Sophos Firewall v21: Nuevas funciones y mejoras

Sophos Firewall v21 está disponible oficialmente desde el 17 de octubre y en este artículo describimos las nuevas funciones de esta versión.

⚠️ Actualización a Sophos Firewall v21

• ✅ XGS Appliances
• ✅ Sophos Firewall VMs o instalaciones de software
• ❌ Appliances End of Life
• ❌ SG Appliances con Sophos Firewall OS End of Life

La actualización a Sophos Firewall v21 está disponible exclusivamente para XGS Appliances, así como para firewalls VM y software. XG Appliances y SG Appliances con SFOS ya no recibirán esta actualización y alcanzarán el End-of-Life (EOL) el 31 de marzo de 2025. Quienes se vean afectados por el End-of-Life encontrarán todos los detalles en el artículo sobre XG End-of-Life.

Let’s Encrypt

Con la versión 21 de Sophos Firewall, se puede utilizar Let’s Encrypt para obtener, renovar y gestionar certificados SSL/TLS de forma gratuita y automatizada. La integración de Let’s Encrypt en Sophos Firewall v21 simplifica la gestión de certificados y garantiza que se renueven automáticamente antes de caducar.

¡POR FIN! Desde hace años, esta era probablemente una de las funciones más solicitadas y Sophos se ha tomado bastante tiempo, aunque FortiGate ya puede hacerlo desde hace más de un año 🫣.

Creación automática de certificados

Los certificados Let’s Encrypt tienen una validez de 90 días y Sophos Firewall los renueva automáticamente 30 días antes de que caduquen. Esto reduce de forma considerable el esfuerzo manual de gestión de certificados y garantiza que la Firewall trabaje siempre con certificados válidos.

Interfaces compatibles

Los certificados Let’s Encrypt se pueden utilizar en el firewall para varios servicios web:

• Consola Web Admin
• Portal de usuarios
• Portal cautivo
• Portal VPN
• Portal SPX
• WAF (Web Application Firewall)

Sin embargo, Let’s Encrypt no es compatible con los siguientes servicios:

• VPN de acceso remoto
• VPN sitio a sitio
• SSO de Chromebook

Validación de dominio a través de HTTP

Los certificados se validan mediante el mecanismo HTTP Challenge-Response. Para ello, la Firewall crea una configuración temporal de servidor web y una política WAF con el fin de completar el desafío y validar el dominio. Las reglas temporales de firewall y el servidor web virtual se eliminan automáticamente después de emitir correctamente el certificado.

Gestión de dominios

Se pueden solicitar certificados para hasta 50 dominios; solo se admiten nombres de dominio completos (FQDN). No se permiten dominios wildcard ni direcciones IP.

Usar certificados Let’s Encrypt

Para crear un certificado Let’s Encrypt, se registra una cuenta de Let’s Encrypt en la Firewall, se añaden los dominios deseados y se configura la interfaz WAN para la validación HTTP del dominio a través del puerto 80. Es importante que los registros DNS apunten a la IP pública de la Firewall.

Los certificados emitidos pueden utilizarse después para la consola WebAdmin, los portales de usuarios y el Web Application Firewall (WAF), garantizando conexiones HTTPS seguras.

Hay una guía detallada en este video:

Mejoras de UX y UI

Central UI ahora en el firewall

Con la actualización a Sophos Firewall v21 se ha rediseñado la interfaz de usuario para mejorar la navegación y la vista general de los datos. La nueva barra lateral y el esquema de color ajustado aportan una estructura más clara. El dashboard aprovecha mejor el espacio disponible en pantalla, ya que escala hasta un ancho de 1920 píxeles. Esto permite mostrar más información al mismo tiempo y facilita la visión de conjunto.

Los widgets también se han adaptado para mostrar más información de un vistazo. La presentación en tarjetas facilita la separación de las distintas categorías de datos. Estos cambios permiten acceder más rápido a información relevante para la seguridad y a mensajes de estado del sistema.

