Sophos Firewall v20 - Mejores funciones del nuevo release SFOS
Las versiones principales son, con diferencia, las más emocionantes del año y, con Sophos Firewall v20, más concretamente SFOS v20, Sophos trae algunas funciones nuevas realmente buenas. Actualmente se trata de EAP1, es decir, una versión Early Access. La versión final probablemente no llegará hasta finales de año o principios de 2024, si Sophos se mantiene fiel a su patrón habitual.
Web Admin optimizado para 1920p
En la lista de funciones de Sophos, esta novedad aparece muy abajo, entre las mejoras menos importantes incluidas en la nueva versión: soporte para pantallas de alta resolución. Las cifras de Statista muestran que los monitores de 1980p son más que un estándar desde 2018, así que esta función llega con bastante retraso. Yo celebro muchísimo este feature. 🥳 Era extremadamente molesto que quedara tanto espacio en blanco sin usar mientras, al mismo tiempo, se cortaba texto.
Sin embargo, todavía no todo está optimizado para 1920p y en muchos puntos de la GUI aún falta algo de pulido, por ejemplo en el dashboard. Esto debería llegar con v20.5.
Si se observa la diferencia entre SFOS v19.5 y SFOS v20, ahora por fin se dispone de más espacio.
El mérito aquí, sin embargo, no corresponde a Sophos, sino a algunos grandes partners de Sophos que insistieron al fabricante para que lo implementara. Así que, desde aquí, muchas gracias.
Mejoras en VPN
Sophos Firewall v20 trae diversas novedades en el área de VPN. Comencemos con el que probablemente sea el cambio más grande.
VPN Portal
Con la actualización a SFOS v20, las funcionalidades VPN del User Portal se trasladan al nuevo VPN Portal. En el futuro habrá, por tanto, dos portales para el usuario, siempre que el User Portal todavía se utilice con frecuencia. Más sobre esto al final.
El nuevo VPN Portal en SFOS v20 centraliza las funciones específicas de VPN que antes estaban en el User Portal.
- Descarga de Sophos Connect Client para Windows y macOS
- Descarga de configuración para Remote SSL VPN e IPsec
- Acceso clientless a bookmarks
La contenerización minimiza el acceso a los componentes centrales de SFOS, lo que hace más seguro el uso a través de WAN. Las funciones relacionadas con métodos de autenticación o MFA permanecen igual que en el User Portal.
La migración a SFOS 20.0 transfiere automáticamente las configuraciones existentes del User Portal al VPN Portal, lo que facilita el cambio. Sin embargo, ahora hay un nuevo puerto para el User Portal y el VPN Portal se ejecuta en el puerto anterior.
¿Qué cambia para los portales después de la actualización a SFOS v20?
| VPN Portal | User Portal |
|---|---|
| Puerto estándar: 443 Esto significa que las implementaciones de VPN de acceso remoto existentes seguirán funcionando sin problemas. | Puerto estándar: 4443 |
| El puerto se puede compartir con los siguientes servicios: - WAF - SSL VPN | El puerto no se puede utilizar para ningún otro servicio. |
| Descarga: - Sophos Connect Client - Configuración IPsec y SSL VPN - Configuración iOS VPN Los usuarios invitados no tienen acceso al VPN Portal. | El cliente VPN y las configuraciones están ahora en el VPN Portal. |
| - Auto-provisioning para Sophos Connect Client - Recogida de configuración VPN a través del VPN Portal - Con el puerto estándar 443, las implementaciones existentes permanecen sin cambios | Trasladado al VPN Portal |
| Acceso clientless a bookmarks | Trasladado al VPN Portal |
| - | - Otras descargas de clientes - Uso de Internet - Cuarentena de correo electrónico y excepciones - Superación de políticas - Puntos de acceso inalámbricos |
En la KB de Sophos encontrará más información sobre el tema: New VPN portal in SFOS 20.0 and later
Ahora se ve claramente qué funciones permanecen en el User Portal. Si observamos la base de usuarios de estas funciones, vemos que solo un número muy reducido de nuestros clientes las utilizaba, por lo que el User Portal se usará con menos frecuencia a partir de ahora.
