Ir al contenido
Avanet
Sophos Firewall v20 MR1: Nuevas funciones y mejoras

Sophos Firewall v20 MR1: Nuevas funciones y mejoras

Sophos Firewall v20 MR1 trae numerosas funciones nuevas y mejoras que refuerzan aún más la seguridad y el rendimiento del firewall. Estas son las novedades más importantes en detalle:

⚠️ Importante para todos los usuarios de RED 15 y RED 50 que todavía no hayan actualizado a SD-RED 20 o SD-RED 60. El aviso de que las REDs son End of Life se muestra en el firewall desde hace algún tiempo. Después de esta actualización, los modelos RED antiguos seguirán siendo visibles en WebAdmin, pero ya no se conectarán al firewall.

Detección automática de idioma al iniciar sesión

Justo después de arrancar con el nuevo firmware Sophos Firewall v20 MR1 se ve el primer cambio. Si es bueno o malo, cada cual lo decidirá por sí mismo; por mi parte, me inclino más por lo segundo.

El idioma del portal de administración se detecta automáticamente a partir de la configuración del navegador. Esto también se guarda en una cookie.

Sophos Firewall v20 MR1 Admin Login Page
Sophos Firewall v20 MR1 Admin Login Page

Seguridad del firewall y control de acceso mejorados

Con la nueva versión se obtiene un control aún más granular sobre qué servicios son accesibles desde la WAN. Esto mejora de forma considerable la postura de seguridad de Sophos Firewall. Lo que no es visible, tampoco puede ser atacado.

Se han añadido nuevas opciones de configuración para IPsec VPN y RED:

Sophos Firewall v20 MR1 Local service ACL
Sophos Firewall v20 MR1 Local service ACL

Nuevos servicios en la lista de excepciones de ACL local

Detrás de una zona todavía puede ocultarse mucha superficie de ataque. Por eso es recomendable definir el acceso con más precisión en las “Local service ACL exception rule”.

Se han añadido los siguientes servicios a la lista de excepciones: AD SSO, Captive Portal, RADIUS SSO, Client Authentication, Wireless, SMTP, RED, IPsec y, por último, Chromebook, aunque aparte de YouTube nunca he visto un Chromebook 🤷‍♂️.

Sophos Firewall v20 MR1 Local service ACL exception rules
Sophos Firewall v20 MR1 Local service ACL exception rules

Excepciones de control de acceso más flexibles

Con la nueva versión de Sophos Firewall v20 MR1, las excepciones de control de acceso ganan mucha flexibilidad y se amplían con tres objetos clave.

  • Soporte para hosts FQDN: Ahora se pueden utilizar nombres de dominio completamente cualificados (FQDN) en las reglas de excepción. Esto permite controlar el tráfico con más precisión, gestionando el acceso a dominios concretos por nombre y no solo por dirección IP. Llevaba mucho tiempo esperando esta función (que ya existía en UTM 🤐).
  • Grupos de hosts: La posibilidad de definir y utilizar grupos de hosts aporta más flexibilidad a la gestión de reglas de acceso. Se pueden agrupar varios hosts y usar después ese grupo en las reglas de excepción.
  • Direcciones MAC: Además de direcciones IP, ahora también pueden incluirse direcciones MAC en las excepciones de control de acceso. Esto añade una capa adicional de control, especialmente útil en redes con muchas direcciones IP dinámicas o cambiantes.

Zero-Touch Deployment

Zero-Touch Deployment es una función avanzada de Sophos Firewall v20 MR1.

En muchos casos, en Avanet sustituimos firewalls existentes 1:1 por nuevos, y es importante que el cambio se haga rápido y con interrupciones mínimas. Normalmente preconfiguramos el equipo en nuestra oficina y después lo enviamos al cliente, donde solo queda reemplazarlo.

Antes, Zero-Touch Deployment requería una memoria USB para transferir el archivo de configuración al firewall. Con la nueva versión esto ya no es necesario, ya que toda la configuración puede realizarse a través de Sophos Central.