En conjunto, la interfaz revisada busca que la interacción con la Firewall sea más eficiente. Y, por supuesto, es positivo ver que Sophos por fin vuelve a moverse en este ámbito. Espero que los temas ocultar advertencias en el dashboard y rendimiento del backend también se aborden pronto.

Referencia de objetos

La función Object Reference llegó a Sophos Firewall con la v20.

Sophos Firewall v21 ofrece una forma de rastrear en la configuración el uso de objetos como interfaces, zonas, gateways o perfiles SD-WAN. Gracias a la transparencia sobre dónde se utilizan, los cambios en un objeto pueden realizarse de forma mucho más precisa. También se simplifica la limpieza de objetos no utilizados, ya que se ve rápidamente si todavía están en uso o si pueden eliminarse.

Object Reference API

La Object Reference API introducida en Sophos Firewall v21 permite consultar automáticamente cuántas veces se utilizan los objetos de configuración. La API sirve para obtener rápidamente una vista general de la frecuencia con la que un objeto aparece en la configuración. Esto es especialmente útil cuando se debe gestionar un gran número de hosts o interfaces.

La API permite consultar de forma programática el número de referencias y admite filtros para buscar objetos concretos. Esta funcionalidad ofrece una vía eficiente para identificar objetos no utilizados y eliminarlos si procede. También puede integrarse en procesos de automatización, lo que ahorra tiempo en tareas recurrentes como la limpieza del sistema.

Third-Party Threat Feeds

Con Sophos Firewall v21 se admite la integración de Third-Party Threat Feeds para la defensa automática frente a amenazas. Esta función amplía la integración ya existente de Threat Intelligence de Sophos X-Ops y Sophos MDR con fuentes externas de datos de amenazas. Sophos Firewall ahora puede procesar automáticamente indicadores de amenazas de terceros, Managed Service Providers (MSP) o consorcios sectoriales, y bloquear amenazas en distintos subsistemas.

Bloqueo automatizado

En cuanto un feed de terceros proporciona indicadores de amenazas, estos se integran automáticamente en las reglas de la Firewall. Amenazas como direcciones IP, dominios y URL maliciosos se bloquean de inmediato en todos los módulos de seguridad relevantes: la propia Firewall, IPS (Intrusion Prevention System), listas de bloqueo DNS, Web Filter y Deep Packet Inspection (DPI).

Intervalo de sondeo

La frecuencia con la que la Firewall actualiza los feeds puede configurarse de forma flexible. Los administradores pueden fijar un intervalo de entre una hora y hasta 30 días. Esto permite controlar la actualización de los datos de amenazas según las necesidades.

Soporte para múltiples feeds

Sophos Firewall puede gestionar hasta 50 fuentes diferentes de Threat Feeds. Estos feeds deben tener un formato concreto: cada Indicator of Compromise (IOC) se transmite como una línea individual en un archivo .txt a través de HTTPS.

Autenticación y seguridad

La integración de Threat Feeds externos normalmente requiere autenticación. Sophos Firewall admite distintos métodos, incluida Basic Authentication y autenticación basada en tokens. Así se garantiza que solo se utilicen fuentes autorizadas de datos de amenazas.

Al admitir feeds externos, la capacidad defensiva de la Firewall mejora de forma decisiva. Las amenazas procedentes de feeds sectoriales o regionales pueden detectarse y bloquearse sin tener que crear manualmente reglas adicionales de firewall.

Proveedores de Threat Feeds

Aquí tiene una pequeña selección de proveedores que ofrecen Threat Feeds.

Cybora

Cybora ofrece un Threat Intelligence Feed curado que combina datos de cientos de firewalls de todo el mundo, fuentes comunitarias y feeds comerciales.

El foco está en indicadores activos y de alto riesgo, como servidores de Command-and-Control, escaneos de botnets, ataques de fuerza bruta e infraestructura de phishing. Gracias al scoring, la deduplicación y una lógica de caducidad corta, las listas se mantienen actualizadas, limpias y útiles en la práctica.

