Sophos Firewall v20 MR1: Nuevas funciones y mejoras

Sophos Firewall v20 MR1 trae una variedad de nuevas funciones y mejoras que mejoran aún más la seguridad y el rendimiento del firewall. Aquí están las innovaciones más importantes en detalle:

⚠️ Importante para todos los usuarios de RED 15 y RED 50 que aún no han actualizado a SD-RED 20 o SD-RED 60. El mensaje de que los REDs están en fin de vida útil se ha mostrado en el firewall durante algún tiempo. Después de esta actualización, los modelos antiguos de RED seguirán siendo visibles en WebAdmin, pero ya no se conectarán al firewall.

Detección automática de idioma al iniciar sesión

Justo después de arrancar con el nuevo firmware Sophos Firewall v20 MR1, se ve el primer cambio. Si es bueno o malo, cada uno puede decidir por sí mismo, en lo que a mí respecta, más bien lo último.

El idioma del portal de administración se determina automáticamente en función de la configuración del navegador. Esto también se guarda como una cookie.

Seguridad del Firewall y Control de Acceso Mejorados

Con la nueva versión, se obtiene un control aún más preciso sobre qué servicios son accesibles en la WAN. Esto mejora significativamente la postura de seguridad de su firewall. Lo que no es visible no puede ser atacado.

Se han añadido nuevas opciones de configuración para IPsec VPN y RED:

Nuevos servicios en la lista de excepciones de ACL local

Sin embargo, todavía puede haber mucha superficie de ataque detrás de una zona, y por eso es recomendable definir el acceso de manera aún más precisa en la “Regla de excepción de ACL de servicio local”.

Se han añadido los siguientes servicios a la lista de excepciones: AD SSO, Captive Portal, RADIUS SSO, Autenticación de cliente, Inalámbrico, SMTP, RED, IPsec y, por último, pero no menos importante, Chromebook, aunque nunca he visto un Chromebook excepto en YouTube 🤷‍♂️.

Excepciones de control de acceso más flexibles

Con la nueva versión de Sophos Firewall v20 MR1, la flexibilidad de las excepciones de control de acceso se mejora significativamente y se amplía con tres objetos principales.

• Soporte para hosts FQDN: Ahora puede utilizar nombres de dominio totalmente calificados (FQDN) en las reglas de excepción. Esto permite un control más preciso sobre el tráfico al controlar el acceso a dominios específicos en función de sus nombres en lugar de solo direcciones IP. He estado esperando esta función (que estaba disponible en UTM 🤐) durante mucho tiempo.
• Grupos de hosts: La capacidad de definir y utilizar grupos de hosts ofrece una flexibilidad ampliada en la gestión de las reglas de acceso. Puede agrupar varios hosts y luego utilizar este grupo en sus reglas de excepción.
• Direcciones MAC: Además de las direcciones IP, ahora también se pueden incluir direcciones MAC en las excepciones de control de acceso. Esto proporciona una capa adicional de control, particularmente útil en redes con muchas direcciones IP dinámicas o cambiantes.

Despliegue Zero-Touch

El Despliegue Zero-Touch es una característica avanzada de Sophos Firewall v20 MR1.

En muchos casos, en Avanet reemplazamos los firewalls existentes 1:1 por nuevos, y es importante que esto suceda rápidamente y con interrupciones mínimas. Por lo general, preconfiguramos el dispositivo en nuestra oficina y luego lo enviamos al cliente, donde solo necesita ser reemplazado.

En el pasado, el Despliegue Zero-Touch requería una memoria USB para transferir el archivo de configuración al firewall. Con la nueva versión, sin embargo, esto ya no es necesario, ya que toda la configuración se puede realizar a través de Sophos Central.