Estos son los pasos y las mejoras en detalle:

  1. Introducir el número de serie: El número de serie del nuevo firewall se registra en Sophos Central. Sirve para identificar e inicializar el firewall.
  2. Definir la configuración básica: Se define una configuración básica que se aplicará en el primer arranque del firewall. Incluye ajustes importantes como zona horaria, hostname del firewall y configuración de red para LAN y WAN.
  3. Establecer la conexión a Internet: El firewall se conecta simplemente a la red en la ubicación correspondiente, se conecta automáticamente a Sophos Central y descarga la configuración predefinida.
  4. Activar Firewall Management: Después de conectarse a Sophos Central, el firewall se configura automáticamente y queda listo para su uso. Los administradores pueden realizar después más ajustes y fine tuning directamente desde Sophos Central.

Este método reduce significativamente el tiempo y la complejidad de la instalación. Además, el firewall puede utilizarse en cuanto se conecta a Internet, lo que acelera todo el proceso.

Ventajas de Zero-Touch Deployment

  • Despliegue rápido: Ideal para ubicaciones sin personal de TI local. El firewall puede configurarse y quedar operativo justo después de conectarlo a la red.
  • Administración centralizada: Todos los pasos de configuración se realizan a través de Sophos Central, lo que permite una gestión uniforme y coherente.
  • Interrupciones mínimas: Como la configuración se define de antemano y se aplica automáticamente, los tiempos de inactividad son mínimos, algo especialmente ventajoso en entornos críticos para el negocio.
  • Adaptación sencilla: Tras la configuración inicial pueden realizarse más ajustes de forma centralizada, sin necesidad de que un técnico esté in situ.

Con Zero-Touch Deployment, Sophos ofrece una solución eficiente para desplegar y configurar firewalls, ahorrar tiempo y maximizar la disponibilidad de la red.

Descargar archivos de log para troubleshooting

Con Sophos Firewall v20 MR1 ahora es posible descargar archivos de log individuales directamente desde el firewall. Esta función simplifica el troubleshooting, ya que ya no es necesario acceder al firewall por SSH para obtener los datos necesarios.

En el menú principal Diagnostics se encuentra la opción Troubleshooting Logs. Ahí los administradores pueden buscar logs concretos y seleccionar varios al mismo tiempo. Sophos Firewall genera entonces un archivo ZIP para descargar que contiene todos los logs seleccionados. Estos archivos pueden abrirse y analizarse en un cliente local.

Sophos Firewall v20 MR1 - Descargar logs
Sophos Firewall v20 MR1 - Descargar logs

Cada conexión Site-to-Site IPsec y cada conexión RED individual recibe su propio log. Esto permite un análisis detallado y específico sin tener que recurrir a métodos engorrosos. Así, la administración y el mantenimiento del firewall se vuelven más eficientes y cómodos.

Sophos Firewall v20 MR1 - Logs para IPsec S2S o cada RED
Sophos Firewall v20 MR1 - Logs para IPsec S2S o cada RED

Campos de descripción para objetos

Ahora todos los objetos en “Host & Services” reciben un campo de descripción. Esto incluye IP hosts, grupos de IP hosts, direcciones MAC y otros objetos de red. La posibilidad de añadir una descripción detallada a cada objeto mejora notablemente la documentación.

Esta función permite almacenar información importante directamente en Sophos Firewall. Por ejemplo, al crear un nuevo IP host se puede añadir de inmediato una descripción que explique su finalidad y uso. Esto es especialmente útil cuando varios administradores gestionan el firewall o cuando se requiere una documentación precisa.

Sophos Firewall v20 MR1 Descripción de objeto
Sophos Firewall v20 MR1 Descripción de objeto

Una descripción también podría contener enlaces a información adicional, por ejemplo una Knowledge Base o un documento PDF con detalles específicos sobre el objeto correspondiente. Esto aumenta la trazabilidad y facilita futuras tareas administrativas. Así, un puerto de servicio usado solo por una aplicación concreta puede incluir directamente información y contexto relevantes, lo que mejora claramente la eficiencia y la claridad en la gestión de la red.

La descripción también se indexa para permitir la búsqueda.

Generative AI Firewall Assistant

Hoy en día, como empresa ya no eres cool si no mencionas AI. Hace unos años era blockchain.

Se integra un nuevo Sophos Assistant basado en AI generativa para ayudarle a administrar Sophos Firewall. Puede hacerle al asistente cualquier pregunta en lenguaje sencillo y recibirá instrucciones y enlaces a recursos útiles.