La entrega se realiza como listas sencillas de IPs y dominios por HTTPS y se actualiza varias veces al día. Cybora es compatible con Sophos Third-party Threat Feeds, Fortinet, Palo Alto Networks y otras plataformas.

Cybora se ha especializado en el uso con firewalls y, desde nuestro punto de vista, ofrece una relación precio-rendimiento muy sólida. Es la solución que preferimos utilizar con nuestros clientes. (Avanet ❤️ Cybora)

• Detalles de la solución: Sophos Firewall Threat Feeds

CrowdSec

CrowdSec es una solución open source para la defensa frente a ciberamenazas basada en inteligencia colectiva. Ofrece listas de bloqueo automatizadas y Threat Feeds recopilados desde una comunidad global. CrowdSec ayuda a identificar y bloquear amenazas en tiempo real agregando información de muchos participantes.

GreyNoise

GreyNoise se centra en el análisis del “ruido de Internet” examinando señales de red globales para identificar qué actividades probablemente son maliciosas. Filtra datos de tráfico dañino que no representan un ataque directo contra la propia infraestructura, lo que ayuda a reducir falsos positivos y priorizar amenazas reales.

Cisco Talos

Talos es la unidad de investigación de amenazas de Cisco y ofrece uno de los Threat Intelligence Feeds comerciales más grandes del mundo. Incluye información detallada sobre amenazas globales, vulnerabilidades y atacantes. Talos apoya la detección y defensa frente a ciberataques con datos de amenazas actualizados.

Abuse.ch / URLhaus

Abuse.ch es una plataforma especializada en rastrear y bloquear dominios y direcciones IP maliciosos, especialmente relacionados con malware y botnets. URLhaus es un proyecto de Abuse.ch centrado en reportar y bloquear URLs que distribuyen malware.

Hakk Solutions

Hakk Solutions es un proveedor de información y servicios de seguridad especializado en Threat Intelligence y monitorización de seguridad. Sus servicios incluyen datos de amenazas que pueden utilizarse para identificar y defenderse de ciberataques.

OSINT (Open-source Intelligence) / DigitalSide

DigitalSide ofrece feeds de Open-source Intelligence (OSINT) basados en información disponible públicamente. Estos feeds contienen datos sobre direcciones IP, URLs y dominios maliciosos recopilados de distintas fuentes públicas.

CINS Score (CINSscore.com)

CINS Score ofrece datos de amenazas basados en el análisis del tráfico de red y ayuda a identificar hosts y redes maliciosos. Utiliza machine learning y algoritmos heurísticos para evaluar direcciones IP potencialmente peligrosas.

EclecticIQ

EclecticIQ proporciona datos y análisis de amenazas para empresas y equipos de operaciones de seguridad. El proveedor ofrece servicios completos de Threat Intelligence que permiten detectar amenazas y responder a ellas.

Feodo Tracker

Feodo Tracker es otro proyecto de Abuse.ch especializado en el seguimiento de botnets, en particular Feodo, Dridex y Emotet. Proporciona información sobre los servidores que estas botnets utilizan para su control y ayuda a identificar y bloquear actividades maliciosas.

DigitalSlide Threat Intel

DigitalSide ofrece Threat Intelligence Feeds con foco en Open-source Intelligence (OSINT). Recopila información disponible públicamente sobre direcciones IP, dominios y URLs maliciosos. Estos feeds son especialmente útiles para identificar amenazas en una fase temprana, ya que se basan en un amplio espectro de fuentes públicas y se actualizan periódicamente.

Proofpoint - Emerging Threat Intelligence

Proofpoint ofrece información completa sobre amenazas mediante su Emerging Threats Intelligence Feed. Este servicio se centra en proporcionar actualizaciones en tiempo real sobre amenazas emergentes, incluidas nuevas técnicas de ataque y vulnerabilidades. Proofpoint utiliza machine learning y análisis experto para ofrecer información detallada sobre amenazas globales y ayudar a las empresas a responder de forma dirigida ante ciberataques.

