Ir al contenido
Avanet
Sophos Central Wireless - Versión 2.0 con Security Heartbeat

Sophos Central Wireless - Versión 2.0 con Security Heartbeat

27. JULIO 2018

Sophos Central Wireless 2.0 está a punto de lanzarse y se desplegará en todas las cuentas entre el 30 de julio y el 31 de agosto. Además de nuevas funciones y mejoras, también se admitirán los nuevos puntos de acceso APX con Wave 2.0. En esta entrada de blog resumimos las funciones que puedes esperar.

Synchronized Security para Endpoint y Mobile

Security Heartbeat ya está disponible también para Sophos Central Wireless. El concepto es básicamente el mismo que en el XG Firewall. El acceso a la red de los clientes infectados, o aquellos que no cumplen las políticas definidas, se restringe o bloquea completamente.

Con Security Heartbeat en Central Wireless es posible aislar de la WLAN un dispositivo en riesgo para que no suponga una amenaza para otros dispositivos que también están conectados a la red inalámbrica. Para que esta interacción funcione, los endpoints deben contar con el software adecuado. Por tanto, en ordenadores y portátiles deberías tener instalado al menos Sophos Central Endpoint, y en smartphones y tablets, Sophos Central Mobile. Por último, tienes que utilizar uno de los nuevos puntos de acceso APX, ya que solo estos son compatibles con Security Heartbeat. 😅

Enhanced Rogue AP Detection

Con Enhanced Rogue AP Detection, tus puntos de acceso Sophos escanean todos los canales y enumeran las redes inalámbricas cercanas. A primera vista, esto puede no parecer muy emocionante. Sin embargo, el objetivo, como sugiere el nombre, es detectar los llamados “Rogue APs” que podrían crear brechas de seguridad en una red protegida.

Las restricciones, a veces estrictas pero justificadas, en una WLAN corporativa pueden inspirar ideas creativas en los empleados. Por ejemplo, es muy posible que un compañero instale su propio punto de acceso en la oficina para conectar dispositivos privados a Internet. Este sería un “Rogue AP”, ya que se habría instalado en una red segura sin permiso.

Con Enhanced Rogue AP Detection podrás localizar este tipo de puntos de acceso no autorizados en tu red. Si se ha aprobado el uso de un dispositivo, puedes añadir ese AP a una “lista de AP conocidos”.

Otras mejoras

Además de las funciones ya mencionadas, la versión 2.0 incluye dos mejoras adicionales dignas de mención:

  • Aprovisionamiento masivo: ahora se pueden añadir hasta 30 AP en un solo paso cargando un archivo CSV con los números de serie.
  • Panel rediseñado: se obtiene una mejor vista general de las amenazas en la red y del estado de los dispositivos con Synchronized Security.

Funciones futuras

La versión 2.1 está prevista para septiembre e incluirá herramientas mejoradas de depuración y resolución de problemas. En noviembre se espera el pequeño punto de acceso APX 120, cuyo soporte estará garantizado en la versión 2.1.1.

Conclusión

Siempre hemos considerado Sophos Central Wireless un producto muy interesante. Comprar APs, conectarlos y ¡listo! Con Sophos Central Wireless no se necesita un controlador físico y se pueden administrar redes inalámbricas en varias sedes de forma muy sencilla y clara.

Nuestra única reserva con respecto a Sophos Wireless es el precio. En nuestra opinión, las nuevas funciones de la versión 2.0 aún no justifican del todo el coste. Además, solo te beneficias realmente de Synchronized Security si adquieres la nueva serie APX.

Además, Sophos no está solo en el mercado de la gestión inalámbrica. Mucho antes de Sophos Wireless ya existían soluciones comparables. Incluso Google vende sus propios puntos de acceso; por el precio de un único AP de Sophos podría comprar tres de ellos. También puedo gestionarlos a través de la nube y operar varias ubicaciones. La encriptación también es segura (WPA2).

