Shopping Cart

No hay productos en el carrito.

7 razones por las que el XG Firewall (SFOS) es mejor que el UTM

Durante más de dos años, sólo hemos utilizado cortafuegos XG con el SFOS o hemos instalado el SFOS en dispositivos SG. Hay que reconocer que el cortafuegos XG era un auténtico horror en las primeras versiones y sólo se podía utilizar en unos pocos entornos. Con la versión 16 fue mejorando poco a poco y nos atrevimos a realizar al menos pequeños proyectos con él. A partir de la v16.5, confiamos completamente en el XG para los nuevos proyectos y desde entonces nunca hemos vuelto la vista atrás al UTM.

Para aclarar las cosas desde el principio: cuando hablo del cortafuegos XG, me refiero a la serie de dispositivos XG con el Sophos Firewall OS (SFOS). Sin embargo, también damos soporte a appliances SG en los que simplemente hemos instalado el SFOS. Funciona perfectamente 🙂 .

Después de haber implementado ya varios proyectos con el XG Firewall, quería compartir las 7 razones que hacen del XG Firewall una mejor elección a mis ojos que la serie SG con el sistema operativo UTM. Así que con este artículo me gustaría aportar mi granito de arena al debate UTM vs XG. 🥊

01 – Desarrollo

Hoy, cuando busco una nueva aplicación para mi smartphone o para el ordenador, presto especial atención a cuándo se actualizó la aplicación por última vez. Si no encuentro un registro de cambios, miro la cuenta social, por ejemplo Twitter. Cualquier actividad de más de un año está muerta para mí y la aplicación definitivamente no llega a mi smartphone u ordenador.

Hay que admitir que no es tan malo con el cortafuegos UTM. Pero los ciclos de actualización se han alargado muchísimo. En el pasado, había una actualización para el UTM casi todos los meses. A día de hoy, ya han pasado 4 meses y apenas hay nuevas funciones.

La razón es la siguiente: Sophos cuenta con unos 300 desarrolladores que trabajan en el sistema operativo SFOS y UTM. Pero sólo un 5% de estos desarrolladores sigue trabajando en el sistema operativo UTM. El resto está trabajando en el cortafuegos XG. Así que aquí también puede ver el fabricante dónde están las prioridades.

De vez en cuando, una nueva función vuelve a dar esperanzas a los usuarios de UTM. Pero en realidad, llevan mucho tiempo buscando una receta para hacer que el XG sea apetecible para los fieles seguidores sin perderlos a manos de otro fabricante. Sin embargo, como antiguo usuario de UTM, sé que no se cambia un sistema tan rápidamente a menos que sea realmente necesario. Así que mientras no se descatalogue definitivamente el UTM, simplemente no hay razón para que la mayoría cambie.

Si nos fijamos en la hoja de ruta de los dos sistemas operativos, la lista para el SFOS es larguísima y los planes van mucho más allá de los 18 meses. En el caso de la UTM, en el pasado se han eliminado funciones de la hoja de ruta o se han ido retrasando cada vez más. Un ejemplo destacado es IKEv2. La función estuvo en la hoja de ruta durante mucho tiempo y fue aplazada en repetidas ocasiones y finalmente incluso eliminada por completo de la hoja de ruta. Tras las protestas de la comunidad, se volvió a añadir y está previsto que aparezca en la versión 9.8 el año que viene.

El Sophos Firewall OS es completamente diferente y esa es la primera razón por la que nos encanta. Aproximadamente cada siete semanas podemos esperar nuevas versiones de mantenimiento de MR y 1 o 2 veces al año hay una versión MENOR con un montón de nuevas funciones. Por tanto, el Sophos Firewall OS ha pasado de «bueno» a «muy bueno» en los últimos meses. El sistema aún no está donde debería estar y todavía tiene algunos déficits. Pero para ser un sistema operativo tan joven, ¡el progreso es muy grande!

02 – Hardware

El hardware del Sophos XG Firewall y el de la serie SG son idénticos en cuanto a CPU, RAM, memoria y puertos. Una pequeña excepción son los Sophos XG 86 y XG 106, que no están disponibles en la serie SG. Los dos modelos más pequeños serían el SG 85 y el SG 105, que, sin embargo, tienen menos RAM y memoria que el XG 86 y el XG 106. Pero en principio es posible instalar el SFOS del cortafuegos XG en hardware SG sin problemas. La licencia puede entonces migrarse 1:1.

Hemos explicado cómo instalar el SFOS en un dispositivo SG de Sophos en un post de KB: Instalación delSophos XG Firewall OS en un dispositivo SG

El año que viene se espera una nueva serie de hardware, que de momento se llama «XGS». Por el momento, no podemos decir si sustituirá inmediatamente a la serie XG. En cualquier caso, sólo se sigue mencionando el SFOS como sistema operativo compatible. No está previsto ningún nuevo lanzamiento de la serie SG.