Indicadores de amenazas de Endpoint

Sophos Firewall v21 ofrece la posibilidad de integrar y analizar Indicators of Compromise (IoCs) procedentes de Endpoints. Se admiten tanto Endpoints gestionados como no gestionados. En cuanto un Endpoint detecta actividad maliciosa, esta información se transmite a la Firewall. La Firewall analiza estos IoCs y bloquea actividades sospechosas.

Esta función es especialmente útil para mejorar la sincronización entre Endpoints y Firewall. Los intentos de amenaza detectados en los Endpoints pueden detenerse directamente en toda la red. Este análisis en tiempo real contribuye a una respuesta rápida ante amenazas y a la contención de ataques.

Telemetría sincronizada

La Firewall puede correlacionar intentos de amenaza procedentes de Endpoints incorporando detalles como procesos y aplicaciones ejecutados. Esto mejora la detección y el análisis de amenazas. En cuanto un Endpoint detecta actividad sospechosa, esta información se transmite automáticamente a la Firewall para bloquear la amenaza en distintas capas de red.

Bloqueo automático de amenazas

Si se detecta un proceso malicioso en un Endpoint gestionado, la Firewall bloquea automáticamente la dirección IP, el dominio o la URL asociados. Esto se aplica a subsistemas como la Firewall, listas de bloqueo DNS, Web Filter y Deep Packet Inspection. Esta integración fluida entre Firewall y Endpoints reduce significativamente el tiempo de respuesta ante amenazas.

Un ejemplo sería un Endpoint no gestionado que intenta acceder a una URL maliciosa. La Firewall intervendría de inmediato y bloquearía el acceso sin que el propio Endpoint necesitara una configuración especial. Esto también protege dispositivos que no están gestionados directamente por Sophos Endpoint Security.

La capacidad de procesar IoCs de Endpoints ofrece a los administradores una capa adicional de defensa, ya que la Firewall no solo reacciona al tráfico de red, sino también a información detallada sobre amenazas procedente de los propios Endpoints.

Lateral Movement Protection

Lateral Movement Protection vuelve a mencionarse en Sophos Firewall v21 porque en esta versión se han realizado mejoras y optimizaciones importantes. En v21 se ha mejorado especialmente la integración y coordinación con otras funciones de seguridad como Synchronized Security y Active Threat Response (ATR). La Firewall ahora puede responder más rápido y de forma más eficiente ante amenazas, aislando automáticamente dispositivos comprometidos y bloqueando la propagación de amenazas en la red.

Lateral Movement Protection evita que las amenazas se propaguen por la red mediante el aislamiento de dispositivos comprometidos. En cuanto un Endpoint se identifica como comprometido, se bloquea su comunicación con otros dispositivos de la red. La Firewall también comparte esta información con otros Endpoints, que a su vez bloquean el acceso de red del dispositivo comprometido.

Esta función aumenta la seguridad de toda la red al impedir que las amenazas se desplacen lateralmente de un dispositivo a otro. Es especialmente útil en redes grandes, donde aislar rápidamente dispositivos infectados puede ser decisivo para evitar un incidente.

Bloqueo de direcciones MAC

Cuando un Endpoint se identifica como comprometido, la Firewall comparte la dirección MAC de ese dispositivo con todos los demás Endpoints de la red. Los Endpoints bloquean entonces el acceso de red del dispositivo infectado. Esto evita que las amenazas sigan propagándose por la red.

Estado de Heartbeat

La Firewall supervisa continuamente el estado de Heartbeat de los Endpoints. En cuanto un Endpoint se identifica como comprometido, el estado de Heartbeat cambia a rojo y activa un mecanismo de bloqueo inmediato. La comunicación del Endpoint comprometido se interrumpe al instante, lo que permite contener eficazmente la amenaza.