Sophos Firewall v20 MR1 - Assistant con un poco de AI
Sophos Firewall v20 MR1 - Assistant con un poco de AI

No está mal para una primera versión, pero creo que entendemos por AI algo más que una búsqueda un poco mejor, ¿no?

Actualización de OpenVPN a v2.6.0

El componente OpenVPN de Sophos Firewall se ha actualizado a la versión 2.6.0. Esto mejora la seguridad y el rendimiento de SSL VPN. Las Site-to-Site SSL VPN con versiones anteriores ya no son compatibles. Se recomienda actualizar a v20.0 MR1 o utilizar soluciones VPN alternativas como IPsec.

Además, la versión más reciente de Sophos Connect Client (v2.3) puede descargarse desde el VPN Portal:

Notas importantes sobre la compatibilidad de SSL VPN

Debido al upgrade a OpenVPN 2.6.0 en esta versión, los túneles SSL VPN ya no se establecen con los siguientes clientes y versiones de firewall:

  • SFOS v18.5 y versiones anteriores: Ya no pueden establecerse Site-to-Site SSL VPN. Se recomienda actualizar todos los firewalls afectados a v20.0 MR1 o utilizar túneles Site-to-Site IPsec o RED.
  • Legacy SSL VPN Client: Los túneles Remote Access SSL VPN ya no se establecen con el cliente SSL VPN obsoleto. Utilice Sophos Connect Client o clientes de terceros como OpenVPN Client.
  • UTM9 OS: Ya no pueden establecerse Site-to-Site SSL VPN entre UTM9 OS y SFOS v20.0 MR1. Se recomienda migrar estos equipos a v20.0 MR1 o utilizar túneles Site-to-Site IPsec o RED.

Mejoras en SD-WAN y VPN

La nueva versión de Sophos Firewall v20 MR1 incorpora mejoras importantes en SD-WAN y VPN que aumentan significativamente tanto la fiabilidad como el rendimiento.

  • Interrupciones mínimas del tráfico: La disponibilidad de los gateways durante HA failover y reinicios de dispositivos se ha multiplicado por cuatro. Esto significa que, si falla un gateway o se reinicia un equipo, las interrupciones del tráfico se reducen de forma notable y la conexión de red resulta más estable.
  • Nuevo OpenVPN 3.0 Client: El nuevo OpenVPN 3.0 Client para Remote Access SSL VPN ya está disponible para su descarga desde el VPN Portal. Este cliente ofrece funciones de seguridad mejoradas y mayor compatibilidad con distintos sistemas operativos, lo que simplifica la configuración y gestión de conexiones VPN y mejora la experiencia de usuario.
  • Soporte IPsec Phase-1 IKEv2: Se ha añadido soporte para cifrados GCM y Suite-B, lo que mejora la interoperabilidad y el throughput en conexiones IPsec. Estos métodos modernos de cifrado garantizan una transmisión de datos más segura y eficiente entre los dispositivos de red.
  • Mejoras en DHCP Busybox: El tiempo de concesión predeterminado de DHCP se ha fijado en 30 segundos para eliminar problemas de conexión WAN. Tiempos de concesión más cortos hacen que las direcciones IP se asignen y renueven más rápido, lo que se traduce en una conexión de red más estable y fiable, especialmente en entornos con conexiones que cambian con frecuencia.

Instalar Sophos Firewall v20 MR1

Para instalar siempre la versión de firmware más reciente se requiere una licencia Enhanced Support, salvo que el firewall se haya comprado recientemente y todavía disponga de una licencia de evaluación: Las actualizaciones de Sophos Firewall dejarán de ser gratuitas en el futuro

Esta guía explica cómo instalar la versión más reciente en Sophos Firewall y descargar la imagen: Actualización del firmware en Sophos Firewall

Encontrará más información sobre el release en la Sophos Community - Sophos Firewall OS v20 MR1 is Now Available

Patrizio

Patrizio

Patrizio es un especialista de redes con amplia experiencia, centrado en firewalls Sophos, switches y puntos de acceso. Ayuda a clientes y equipos de TI con la configuracion, la migracion y una segmentacion de red limpia.