Lo que también habla claramente a favor de un cortafuegos XG con SFOS, al menos de momento, es la compatibilidad con los nuevos Access Points APX. Los Access Points, que ya se lanzaron en julio de 2018 y cuentan con el nuevo estándar Wave 2, siguen siendo solo compatibles con los cortafuegos XG y Central. Sophos siempre dijo que nunca harían los Access Points APX compatibles con el UTM. Para nosotros, este paso también ha tenido siempre todo el sentido del mundo. Se trata de hardware NextGen, desarrollado únicamente para cortafuegos NextGen.

Sin embargo, ahora podemos anunciar que Sophos ha dado marcha atrás en este plan. La compatibilidad con los Access Points APX está al caer para el UTM. Está prevista la compatibilidad con UTM 9.7, cuyo lanzamiento está previsto para finales de año.

03 – Licencias

La concesión de licencias del XG Firewall no es completamente diferente de la del UTM. No obstante, existen algunas ventajas importantes.

Licencia básica

La licencia básica para un dispositivo XG Firewall se incluye de forma gratuita. Puede consultar qué funciones están incluidas en otro artículo sobre la Licencia Básica. Pero aquí están las funciones más importantes de las que puedes disfrutar gratuitamente:

  • Protección inalámbrica
  • SSL VPN o Sophos Connect Client
  • Conexiones VPN IPsec

Paquete EnterpriseGuard

Probablemente conozca el FullGuard Bundle, que desbloquea todos los módulos excepto Sandstorm en el cortafuegos. Con el paquete FullGuard Plus también obtendrá Sandstorm.

Para la serie XG, también existe el popular paquete EnterpriseGuard. Este paquete es una alternativa real al paquete FullGuard, porque ya cubre las necesidades de la mayoría de los clientes. Con EnterpriseGuard Bundle obtendrá Web Protection red y Web, incluido el soporte Premium de Sophos. La protección inalámbrica ya está incluida gratuitamente en la licencia básica. Esto significa que muy pocos clientes tendrán que recurrir al paquete FullGuard, más caro, si realmente siguen necesitando proteger sus correos electrónicos y servidores web.

04 – Reglas del cortafuegos

Pasemos a la parte más técnica, por qué a mis ojos el SFOS está por delante del sistema operativo UTM.

Las reglas del cortafuegos del SFOS son ahora mucho más claras. Si tiene más de 10 reglas de cortafuegos, lo que probablemente debería ser el caso en la mayoría de los entornos, se pueden agrupar de forma excelente en el SFOS. La siguiente captura de pantalla de mi cortafuegos XG en casa también debería aclarar esto una vez más. Aquí, todos los dispositivos IoT tienen su propia red y las reglas del cortafuegos para ellos se combinan en un solo grupo.

Si, a continuación, examina más detenidamente un grupo, descubrirá rápidamente a través de qué reglas de cortafuegos individuales sigue pasando el tráfico y qué reglas posiblemente ya no se utilicen. Esta representación ayuda a identificar y eliminar las normas superfluas.

A diferencia del UTM, en SFOS puedo dar un nombre propio a una regla de cortafuegos. También son posibles comentarios más largos dentro de una regla, por ejemplo, para registrar quién creó esta regla y para qué se creó en su día.

  • Cada regla recibe un ID con el que puedo comprobar en el registro qué tráfico pasa por esta regla.
  • Puede ver de un vistazo si el IPS o el filtro web están activos para una regla, por ejemplo.

En cuanto a las reglas del cortafuegos, teóricamente podría darte muchas más ventajas que subrayan por qué nunca volvería a un UTM. Pero lo dejaré con los principales argumentos enumerados anteriormente, que ya deberían convencer a cualquier administrador de cortafuegos 🙂 .

Aunque se ha mejorado mucho con el SFOS en términos de reglas de cortafuegos, hay una desventaja muy molesta con el SFOS en comparación con el UTM. Guardar una regla de cortafuegos tarda entre 4 y 10 segundos con los cortafuegos XG 86 a XG 135. Esta circunstancia se mejorará primero en el v18 y luego se remediará por completo en el v19.

05 – Visor de registros

Incluso después de varios años con el cortafuegos XG, el visor de registros sigue siendo una auténtica maravilla. Esto permite comprobar los registros de forma rápida y sencilla a través de la interfaz gráfica de usuario. Pero antes de hablar demasiado de ello, vea el siguiente vídeo:

06 – Sophos Central

¡No, no tengas miedo! No voy a empezar con la Seguridad Sincronizada de Sophos, que el departamento de marketing de Sophos ha convertido en el eslogan del siglo. Pero si te ayuda a cambiar tu UTM por un XG, por supuesto que estaremos encantados de subirnos al carro. ¿Sabía que con Synchronised Security en el cortafuegos XG puede ver qué aplicaciones se están ejecutando en los endpoints? Así que sí, la Seguridad Sincronizada también ofrecerá otras ingeniosas posibilidades en el futuro.