Conmutación por error IPsec VPN Stateful HA
En Sophos Firewall v20 se introduce la conmutación por error (Failover) de alta disponibilidad (HA) con estado para las conexiones IPsec VPN. Esta nueva función permite que, en caso de conmutación por error, las conexiones IPsec VPN existentes se transfieran sin problemas al nodo en espera, sin que las sesiones se interrumpan. Es importante destacar qué conexiones VPN se benefician de esta mejora y cuáles no.
La mejora afecta a las siguientes conexiones VPN:
- VPN IPsec de sitio a sitio (basadas en ruta y basadas en políticas)
- VPN IPsec de acceso remoto
Esto significa que tanto las VPN de acceso remoto como las VPN de sitio a sitio pueden continuar en caso de una conmutación por error sin tener que restablecer la conexión.
En relación con las VPN IPsec, esta función es especialmente útil porque acelera la recuperación de las conexiones en caso de failover y aumenta así la resiliencia de la red. Sobre todo durante la recuperación de la conexión surgían problemas una y otra vez, y las conexiones VPN tenían que restablecerse manualmente o automáticamente con cierto retraso tras un failover. Esto podía provocar interrupciones en los servicios de red, que a su vez afectaban a procesos de negocio. Ahora, como mucho, se pierden algunos pings, pero la conexión se mantiene.
Con la mejora del Stateful HA Failover en Sophos Firewall v20, también las grandes organizaciones que dependen de alta disponibilidad pueden beneficiarse de mayor estabilidad y de un funcionamiento fluido. Las nuevas opciones de línea de comandos para gestionar la configuración también aportan la flexibilidad y el control necesarios al trabajar con conexiones VPN.
Otras conexiones VPN, como las VPN SSL y las conexiones Sophos RED, no se ven afectadas por esta mejora específica de conmutación por error, pero la experiencia demuestra que también funcionan mejor al establecer la conexión.
FQDN Host Support para SSL VPN
En SFOS v20 se ha añadido compatibilidad con Fully Qualified Domain Names (FQDN) dentro de la funcionalidad SSL VPN. Con esta novedad, las conexiones SSL VPN pueden configurarse basándose en nombres de dominio en lugar de solo direcciones IP. Esto resulta especialmente útil en entornos de red dinámicos en los que las direcciones IP de los endpoints pueden cambiar, ya que los cambios en las direcciones de red ya no tienen que actualizarse manualmente en la configuración VPN.
El soporte FQDN también facilita la integración con los servicios DNS, lo que simplifica la resolución de nombres de red y puede mejorar el rendimiento general de las conexiones SSL VPN.
Además, el soporte FQDN permite la creación más precisa de políticas de seguridad basadas en nombres de dominio, lo que permite un mayor control del acceso a la red.
SNMP – Monitorizar el estado del túnel VPN IPsec
En la versión SFOS v20 de Sophos Firewall se ha añadido la función de monitorizar el estado de los túneles VPN IPsec a través del Protocolo Simple de Gestión de Red (SNMP). Esto también estaba en nuestra lista de deseos desde hace tiempo y ahora simplifica la monitorización de otros servicios.
El componente principal de esta función es el archivo Management Information Base (MIB) proporcionado por Sophos Firewall. El archivo MIB se importa en la herramienta SNMP y permite el acceso a una variedad de puntos de datos que proporcionan información importante sobre el estado, el rendimiento y los posibles errores de los túneles VPN IPsec. Esto permite a los administradores realizar una monitorización y análisis detallados de las actividades del túnel.
Azure AD – Captive Portal SSO e importación de grupos
Sophos Firewall v20 trae integraciones ampliadas con Azure Active Directory (Azure AD) mediante dos nuevas funciones: Azure AD SSO para Captive Portal y Azure Group Import y RBAC.
La función Azure AD SSO para Captive Portal permite a los usuarios autenticarse en el Captive Portal utilizando sus credenciales de Azure AD. Esto simplifica el proceso de autenticación al permitir que los usuarios utilicen sus credenciales de Azure AD existentes.