Aquí están los pasos y las mejoras en detalle:

1. Ingresar número de serie: El número de serie del nuevo firewall se ingresa en Sophos Central. Esto sirve para identificar e inicializar el firewall.
2. Definir configuración básica: Se define una configuración básica que se aplica cuando el firewall se inicia por primera vez. Esto incluye configuraciones importantes como la zona horaria, el nombre de host del firewall y las configuraciones de red para LAN y WAN.
3. Establecer conexión a Internet: El firewall simplemente se conecta a la red en el sitio, por lo que se conecta automáticamente a Sophos Central y descarga la configuración predefinida.
4. Activar Gestión de Firewall: Después de conectarse a Sophos Central, el firewall se configura automáticamente y está listo para su uso. Los administradores pueden realizar más configuraciones y ajustes finos directamente a través de Sophos Central.

Este método reduce significativamente el tiempo y la complejidad de la instalación. Además, el firewall se puede utilizar inmediatamente tan pronto como se conecta a Internet, acelerando todo el proceso.

Ventajas del Despliegue Zero-Touch

• Despliegue rápido: Ideal para ubicaciones donde no hay personal de TI en el sitio. El firewall se puede configurar y preparar para su uso inmediatamente después de conectarse a la red.
• Gestión centralizada: Todos los pasos de configuración se realizan a través de Sophos Central, lo que permite una gestión uniforme y coherente.
• Interrupciones mínimas: Dado que la configuración está predefinida y se aplica automáticamente, el tiempo de inactividad es mínimo, lo que es particularmente ventajoso en entornos críticos para el negocio.
• Personalización sencilla: Después de la configuración inicial, se pueden realizar más ajustes y configuraciones de forma centralizada sin que un técnico tenga que estar en el sitio.

Con el Despliegue Zero-Touch, Sophos ofrece una solución eficiente para implementar y configurar firewalls que ahorra tiempo y maximiza la disponibilidad de la red.

• Sophos KB: Add Sophos Firewall with Zero Touch

Descargar archivos de registro para la resolución de problemas

Con Sophos Firewall v20 MR1, ahora es posible descargar archivos de registro individuales directamente desde el firewall. Esta función simplifica la resolución de problemas, ya que ya no tiene que acceder al firewall a través de una conexión SSH para obtener los datos necesarios.

En el elemento de menú principal Diagnostics, encontrará la opción Troubleshooting Logs. Aquí, los administradores pueden buscar específicamente ciertos registros y seleccionar varios registros simultáneamente. Sophos Firewall ofrece entonces un archivo ZIP para descargar que contiene todos los registros seleccionados. Estos archivos se pueden abrir y analizar en un cliente local.

Cada conexión IPsec de sitio a sitio y conexión RED individual recibe su propio registro. Esto permite un análisis detallado y específico sin tener que recurrir a métodos engorrosos. Esto hace que la gestión y el mantenimiento del firewall sean más eficientes y fáciles de usar.

Campos de descripción para objetos

Todos los objetos bajo “Host & Services” ahora reciben un campo de descripción. Esto incluye hosts IP, grupos de hosts IP, direcciones MAC y otros objetos de red. La capacidad de agregar una descripción detallada a cada objeto mejora significativamente la documentación.

Esta función permite almacenar información importante directamente en el firewall. Por ejemplo, al crear un nuevo host IP, puede agregar inmediatamente una descripción que explique el propósito y el uso del host. Esto es particularmente útil cuando varios administradores gestionan el firewall o cuando se requiere una documentación precisa.

Una descripción también podría contener enlaces a información adicional, como una base de conocimientos o un documento PDF que proporcione detalles específicos sobre el objeto en cuestión. Esto aumenta la trazabilidad y facilita las futuras tareas administrativas. Así, un puerto de servicio utilizado solo para una aplicación específica se puede proporcionar directamente con información y contexto relevantes, aumentando significativamente la eficiencia y claridad en la gestión de la red.

La descripción también se indexa para permitir la búsqueda.

Asistente de Firewall con IA Generativa

Hoy en día, simplemente no eres genial como empresa si no mencionas la IA. Hace unos años era blockchain.

Se integra un nuevo Asistente de Sophos impulsado por IA generativa para ayudarle a administrar su firewall. Puede hacerle cualquier pregunta al asistente en lenguaje sencillo y recibir instrucciones y enlaces a recursos útiles.