Pero ahora pasemos a una función de Central que aún está en pañales pero que tiene un enorme potencial. Me refiero a la gestión del cortafuegos de Central. Permite vincular el cortafuegos con Central y gestionarlo a través de ella. Esta conexión ya es posible, pero las funciones realmente interesantes están aún por llegar. Desafortunadamente, no puedo revelar demasiado aquí todavía, pero si Sophos lo hace bien, podría terminar en una gestión para SDN. Podemos esperar nuevas funciones ya a finales de este año.

07 – Actualizaciones de firmware

Como ya he dicho, siempre nos gustan las actualizaciones. El dicho nunca cambies un sistema en funcionamiento es una absoluta tontería cuando se trata del cortafuegos. También recogimos esto en un post anterior sobre la necesidad de actualizar el cortafuegos.

Seguro que has comprendido que las actualizaciones son importantes. Pero las actualizaciones también son muy peligrosas, ya que puede ocurrir que después todo deje de funcionar tan bien como antes. Los administradores que temen esto siempre dicen lo de arriba. 😅

Para contrarrestar un poco el peligro de las actualizaciones, hay algunas mejoras en el cortafuegos XG:

  1. Las actualizaciones de los Access Points y las RED se desvinculan y ya no se integran en la actualización del cortafuegos. Esto significa que las RED también pueden actualizarse sin reiniciar el cortafuegos.
  2. Si una actualización del cortafuegos no ha funcionado y quieres volver a la versión anterior, es posible con sólo unos clics.

Conclusión

Este artículo se ha hecho algo más largo de lo que tenía pensado en un principio. He enumerado siete razones que, en mi opinión, deberían animar a todos los amigos de UTM a hacer el cambio. Yo también idolatraba a UTM, pero fue precisamente en términos de garantía de futuro, actualizaciones y una visión clara que nuestras mentes sugirieron el cambio desde el principio, ¡y nunca nos hemos arrepentido hasta ahora! En cuanto a la comparación UTM vs. XG, para nosotros el XG tiene claramente el peso de batalla más impresionante en la balanza. Así que sé valiente o mucho más sensato (😅) y utiliza un cortafuegos XG para tu próximo proyecto. Una vez dado este paso, puedes empezar a migrar tus UTM al SFOS.

Desventajas

Aunque el SFOS ofrece realmente muchas funciones excelentes, quizá ya se tenga la sensación de que este artículo se ha escrito con gafas de color de rosa. Por eso añadiré un breve capítulo sobre las desventajas, ya que, como he dicho, el SFOS es aún un sistema operativo muy joven y, efectivamente, todavía hay algunas cosas que no funcionan del todo bien.

Velocidad desde la GUI

  • Cargar o guardar las reglas del cortafuegos sigue llevando demasiado tiempo y no como a uno le gustaría.
  • La generación de informes o incluso los recursos del sistema necesitan sin duda un aumento de velocidad.

* Como se menciona en el artículo, estas cosas mejorarán con v18 y se resolverán con v18.5.

Renombrar objetos

  • Lamentablemente, no siempre es posible renombrar posteriormente las entradas creadas. Entre ellas se incluyen, por ejemplo, zonas, redes inalámbricas, puertos NAT de cortafuegos activos, políticas de protección IPS, políticas de Webserver Protection web, políticas IPsec, etc.

* El motivo es que los desarrolladores de Cyberoam Firewall, que sigue siendo la base del SFOS, utilizaban el nombre de estos objetos en la base de datos como clave primaria. Por supuesto, esto hace que sea bastante difícil cambiar el nombre después. Pero también se está trabajando en ello y se esperan las primeras mejoras con la v18.

Reglas NAT

  • Las reglas NAT creadas ya no pueden editarse si están activas. Primero hay que desactivarlas, editarlas y volver a activarlas.

* Se arreglará con la v18.

Notificaciones

  • Las notificaciones siguen siendo mucho mejores con el sistema UTM. Se le puede notificar prácticamente todo por correo electrónico. El SFOS no ofrece prácticamente ninguna opción a este respecto. Con SFOS 17.5 MR4 se han producido algunas mejoras en este sentido, pero aún está lejos de ofrecer estas posibilidades que dábamos por sentadas con el UTM.

* Se mejorará aún más con la v18.

Más información

En este artículo me refiero a menudo a la v18, que supuestamente traerá muchas mejoras. Según Sophos, la v18 debería lanzarse a finales de 2019. Sin embargo, consideramos que este calendario es muy optimista y pensamos que el primer trimestre de 2020 es más preciso como fecha de lanzamiento. 😅

Patrizio
Patrizio

Patrizio es un experimentado especialista en redes especializado en cortafuegos, conmutadores y puntos de acceso de Sophos. Ayuda a los clientes o a su departamento informático en la configuración y migración de los cortafuegos de Sophos y garantiza una seguridad óptima de la red mediante una segmentación limpia y la gestión de reglas de cortafuegos.

Suscribirse al boletín

Enviamos un boletín mensual con todas las entradas del blog de ese mes.