Ir al contenido
Avanet
7 razones por las que la XG Firewall (SFOS) es mejor que UTM

7 razones por las que la XG Firewall (SFOS) es mejor que UTM

Desde hace más de dos años, solo hemos puesto en marcha XG Firewalls con SFOS o hemos instalado SFOS en appliances SG. Es cierto que la XG Firewall era un horror absoluto en las primeras versiones y solo se podía utilizar de forma razonable en unos pocos entornos. Con la versión 16, la situación mejoró lentamente y nos atrevimos a realizar proyectos más pequeños con ella. A partir de la v16.5, apostamos por completo por la XG en los nuevos proyectos y desde entonces nunca hemos vuelto a mirar atrás hacia UTM.

Para aclararlo desde el principio: cuando hablo de XG Firewall, me refiero a la serie de dispositivos XG con Sophos Firewall OS (SFOS). Sin embargo, también gestionamos dispositivos SG en los que simplemente hemos instalado SFOS. Esto funciona perfectamente. 🙂

Después de haber implementado ya varios proyectos con la XG Firewall, quería compartir las 7 razones por las que, en mi opinión, la XG Firewall es una mejor opción que la serie SG con el sistema operativo UTM. Con este artículo, me gustaría aportar mi parte al debate UTM vs. XG. 🥊

01 - Desarrollo

Cuando busco hoy una nueva aplicación para mi smartphone o para el ordenador, presto especial atención a la fecha de la última actualización de la aplicación. Si no encuentro un registro de cambios, miro la cuenta en redes sociales, por ejemplo Twitter. Cualquier actividad con más de un año de antigüedad está muerta para mí y la aplicación definitivamente no llegará a mi smartphone ni a mi ordenador.

Hay que admitir que en el caso del firewall UTM no es tan grave. Pero los ciclos de actualización se han ampliado enormemente. Antes, para el UTM había una actualización casi cada mes. Hoy en día, son aproximadamente cada 4 meses y prácticamente ya no hay nuevas funciones.

La razón de esto es la siguiente: Sophos tiene alrededor de 300 desarrolladores que trabajan en los sistemas operativos SFOS y UTM. Sin embargo, solo alrededor del 5% de estos desarrolladores todavía trabajan en el sistema operativo UTM. El resto trabaja en el firewall XG. Aquí se puede ver dónde están las prioridades del fabricante.

De vez en cuando, se les da a los usuarios de UTM una nueva función que les devuelve algo de esperanza. Pero en realidad se lleva mucho tiempo buscando una forma de hacer que la XG resulte atractiva para los seguidores fieles, sin perderlos frente a otro fabricante. Como antiguo usuario de UTM, sé que no se cambia de sistema tan rápido si no es realmente necesario. Por lo tanto, mientras UTM no sea retirado definitivamente, la mayoría simplemente no tiene ningún motivo para cambiar.

Si se observa la hoja de ruta de los dos sistemas operativos, la lista para SFOS es extremadamente larga y los planes van mucho más allá de los 18 meses. En el caso de UTM, en el pasado se eliminaron funciones de la hoja de ruta o se pospusieron una y otra vez. Un ejemplo destacado es IKEv2. La función estuvo mucho tiempo en la hoja de ruta, se fue aplazando repetidamente y al final incluso se eliminó por completo. Tras las protestas de la comunidad, se volvió a añadir y ahora está previsto que aparezca en la versión 9.8 el próximo año.

Con Sophos Firewall OS, la situación es completamente diferente y por eso es también la primera razón por la que nos encanta el sistema. Aproximadamente cada siete semanas podemos celebrar nuevas MR - Maintenance Releases y una o dos veces al año hay un MINOR Release con muchísimas funciones nuevas. Por eso Sophos Firewall OS ha evolucionado en los últimos meses de “bueno” a “muy bueno”. El sistema aún no está completamente donde debería estar y todavía tiene algunas deficiencias. ¡Pero para un sistema operativo tan joven, los avances son muy grandes!

02 - Hardware

El hardware de Sophos XG Firewall y el de la serie SG son idénticos en cuanto a CPU, RAM, almacenamiento y conexiones. Una pequeña excepción aquí son los Sophos XG 86 y XG 106, que no existen en la serie SG. Los dos modelos más pequeños aquí serían los SG 85 y SG 105, que, sin embargo, tienen menos RAM y almacenamiento que los XG 86 y XG 106. Pero, en principio, es posible instalar sin problemas el SFOS del XG Firewall en un hardware SG. La licencia se puede migrar 1:1.

Cómo instalar SFOS en un appliance Sophos SG lo explicamos en un artículo de KB: Instalar Sophos XG Firewall OS en un dispositivo SG

El próximo año se espera una nueva serie de hardware, que actualmente se conoce como “XGS”. En este momento aún no podemos decir si esta reemplazará directamente a la serie XG. Como sistema operativo compatible, en cualquier caso, solo se menciona el SFOS. Para la serie SG no se planea ningún nuevo lanzamiento.