Un escenario típico sería un Endpoint que intenta moverse lateralmente por la red después de haber sido comprometido. Con Lateral Movement Protection activada, este Endpoint se aísla de inmediato y se bloquea su comunicación. Esto evita la propagación de malware, por ejemplo ransomware, que podría intentar infectar otros dispositivos.

El requisito para esta función es que la Firewall y los Sophos Endpoints estén conectados a través de Sophos Central. Esto permite la sincronización entre las soluciones de seguridad y garantiza que las amenazas puedan detectarse y aislarse rápidamente.

Reporting de amenazas e IoC

Sophos Firewall v21, al igual que sus versiones anteriores, ofrece funciones de reporting disponibles tanto en el dispositivo (OnBox) como en la nube a través de Sophos Central. Estos informes permiten analizar en detalle amenazas y actividades de red, y ofrecen información valiosa sobre la postura de seguridad de la red.

En Sophos Firewall v21, las funciones de reporting se han ampliado con la integración de Threat Sources y Threat Events, así como con soporte para Synchronized Indicators of Compromise (IoC). La novedad es que los informes ahora ofrecen información detallada sobre las fuentes de las amenazas y sus eventos específicos. Ahora se pueden rastrear los intentos de amenaza con precisión, viendo qué dispositivos, direcciones IP o usuarios estuvieron implicados y qué módulos de Firewall bloquearon la amenaza.

Destaca especialmente el soporte para Synchronized IoCs. Los datos de amenazas de Sophos Central y Sophos Managed Detection and Response (MDR), así como de feeds de terceros, se sincronizan. Esta ampliación permite obtener una visión más profunda de las amenazas mediante el análisis más preciso de los procesos y Endpoints afectados. Así, los administradores no solo ven dónde se produjeron las amenazas, sino también cómo afectan a los Endpoints y a los componentes de red.

En este vídeo se explica de nuevo en detalle el tema de los Third-Party Threat Feeds:

Mejoras de Static Route y VPN

Mejoras de UX de VPN

Con la versión 21 de Sophos Firewall se han introducido varias mejoras de interfaz (UX) para la gestión de conexiones VPN, con el objetivo de hacer el manejo más eficiente.

Activación y desactivación masiva

Los administradores ahora pueden activar o desactivar varias conexiones VPN al mismo tiempo.

Esto ahorra mucho tiempo, especialmente al administrar redes grandes con numerosos túneles VPN. La desactivación se realiza rápidamente desde un botón central en el área de gestión de VPN.

Opciones de filtro ampliadas

La página de resumen de conexiones VPN cuenta ahora con filtros mejorados, lo que simplifica la navegación por varias páginas de configuraciones VPN. Estos filtros incluyen tanto texto libre como opciones de búsqueda basadas en valores, lo que facilita la gestión y búsqueda de redes, subredes o usuarios concretos para Remote Access y Site-to-Site VPN.

Filtro de interfaz XFRM

Se ha añadido una opción de filtro adicional para XFRM Interfaces. Las XFRM Interfaces, que suelen utilizarse en configuraciones VPN, ahora pueden identificarse y gestionarse con más facilidad. Esto resulta especialmente útil cuando las VPN se crean sobre VLANs y WAN Interfaces.

Site-to-Site VPN

En Sophos Firewall v21 se han introducido varias mejoras para Site-to-Site VPN, centradas tanto en la usabilidad como en el rendimiento.

DHCP Relay sobre túneles XFRM: Una de las nuevas funciones clave es el soporte de DHCP Relay sobre túneles XFRM. Esto permite llegar a servidores DHCP detrás de firewalls remotos, algo que antes solo era posible mediante VPN basadas en políticas. Es especialmente útil en entornos SD-WAN donde deben entregarse direcciones IP dinámicas a través de túneles.