Simplemente no nos resultan atractivos los costes recurrentes solo por la red inalámbrica. Vemos la red inalámbrica un poco como el “aire”: simplemente tiene que estar ahí. Esa postura podría cambiar si en el futuro se añaden más funciones de seguridad como las de la versión 2.0. En ese caso, veríamos claramente el valor añadido, lo que justificaría los costes adicionales de Sophos Central Wireless.

También debemos reconocer que Sophos al menos ha reducido un poco el precio de los nuevos puntos de acceso APX. Mientras que Sophos sigue diferenciando el precio entre el AP 15 y el AP 100, los costes anuales serán los mismos para todos los modelos APX, tanto para el pequeño APX 320 como para el grande 740.

En resumen, podemos decir que Sophos Central Wireless tiene un gran potencial. No requiere controlador físico y, con los nuevos puntos de acceso APX, se incorporan funciones de seguridad adicionales como Synchronized Security. Desde nuestro punto de vista, esto puede resultar muy interesante en el futuro. A quien esto no le importe, puede simplemente comprar un pequeño XG Firewall (XG 115) y administrar 10 puntos de acceso sin problemas. Con esta solución solo se pagan una vez los AP, porque la licencia de Wireless está incluida sin coste adicional en el Sophos Firewall OS de la XG.

Nota: El 31 de julio de 2018 Sophos se puso en contacto con nosotros personalmente para comentar nuestras conclusiones sobre Sophos Central Wireless. Como habíamos señalado el precio elevado como punto crítico, Sophos nos dio una información interesante al respecto. En el coste anual que se paga por Sophos Wireless por cada punto de acceso estaría incluido también un seguro para el propio AP. Si un dispositivo se estropea, Sophos lo sustituiría de forma gratuita en un plazo de 24 horas. Este servicio se incorpora al precio. Lamentablemente esto no se menciona ni en las fichas técnicas ni en ningún otro lugar de su sitio web. Por eso no podemos garantizároslo por escrito, pero según Sophos, los puntos de acceso están asegurados mientras haya una licencia válida de Sophos Central Wireless.

Errores conocidos en la versión 2.0

En la siguiente lista encontrarás errores ya conocidos que aún pueden producirse en la versión 2.0. Ya se está trabajando en ellos y, por lo tanto, deberían solucionarse pronto.

  • CWIFI-9228 Generate new password will send email twice to the configured address with the same info
  • CWIFI-7643 Captive portal will not work with the combination of Guest network and VLAN
  • CWIFI-9216 Client Vendor filter not working as expected when more than 8 characters are used to filter
  • CWIFI-9080 Clients are unable to access the internet when static vlan is changed in Guest NAT SSID
  • CWIFI-8958 AP Name and Serial Number Overlap on Access Points Page when AP’s name is longer.
  • CWIFI-8821 Apply Button does not work for Voucher End Duration Configuration
  • CWIFI-9101 SSID(Network) information is not properly displayed for about 5 minutes under clients page
  • CWIFI-9198 If the MacOS has Mobile SMC and Endpoint, the status keep toggling if one of them has RED status
  • CWIFI-9048 Sync Security with Dynamic VLAN configurable when we use WPA2-Enterprise as the Encryption Mode
  • CWIFI-8657 Discrepancy between APX320 and APX530/740 in LED behavior during hard reset
  • CWIFI-7336 DHCP client on the AP needs to be restarted if the AP is not reachable to the gateway
  • CWIFI-7301 Duplicate SSID name should not be allowed
  • CWIFI-8914 APX320 reboots after band change of radio-0 from 2.4 to 5 GHz and vice versa
  • CWIFI-7591 Users must re-enter Captive Portal password after roaming even

Más información

Patrizio

Patrizio

Patrizio es un especialista de redes con amplia experiencia, centrado en firewalls Sophos, switches y puntos de acceso. Ayuda a clientes y equipos de TI con la configuracion, la migracion y una segmentacion de red limpia.