La segunda novedad, Azure Group Import y RBAC, añade una nueva función de asistente de importación para grupos de Azure AD y permite una promoción automática para cambios de administración basados en roles. Con esta función, los administradores pueden importar fácilmente grupos de Azure AD a Sophos Firewall y utilizarlos para el control de acceso basado en roles (RBAC). La función de promoción automática facilita la gestión de roles y permisos al promover automáticamente los cambios en la asignación administrativa basada en roles.
La ampliación de Azure AD es un avance, pero por desgracia seguimos esperando poder usar el login de Azure AD para el VPN Portal, Remote IPsec VPN o SSL VPN. Así que seguimos esperando actualizaciones. 😩
Para configurar Azure AD en el propio firewall, estos enlaces son de ayuda:
- Set up an Azure Application
- Sophos Firewall v21.5: Entra ID SSO Integration for Sophos Connect Client
Activar / desactivar interfaces
Se ha integrado una función largamente esperada por los administradores: la activación y desactivación de interfaces. Esta útil función ya estaba disponible en el sistema operativo anterior de Sophos UTM y SFOS v20 ahora cumple el deseo de los administradores de recuperar esta funcionalidad.
Hasta ahora, una interfaz solo podía desactivarse por completo, lo que provocaba la pérdida de toda la configuración.
Si una interfaz se desactiva ahora en la configuración, toda la configuración se mantiene y la interfaz se puede volver a activar sin problemas si es necesario.
En estado desactivado, la fila de la interfaz se muestra en gris y en el Centro de Control, el estado se muestra como Desactivado (Turned off). Esta mejora simplifica considerablemente la gestión del firewall y ahorra a los administradores un tiempo valioso en la configuración y gestión de las interfaces de red.
Existen algunas excepciones en las que la activación/desactivación de interfaces no es posible. Por ejemplo, las interfaces de alias o de túnel, o las interfaces que son miembros individuales de un LAG (Grupo de agregación de enlaces) o un puente, no se pueden desactivar. Sin embargo, se puede desactivar el LAG o la interfaz de puente completa.
| Tipo de interfaz | Activación/desactivación soportada |
|---|---|
| Física | Sí |
| VLAN | Sí |
| LAG (Grupo) | Sí |
| Miembro individual de LAG | No |
| Puente | Sí |
| Miembro individual de puente | No |
| Alias | Planeado |
| LAN inalámbrica | Sí |
| Interfaz de túnel (XFRM) | No |
| Wi-Fi | Sí |
| RED | Sí |
*Sophos Firewall v20 (SFOS v20) – Soporte de activación/desactivación de interfaces
Referencia de objetos
La novedad de la “Referencia de objetos” en la versión 20 de Sophos Firewall aborda un desafío anterior en la gestión de objetos de red. En las versiones anteriores a la 19.5, era una tarea tediosa identificar dónde se utilizaba un objeto específico dentro de la configuración antes de que pudiera eliminarse. Esto podía provocar retrasos y posibles errores, especialmente en entornos de red extensos con una multitud de reglas y políticas.
En la versión 20 se ha corregido esta debilidad. En los objetos del menú “Hosts and services”, todos los objetos están organizados en pestañas y, con SFOS v20, Sophos Firewall muestra exactamente dónde se está utilizando un objeto, ya sea en una regla de firewall, una regla NAT, una configuración VPN o como servicio dentro de un grupo. Esto facilita la identificación de dependencias y ayuda a realizar los cambios necesarios antes de eliminarlo.
Otra característica potente es el enlace directo a las reglas donde se utiliza el objeto. Con un solo clic, el administrador ahora puede navegar directamente a la regla correspondiente y realizar los ajustes necesarios, sin perder tiempo buscando manualmente la regla. Esto mejora la eficiencia, minimiza la susceptibilidad a errores y ahorra un tiempo valioso que de otro modo se dedicaría a la gestión y verificación de la configuración. La referenciación de objetos en Sophos Firewall v20 es, por lo tanto, un paso importante hacia la simplificación de la gestión y la prevención de errores de configuración, lo que facilita considerablemente el trabajo diario de los administradores de red.