Compatibilidad FQDN mejorada: Al configurar Remote Gateways en IPsec VPN, ahora pueden utilizarse tanto FQDNs (Fully Qualified Domain Names) como sus direcciones IP resueltas. Esto mejora la escalabilidad, especialmente en entornos con alta latencia DNS, donde la resolución de FQDN podría afectar al rendimiento de las conexiones VPN. Los administradores pueden elegir si quieren usar FQDNs o direcciones IP resueltas en la configuración.

Las nuevas funciones en el área de Site-to-Site VPN aportan más flexibilidad y mejoran la escalabilidad en redes distribuidas de mayor tamaño. Gracias a la optimización del tiempo de recuperación de interfaces, que llega a ser hasta 20 veces más rápido, también se reduce drásticamente el tiempo de inactividad ante caídas de túnel, reinicios o escenarios de HA Failover.

Gestión de rutas

La gestión de rutas en Sophos Firewall v21 se ha ampliado con nuevas funciones y mejoras para simplificar la administración de rutas estáticas y dinámicas y aumentar la estabilidad de la red.

Rutas estáticas

Activación/Desactivación de rutas

Los administradores ahora pueden activar o desactivar rutas individuales directamente, lo que facilita mucho la resolución de problemas y la gestión de conexiones de red. Esto permite un control preciso del comportamiento de routing en tiempo real.

Clonación de rutas

Con la nueva función de clonado de rutas, las rutas existentes pueden duplicarse y adaptarse fácilmente. Esto ahorra tiempo durante la configuración y garantiza consistencia entre distintas interfaces de red. Además, cada ruta puede incluir una descripción para mejorar la claridad.

Rutas dinámicas

Soporte ampliado para OSPF y BGP

La Firewall ahora admite la redistribución de rutas BGP hacia OSPF v3, lo que mejora la interoperabilidad entre distintos protocolos de routing. Esto es especialmente útil en redes complejas con múltiples sedes y protocolos.

Mejoras de HA

En escenarios de High Availability (HA) Failover, la estabilidad de las rutas dinámicas se ha mejorado de forma significativa. Mientras que en versiones anteriores podían producirse varias interrupciones de conexión durante el failover, ahora esto ocurre solo una vez, lo que aumenta la fiabilidad de las conexiones de red.

Autenticación de Google

El soporte para Google Authentication se ha ampliado en Sophos Firewall v21 para facilitar la integración de Google Workspace y Chromebooks.

Integración basada en LDAP

Sophos Firewall ahora admite la integración de Google Workspace mediante un cliente LDAP estándar. Esta ampliación facilita a las empresas que utilizan Google Workspace autenticar sus usuarios a través de Sophos Firewall sin depender de Active Directory. En futuras versiones también llegará el soporte para Google Workspace SSO (Single Sign-On).

Soporte SSO de Chromebook

La Firewall ofrece ahora funcionalidad SSO (Single Sign-On) para Google Chromebooks conectados a servidores LDAP. Hasta ahora, esta funcionalidad estaba limitada a Active Directory. Esto permite a los usuarios de Google acceder a recursos protegidos sin pasos adicionales de inicio de sesión.

Rendimiento SSO mejorado

La autenticación se ha mejorado para que la Firewall pueda procesar con mayor eficiencia solicitudes de varios mecanismos SSO (por ejemplo, STAS, RADIUS SSO, Synchronized User ID). En entornos con muchas solicitudes simultáneas, el servidor puede responder ahora hasta cuatro veces más rápido a las solicitudes de autenticación y descartar solicitudes duplicadas en cuanto un usuario ya está autenticado.

Palabras finales

En conjunto, Sophos Firewall v21 es una actualización anual sólida que aporta mejoras pequeñas pero importantes en UX y UI, además de nuevas funciones que aumentan aún más la seguridad de la red.

Seguiremos recopilando con gusto vuestro feedback sobre las funciones que echáis en falta actualmente. En el post Sophos Firewall Feature Request 2024, ya resumimos muchas de vuestras sugerencias y estamos trabajando en la lista para 2025. Podéis enviarnos más deseos y propuestas a través del formulario de contacto.