Ir al contenido
Avanet
Actualización Sophos XG v17: todas las novedades de un vistazo

Actualización Sophos XG v17: todas las novedades de un vistazo

16. OCTUBRE 2017

Pronto llegará el momento: el nuevo SFOS aparece en su versión 17. Ya he revisado el Release Candidate y he recopilado aquí las novedades más importantes.

En este artículo os muestro qué nuevas funciones traerá SFOS v17. Aunque por ahora todavía hablamos del “Release Candidate”, en pocas semanas la nueva versión estará disponible para todos.

6 novedades importantes en la actualización SFOS v17

Quien no tenga ganas de leerlo todo puede ver el siguiente vídeo de Sophos, en el que se presentan de forma muy breve las nuevas funciones de XG v17 en menos de 4 minutos:

1. Synchronized App Control

Una función completamente nueva es Synchronized App Control. Hasta ahora, XG Firewall solo podía reconocer aplicaciones mediante firmas. De este modo, por ejemplo, era posible bloquear aplicaciones, priorizarlas y asignarles un ancho de banda garantizado (QoS). Sin embargo, una gran parte del tráfico no se podía clasificar. En esta categoría se encontraban programas internos o desconocidos, así como aplicaciones que intentan deliberadamente eludir la detección basada en firmas.

Con la v17, Sophos ha ampliado de forma drástica su capacidad para reconocer más aplicaciones. Para esta función se requiere “Synchronized Security”. Esto significa que en los endpoints necesitáis “Sophos Central Endpoint Advanced” o “Intercept X”, y en los servidores “Sophos Central Server Protection Advanced”.

Con Sophos Central en los endpoints dais a vuestra XG Firewall la posibilidad de comunicarse con ellos. Sophos lo denomina “Security Heartbeat”. De este modo, el firewall puede consultar al endpoint qué procesos están activos en ese momento en el sistema, y el endpoint devuelve estos datos. Así también se puede clasificar tráfico que antes no era identificable. Para ello hay además otro vídeo:

2. Gestión de las reglas de firewall

Quien tenga un XG en producción conoce la vista clásica de gestión de reglas de firewall. Esta se vuelve muy rápidamente poco clara y hasta ahora había que recurrir a una especie de “agrupación” mediante el nombre de la regla. Ahora las reglas se muestran de forma mucho más compacta, se pueden agrupar y la información más importante está visible directamente en el resumen. El siguiente vídeo muestra cómo se ve:

3. Policy Test Simulator

Al igual que en la UTM, ahora SFOS también dispone de un Policy Tester. Con él podéis probar vuestras reglas de firewall o de proxy web sin necesidad de conectaros al cliente mediante una herramienta de acceso remoto. El siguiente vídeo os muestra cómo funciona el “Policy Test Simulator”:

4. Bloqueo de palabras clave en el web proxy

Algunas organizaciones, especialmente centros educativos, han solicitado a menudo en el pasado la posibilidad de bloquear un sitio web en cuanto aparezca en él una palabra determinada. En la nueva v17 ya es posible crear una lista de palabras clave y rellenarla con términos supuestamente “críticos”. Si en el futuro aparece alguna de estas palabras en una página web, esa llamada se puede registrar en el log o bloquear el acceso directamente. También hay un vídeo al respecto:

5. Asistente de configuración XG Firewall

La puesta en marcha y la configuración básica de una XG Firewall no estaban especialmente bien resueltas con el asistente anterior: el proceso resultaba en parte bastante laborioso. Afortunadamente, Sophos ha revisado el Setup Wizard para la v17 e introducido algunos cambios:

  • Ahora es obligatorio cambiar la contraseña al principio. Esto tiene todo el sentido para evitar que ninguna XG Firewall salga a Internet con “admin” como nombre de usuario y contraseña.
  • Desde mi punto de vista, el diseño se ha renovado por completo y ahora resulta mucho más moderno y atractivo.
  • Se pueden restaurar copias de seguridad directamente.
  • Ya no es imprescindible disponer de conexión a Internet.
  • El Sophos ID y la licencia también se pueden introducir más adelante. En cuanto arrancáis el appliance, podéis ponerlo en marcha con una licencia de prueba de 30 días, sin necesidad de contactar antes con un servidor de licencias.

Si ya existe una conexión a Internet, hay tres opciones:

  1. Activar una licencia de prueba de 30 días.
  2. Subir el archivo de licencia UTM (migración de UTM a SFOS).
  3. Introducir la clave de licencia de XG.

Echad un vistazo más detallado al nuevo Setup Wizard en este vídeo:

6. Unified Log Viewer

Cuando hay problemas en la red, en la mayoría de los casos basta con echar un vistazo al log del firewall. Sin embargo, el Log Viewer de la v16.5 era bastante malo, algo que se nota aún más al ver ahora el nuevo “Unified Log Viewer”. Aquí se ha mejorado realmente cada detalle. El nuevo Log Viewer es, con diferencia, mi función favorita de la v17. Comprobadlo por vosotros mismos: os va a convencer.

  • Visión general claramente mejorada
  • Toda la información relevante directamente en el log
  • Búsqueda y filtrado en todos los registros
  • Búsqueda también en logs antiguos

Otras pequeñas mejoras

  • Nuevos asistentes para la configuración de NAT, IPS, web y VPN
  • VPN IKEv2
  • Mejor compatibilidad IPSec VPN con otros sistemas
  • Wildcard FQDN: permite autorizar servicios en la nube de forma muy sencilla
  • Mejoras en NAT: compatibilidad con más protocolos, no solo TCP y UDP
  • Protección de correo electrónico: smarthost, greylisting y verificación de destinatarios
  • Alta disponibilidad en Microsoft Azure

Todas las novedades al detalle están disponibles en la siguiente ficha técnica de Sophos: XG Firewall : What’s New in v17

Conclusión

El nuevo SFOS v17 convence tanto por funciones completamente nuevas como por mejoras muy importantes en características ya existentes. Esta actualización cambia de forma fundamental nuestra percepción de XG Firewall. Si hasta ahora la recomendábamos más bien para proyectos pequeños, ahora la situación es distinta. Sobre todo el Log Viewer y la nueva claridad en la vista de reglas de firewall son esenciales para una configuración limpia y un troubleshooting rápido, algo que antes apenas era posible en redes de mayor tamaño.

Dado que la v16 ya supuso un salto enorme frente a la v15, empezamos entonces a dar preferencia al XG frente a la UTM en proyectos pequeños. Ahora nuestra consigna es clara: “XG First”, aunque, estrictamente hablando, no sea del todo correcto, porque en realidad debería ser “SFOS First”. :)

Si tenéis un firewall SG con sistema operativo UTM, ahora podéis equipar sin problemas vuestro appliance hardware existente con el nuevo SFOS. Las licencias se pueden seguir utilizando, aunque la configuración no. Desde nuestro punto de vista, esto no es grave, ya que ya hemos realizado varias migraciones de UTM a SFOS y en todos los casos ha tenido sentido planificar la configuración desde cero.

Más información sobre SFOS v17:

Patrizio

Patrizio

Patrizio es un especialista de redes con amplia experiencia, centrado en firewalls Sophos, switches y puntos de acceso. Ayuda a clientes y equipos de TI con la configuracion, la migracion y una segmentacion de red limpia.