La referenciación se actualiza una vez al día, pero también se puede ejecutar manualmente.
Sophos lo llama “Quality of Life Enhancements”. Pero, en realidad, se parece más a responder a deseos de clientes largamente esperados.
Enrutamiento dinámico IPv6 (BGP)
En Sophos Firewall v20, se ha ampliado la compatibilidad con el enrutamiento dinámico con IPv6 en el Protocolo de Pasarela de Borde (BGP). Esta extensión es una actualización importante, ya que BGP es un protocolo de enrutamiento central en Internet global. A diferencia de otros protocolos de enrutamiento, BGP en SFOS no requiere procesos o servicios separados para IPv4 e IPv6, sino que ofrece un servicio estandarizado que simplifica la configuración y la gestión. La interfaz de usuario se ha ampliado para que tanto IPv4 como IPv6 puedan configurarse en la misma página, con secciones separadas disponibles para la información de enrutamiento de IPv4 e IPv6.
Delegación de prefijo DHCP IPv6
Con la introducción de la Delegación de prefijos DHCP en Sophos Firewall SFOS v20, se automatiza la gestión de direcciones IPv6. Esta función permite obtener prefijos de direcciones IPv6 del proveedor y reenviarlos a la red LAN. Al recibir una dirección IPv6 en la interfaz WAN, esta puede utilizarse ahora en la red LAN. Mediante una solicitud de delegación de prefijos DHCPv6 al ISP, el Firewall recibe un rango de direcciones IPv6 que luego se transmite a los dispositivos de red. Estos reciben sus direcciones IPv6 globalmente enrutables a través de mensajes de Router Advertisement (RA).
La delegación de prefijos DHCP simplifica significativamente la gestión de direcciones IPv6 y permite una adaptación fluida a los cambios del prefijo del ISP al distribuir automáticamente nuevos prefijos a todos los clientes conectados. Esto mejora la eficiencia y la seguridad de la red, reduce la complejidad de la gestión manual de direcciones y fomenta un uso más eficiente de las direcciones IPv6 en la red. De este modo, se pueden ofrecer determinados servicios en la red con las direcciones IPv6 recibidas del proveedor.
En el siguiente vídeo se explica de nuevo la delegación de prefijos DHCP.
Active Threat Response
Las siguientes mejoras permiten una comunicación fluida entre los analistas de seguridad y Sophos Firewall para responder de forma proactiva a las amenazas identificadas.
Synchronized Security para MDR y XDR
Con Extended Detection and Response (XDR), Sophos Firewall v20 representa un avance significativo en la defensa automatizada contra amenazas. Esta función establece un vínculo de información directo entre los analistas de seguridad y el firewall, lo que permite una respuesta rápida y automatizada a las amenazas activas.
Ahora, los datos de amenazas se pueden compartir sin problemas con el firewall sin tener que crear manualmente reglas de firewall. Este intercambio de información automatizado permite que el firewall responda proactivamente a las amenazas identificadas y tome las medidas de defensa adecuadas.
Ventajas:
- Reducción del esfuerzo administrativo manual
- Mayor velocidad de respuesta a las amenazas
- Mejora de la postura de seguridad general de la red
- Respuesta automatizada a amenazas
- Reducción del tiempo que el equipo de seguridad dedica a la configuración manual y el ajuste de las reglas del firewall
Sophos Firewall v20 amplía Synchronized Security para incluir Managed Detection and Response (MDR) y Extended Detection and Response (XDR). Esta ampliación permite a los analistas de seguridad compartir datos de amenazas activos directamente con el firewall. Un aspecto destacado es que el firewall es capaz de responder automáticamente a las amenazas activas, sin necesidad de crear reglas de firewall separadas. Este desarrollo representa un valor añadido significativo, ya que reduce considerablemente el tiempo de respuesta a las amenazas y permite una protección proactiva.
Dynamic Threat Feeds
La introducción de Dynamic Threat Feeds trae un nuevo Threat Feed API Framework, que además será extensible. Esta función facilita el intercambio de datos de amenazas entre el equipo de Sophos X-Ops y otros productos Sophos como MDR y XDR, y en el futuro también debería integrar threat feeds de terceros. Gracias a esta mayor flexibilidad, las capacidades de Threat Intelligence de la firewall se amplían considerablemente, lo que permite una mejor detección y respuesta a amenazas.