Lo que al menos por el momento también habla claramente a favor de un firewall XG con SFOS es el soporte de los nuevos puntos de acceso APX. Los puntos de acceso, que ya salieron al mercado en julio de 2018 y que cuentan con el nuevo estándar Wave-2, hoy en día siguen siendo compatibles únicamente con los firewalls XG y Central. Por parte de Sophos, siempre se dijo que nunca se harían compatibles los puntos de acceso APX con el UTM. Para nosotros, este paso siempre tuvo mucho sentido. Se trata de hardware de nueva generación, que, por supuesto, solo se desarrolló para firewalls de nueva generación.

Sin embargo, ahora podemos anunciar con cierta incredulidad que Sophos ha dado marcha atrás en este plan. ¡El soporte para los puntos de acceso APX llegará a UTM! El soporte está previsto para UTM 9.7, que se publicará a finales de año.

03 - Licencias

El modelo de licencias de la XG Firewall no es completamente distinto al de UTM. Aun así, ofrece algunas ventajas importantes.

Base License

La Base License para un appliance XG Firewall se incluye de forma gratuita. Las funciones incluidas se explican en un artículo separado sobre la Base License. Estas son las funciones más importantes que pueden utilizarse sin coste adicional:

  • Wireless Protection
  • SSL VPN o Sophos Connect Client
  • Conexiones IPsec-VPN

Paquete EnterpriseGuard

Seguro que conocen el FullGuard Bundle, que activa todos los módulos excepto Sandstorm en el firewall. Con el FullGuard Plus Bundle, también se obtiene Sandstorm.

Para la serie XG existe además el popular EnterpriseGuard Bundle. Este bundle es una verdadera alternativa al FullGuard Bundle, ya que cubre las necesidades de la mayoría de los clientes. Con el EnterpriseGuard Bundle se obtiene Network y Web Protection, incluido Sophos Premium Support. Wireless Protection ya está incluida de forma gratuita en la Base License. Por lo tanto, solo muy pocos clientes tendrán que recurrir al FullGuard Bundle más caro si realmente existe la necesidad de proteger correos electrónicos y servidores web.

04 - Reglas de Firewall

Pasemos ahora a la parte más técnica, por qué, en mi opinión, el SFOS tiene la ventaja sobre el sistema operativo UTM.

El conjunto de reglas del firewall se ha vuelto mucho más claro con SFOS. Si se tienen más de 10 reglas de firewall, algo que probablemente ocurre en la mayoría de los entornos, estas se pueden agrupar muy bien en SFOS. La siguiente captura de pantalla de mi XG Firewall de casa lo ilustra una vez más. Aquí, todos los dispositivos IoT tienen su propia red y las reglas de firewall correspondientes se agrupan en un solo grupo.

Sophos Firewall - Resumen de reglas

Si luego observa un grupo más de cerca, rápidamente descubrirá qué reglas individuales del firewall todavía permiten el tráfico y qué reglas posiblemente ya no se utilizan. Esta representación ayuda a identificar y eliminar reglas superfluas.

Sophos Firewall - Reglas de Firewall

A diferencia de UTM, en SFOS puedo darle un nombre propio a una regla de firewall. Dentro de una regla también son posibles comentarios más largos, por ejemplo, para dejar constancia de quién creó esta regla y con qué propósito se creó.

  • Cada regla obtiene una ID, con la cual puedo ver en el registro qué tráfico pasa por esta regla.
  • Se puede ver de un vistazo si, por ejemplo, el IPS o el filtro web están activos para una regla.

Con respecto a las reglas de firewall, teóricamente podría mencionar muchas más ventajas que subrayan por qué nunca volvería a un UTM. Pero me quedo con los argumentos principales mencionados anteriormente, que ya deberían convencer a cualquier administrador de firewall. 🙂

Aunque en SFOS se han mejorado muchas cosas en relación con las reglas de firewall, SFOS tiene una desventaja muy molesta en comparación con UTM. Guardar una regla de firewall en los firewalls XG 86 a XG 135 tarda entre 4 y 10 segundos. Esta situación se mejorará primero en la v18 y se solucionará por completo en la v19.

05 - Visor de registros

Incluso después de varios años en el firewall XG, el Visor de Registros sigue siendo un punto culminante absoluto. Permite verificar los registros de forma rápida y sencilla directamente a través de la interfaz gráfica. Pero antes de extenderme demasiado, simplemente vea el siguiente video:

06 - Sophos Central

¡No, no se asusten! Ahora no voy a hablar también de Sophos Synchronized Security, con la que el departamento de marketing de Sophos lanzó una consigna para la historia. Pero si les ayuda a cambiar su UTM por una XG, entonces, por supuesto, nos subimos al tren. ¿Sabían que con Synchronized Security en la XG Firewall pueden ver qué aplicaciones se ejecutan en los endpoints? 😂 Así que sí, ¡Synchronized Security también traerá posibilidades geniales en el futuro!

