঠিক সময়ে এসেছে, তবে আগে observation mode-এ চালানো উচিত। উন্নত generative AI detection visibility ও policy-তে সাহায্য করে, DLP বা AI governance-এর বিকল্প নয়। Chromebook admin-কে Manifest V3 extension actively deploy করতে হবে। STAS কম disruptive হবে, তবে identity rule সচেতনভাবে test করতে হবে। Let’s Encrypt পরবর্তী certificate chain-এর জন্য প্রস্তুত। বহু fix production-এ real outage তৈরি করতে পারত এমন problem address করে।

backup ও preflight-এর পর আমি MR2 install করে এই data path-গুলো test করব। তালিকাভুক্ত HA, VPN, reporting, Central বা failsafe problem-এ আক্রান্তদের update-এর ভালো কারণ আছে। Build 546 সত্যিই শান্ত হয় নাকি নতুন regression আনে, release day-তে দায়িত্ব নিয়ে বলা যায় না।

আমার সমালোচনা স্পষ্ট: Config Studio 2.6 উপকারী, কিন্তু firewall release-এ এর prominent role Sophos modern administration side tool-এ সরাচ্ছে—এই ধারণা জোরদার করে। নতুন SFOS interface abandon হওয়ার confirmation নয়, তবে strategic warning sign।

Sophos-এর শক্তিশালী firewall foundation আছে। সেই প্রযুক্তির উপযুক্ত management experience admin-কে দেওয়া উচিত। নইলে modern platform বেশি security-র জন্য নয়, screen-এর সামনে থাকা মানুষকে বেশি গুরুত্ব দেওয়ার কারণে জিতবে।

পরবর্তীবার আবার দেখা হবে,
Joe

FAQ

Sophos Firewall v22 MR2-এ নতুন কী আছে?
SFOS 22.0 MR2 post-quantum cryptography control, উন্নত generative AI app detection, Chromebook Manifest V3, STAS change, নতুন Let’s Encrypt chain, eDirectory EOL notice, Config Studio 2.6 ও ৫০টির বেশি fix আনে।
নতুন PQC signature কি সঙ্গে সঙ্গে block করা উচিত?
না। ML-KEM ও hybrid PQC method ইতিমধ্যে বৈধ browser ও web connection-এ আছে। প্রথমে allow action ও logging দিয়ে observe করতে হবে, তারপর প্রয়োজনে targeted blocking বিবেচনা করতে হবে।
SFOS 21.5, 21 বা 20 থেকে সরাসরি MR2-এ upgrade করা যায়?
Sophos supported 21.5, 21 ও 20 branch release থেকে MR2 upgrade support বলে। তবে exact upgrade matrix, disk space, Legacy Remote Access IPsec ও পুরোনো CLI VLAN tagging আগে পরীক্ষা করতে হবে।
STAS পরিবর্তন কেন গুরুত্বপূর্ণ?
নতুন default Identity Probe চলাকালে client traffic আর hold করে না। এতে interruption কমে, কিন্তু confirmed user mapping-এর আগে traffic অল্প সময় চলতে পারে। upgrade-এর পর actual setting ও rule behavior পরীক্ষা করুন।
Config Studio 2.6 কি Sophos Firewall interface-এর অংশ?
না। Config Studio আলাদা browser tool। এটি configuration analyze, compare ও edit করতে পারে, কিন্তু local WebAdmin নয় এবং Sophos Central-এর সম্পূর্ণ replacement-ও নয়।
আমি কি Sophos Firewall v22 MR2 সঙ্গে সঙ্গে install করব?
হ্যাঁ, backup ও preflight-এর পর আমার একটি Sophos Firewall-এ। তারপর logging, IPsec, STAS, pattern update, WebAdmin ও প্রযোজ্য হলে HA test করব। release-day community thread untested broad rollout-এর জন্য এখনও খুব নতুন।
উৎস