Synchronized Security
Synchronized Security se optimizará aún más para permitir una respuesta aún más eficiente a las amenazas identificadas por MDR/XDR.
Un estado de salud rojo en un punto final o servidor suele indicar problemas como malware activo o en ejecución, tráfico de red malicioso, comunicación con hosts maliciosos conocidos, malware no eliminado o un Sophos Endpoint que no funciona correctamente. En tales casos, se requieren medidas para abordar los riesgos de seguridad.
El automatismo (Lateral Movement Protection) ante un estado de salud rojo se extiende ahora a las amenazas para garantizar que los hosts afectados, en caso de compromiso, no puedan moverse lateralmente dentro de la red o comunicarse externamente, mientras que detalles importantes como el host, el usuario y el proceso son fácilmente accesibles para el seguimiento.
La escalabilidad de Synchronized Security también se ha optimizado para facilitar la gestión en grandes entornos de red. Se han reducido los falsos positivos debidos a la falta de Heartbeats en dispositivos en modo de espera o hibernación.
Nuevas funciones WAF
Control Geo IP (bloquear países / regiones)
Sophos Firewall dispone de una Geoip ip2country DB, que se actualiza mediante pattern updates. Esto ya podía utilizarse en reglas de firewall y NAT o en Local Service ACL Exception Rules. Tras la actualización a SFOS v20, en Web Application Firewall (WAF) es posible bloquear el acceso a servidores basándose en la ubicación geográfica (direcciones IP). Ahora se pueden bloquear países, regiones o continentes concretos, o permitir el acceso solo desde determinadas regiones. Esta función aumenta la seguridad al impedir accesos desde regiones potencialmente maliciosas y, al mismo tiempo, añade una capa adicional de control de acceso.
Configuración de Cipher
La configuración personalizada de Cipher y los ajustes de versión TLS permiten ahora utilizar cifrados más fuertes (ciphers más seguros) y excluir los más débiles. Esto permite un mejor control sobre la seguridad de la transmisión de datos entre los usuarios y las aplicaciones protegidas por la WAF.
HSTS y X-Content-Type-Options
Seguridad mejorada mediante HSTS y X-Content-Type-Options: la implementación de HTTP Strict Transport Security (HSTS) obliga a usar HTTPS, lo que mejora la seguridad de los navegadores cliente. El ajuste X-Content-Type-Options ayuda a desactivar MIME-Type-Sniffing, lo que proporciona protección adicional frente a determinados tipos de ataques.
Integración de SD-WAN de terceros
Supongamos que una empresa tiene varias ubicaciones con sus propias redes que deben interconectarse para compartir datos y recursos de manera eficiente. En lugar de la solución MPLS tradicional, costosa y menos flexible, SD-WAN (Software-Defined Wide Area Network) ofrece una alternativa más ágil y rentable.
Mediante la integración de SD-WAN de terceros en Sophos Firewall v20, el tráfico se puede transferir sin problemas a las potentes redes troncales de Cloudflare, Akamai o Azure. Por ejemplo, una empresa que necesita una conexión más rápida y segura entre sus ubicaciones puede enrutar el tráfico a través de la red troncal de Azure para beneficiarse de su alcance global y sus sólidos servicios de seguridad. Esto mejora el rendimiento, la seguridad y la fiabilidad, al tiempo que se reduce la complejidad y los costes de la red.
El “onramping” a las redes troncales de proveedores como Cloudflare, Akamai o Azure crea un puente entre la red local y las extensas infraestructuras de red de estos proveedores. La integración de soluciones SD-WAN de terceros en Sophos Firewall v20 simplifica este proceso.
ZTNA Gateway
Este feature no es nuevo en sí mismo, ya que se integró en la firewall con SFOS 19.5 MR3, pero Sophos vuelve a incluirlo entre las novedades de SFOS v20.
El artículo sobre este tema está aquí: Sophos ZTNA Gateway en Sophos Firewall