No está mal para una primera versión, ¿pero creo que imaginamos la IA de manera diferente a una búsqueda ligeramente mejor?

Actualización de OpenVPN a v2.6.0

El componente OpenVPN de Sophos Firewall se ha actualizado a la versión 2.6.0. Esto mejora la seguridad y el rendimiento para SSL VPN. Las VPN SSL de sitio a sitio con versiones anteriores ya no son compatibles. Se recomienda actualizar a v20.0 MR1 o utilizar soluciones VPN alternativas como IPsec.

Además, la última versión del cliente Sophos Connect (v2.3) se puede descargar a través del portal VPN:

• Instalar el cliente Sophos Connect SSL VPN (Windows) – SFOS
• Comunidad Sophos: Sophos Connect 2.3 Update Released
• Comunidad Sophos: Sophos Connect News and Release Notes

Notas importantes sobre la compatibilidad de SSL VPN

Debido a la actualización a OpenVPN 2.6.0 en esta versión, los túneles VPN SSL ya no se establecerán con los siguientes clientes y versiones de firewall:

• SFOS v18.5 y versiones anteriores: Los VPN SSL de sitio a sitio ya no se pueden establecer. Se recomienda actualizar todos los firewalls relevantes a v20.0 MR1 o utilizar túneles IPsec o RED de sitio a sitio.
• Cliente SSL VPN heredado: Los túneles VPN SSL de acceso remoto ya no se establecerán con el cliente SSL VPN obsoleto. Utilice el cliente Sophos Connect o clientes de terceros como el cliente OpenVPN.
• UTM9 OS: Los VPN SSL de sitio a sitio ya no se pueden establecer entre UTM9 OS y SFOS v20.0 MR1. Se recomienda migrar estos dispositivos a v20.0 MR1 o utilizar túneles IPsec o RED de sitio a sitio.

Mejoras en SD-WAN y VPN

La nueva versión de Sophos Firewall v20 MR1 trae mejoras importantes en el área de SD-WAN y VPN, que aumentan significativamente tanto la fiabilidad como el rendimiento.

• Interrupciones de tráfico mínimas: La disponibilidad de la puerta de enlace durante la conmutación por error de HA y los reinicios del dispositivo se ha mejorado cuatro veces. Esto significa que en caso de fallo de una puerta de enlace o reinicio del dispositivo, las interrupciones en el tráfico de datos se minimizan significativamente, lo que lleva a una conexión de red más estable.
• Nuevo cliente OpenVPN 3.0: El nuevo cliente OpenVPN 3.0 para VPN SSL de acceso remoto ya está disponible para descargar a través del portal VPN. Este cliente ofrece funciones de seguridad mejoradas y una mayor compatibilidad con varios sistemas operativos, simplificando la configuración y gestión de conexiones VPN y mejorando la experiencia del usuario.
• Soporte IKEv2 fase 1 de IPsec: Se ha añadido soporte para cifrados GCM y Suite-B, mejorando la interoperabilidad y el rendimiento para las conexiones IPsec. Estos métodos de cifrado modernos garantizan una transmisión de datos más segura y eficiente entre dispositivos de red.
• Mejoras en DHCP Busybox: El tiempo de concesión predeterminado para DHCP se ha establecido en 30 segundos para eliminar problemas de conexión WAN. Tiempos de concesión más cortos significan que las direcciones IP se asignan y renuevan más rápido, lo que lleva a una conexión de red más estable y fiable, especialmente en entornos con conexiones que cambian con frecuencia.

Instalar Sophos Firewall v20 MR1

Para instalar la última versión de firmware, se requiere una licencia de Soporte Mejorado, a menos que el firewall se acabe de comprar nuevo y aún tenga una licencia de evaluación: Actualizaciones de Sophos Firewall ya no serán gratuitas en el futuro

Esta guía describe cómo instalar la última versión en su firewall y descargar la imagen: Actualización del firmware en Sophos Firewall

Puede encontrar más información sobre el lanzamiento en Comunidad Sophos - Sophos Firewall OS v20 MR1 ya está disponible