Pero ahora pasemos, en relación con Central, a una función que aún está en pañales, pero que tiene un enorme potencial. Me refiero al Central Firewall Management. Con él es posible vincular el firewall a Central y gestionarlo desde allí. Dicha vinculación ya se puede realizar, ¡pero las funciones realmente interesantes aún están por llegar! Lamentablemente, no puedo revelar mucho todavía, pero si Sophos lo hace bien, podría terminar en una gestión para SDN. Podemos esperar nuevas funciones ya a finales de este año.

07 - Actualizaciones de Firmware

Como ya se ha dicho, siempre nos gustan las actualizaciones. El dicho nunca cambies un sistema que funciona es una tontería absoluta cuando se trata del firewall. Esto ya lo abordamos en una publicación anterior sobre la necesidad de actualizaciones de firewall.

Ustedes seguro han entendido que las actualizaciones son importantes. Pero las actualizaciones también son muy peligrosas, ya que puede ocurrir que después ya no todo funcione tan bien como antes. De los administradores que tienen miedo a esto, siempre se escucha el dicho mencionado anteriormente. 😅

Para contrarrestar un poco el peligro de las actualizaciones, existen algunas mejoras en el Firewall XG:

  1. Las actualizaciones de los puntos de acceso y REDs están separadas y ya no están integradas en la actualización del firewall. Esto significa que los REDs se pueden actualizar incluso sin reiniciar el firewall.
  2. Si una actualización del firewall no funcionó y se desea volver a la versión anterior, esto es posible con unos pocos clics.

Conclusión

Este artículo se ha extendido un poco más de lo que originalmente pretendía. He enumerado aquí siete razones que, en mi opinión, deberían animar a todo amigo de UTM a cambiarse. Yo también idolatré el UTM en su momento, pero precisamente en los puntos de seguridad futura, actualizaciones y una visión clara, nuestro sentido común nos sugirió el cambio tempranamente y hasta ahora nunca nos hemos arrepentido. Cuando se trata de la comparación UTM vs. XG, el XG tiene para nosotros un peso de combate claramente más impresionante en la balanza. Así que sean valientes o, mejor dicho, sensatos (😅) y apuesten por un firewall XG en su próximo proyecto. Una vez dado este paso, pueden empezar a migrar sus UTM a SFOS.

Desventajas

Aunque el SFOS realmente ofrece muchas características excelentes, uno podría tener la sensación de que este artículo fue escrito a través de unas gafas de color de rosa. Por eso adjunto aquí un breve capítulo con las desventajas, porque, como dije, el SFOS es todavía un sistema operativo muy joven y, de hecho, todavía hay algunas cosas que no funcionan tan óptimamente.

Velocidad de la GUI

  • La carga o el guardado de las reglas del firewall todavía tarda demasiado y no funciona como se desearía.
  • La generación de informes y la vista de recursos del sistema necesitan urgentemente un impulso de velocidad.

* Como ya se mencionó en el artículo, estas cosas mejorarán con la v18 y se resolverán con la v18.5.

Cambiar el nombre de objetos

  • Desafortunadamente, no siempre es posible cambiar el nombre de entradas ya creadas. Esto incluye, por ejemplo, zonas, redes inalámbricas, puertos NAT activos del firewall, IPS Protection Policies, Webserver Protection Policies, IPsec Policies y algunas más.

* La razón de esto es que los desarrolladores del firewall Cyberoam, que sigue siendo la base de SFOS, utilizaron el nombre de estos objetos como clave principal en la base de datos. Esto, naturalmente, hace que cambiar el nombre a posteriori sea bastante difícil. Pero también se está trabajando en ello y se esperan las primeras mejoras con la v18.

Reglas NAT

  • Las reglas NAT creadas ya no se pueden editar si están activas. Primero hay que desactivarlas, editarlas y luego volver a activarlas.

* Se solucionará con la v18.

Notificaciones

  • Las notificaciones siguen siendo muchísimo mejores en el sistema UTM. Allí se puede recibir prácticamente cualquier aviso por correo electrónico. SFOS apenas ofrece opciones en este sentido. Con SFOS 17.5 MR4 se mejoró algo en este sentido, pero todavía no se ofrecen las posibilidades que dábamos por sentadas en UTM.

* Se mejorará aún más con la v18.

Más información

En este artículo me refiero con frecuencia a la v18, que se supone que traerá muchas mejoras. Según Sophos, la v18 debería aparecer a finales de 2019. Sin embargo, consideramos que este plazo es muy optimista y creemos que el primer trimestre de 2020 es un período de lanzamiento más preciso. 😅

Patrizio

Patrizio

Patrizio es un especialista de redes con amplia experiencia, centrado en firewalls Sophos, switches y puntos de acceso. Ayuda a clientes y equipos de TI con la configuracion, la migracion y una segmentacion de red limpia.