Sophos Firewall v21: Nuevas funciones y mejoras
Sophos Firewall La v21 está disponible oficialmente desde el 17 de octubre y en este artículo describimos las nuevas funciones de esta versión.
⚠️ Actualización a Sophos Firewall v21
- ✅ XGS Appliances
- ✅ Instala las máquinas virtuales o el software de Sophos Firewall
- ❌ XG Appliances
- ❌ Dispositivos SG con Sophos Firewall OS
Sophos Firewall La actualización a la v21 sólo está disponible para los dispositivos XGS, así como para los cortafuegos VM y de software. End-of-Life Los dispositivos XG y los dispositivos SG con SFOS dejarán de recibir esta actualización y alcanzarán el (EOL) el 31 de marzo de 2025. End-of-Life End-of-Life Todos los afectados serán informados de todos los detalles en el artículo XG.
Temas
Encriptemos
Con la versión 21 de Sophos Firewall, puedes utilizar Let’s Encrypt para obtener, renovar y gestionar certificados SSL/TLS de forma automática y gratuita. La integración de Let’s Encrypt en Sophos Firewall v21 facilita la gestión de los certificados y garantiza su renovación automática a tiempo antes de que caduquen.
¡POR FIN! Ésta ha sido probablemente una de las funciones más solicitadas durante años y Sophos ha tardado mucho en hacerlo, aunque FortiGate también puede hacerlo desde hace más de un año 🫣.
Creación automática de certificados
Los certificados Let’s Encrypt son válidos durante 90 días y Sophos Firewall los renueva automáticamente 30 días antes de que caduquen. Esto reduce significativamente el esfuerzo manual necesario para la gestión de certificados y garantiza que el cortafuegos funcione siempre con certificados válidos.
Interfaces compatibles
Los certificados Let’s Encrypt pueden utilizarse en el cortafuegos para varios servicios web:
- Consola de administración web
- Portal del usuario
- Portal Cautivo
- VPN Portal
- Portal SPX
- WAF (Cortafuegos de Aplicaciones Web)
Sin embargo, Let’s Encrypt no es compatible con los siguientes servicios:
- VPN de acceso remoto
- VPN de sitio a sitio
- Chromebook SSO
Validación de dominio mediante HTTP
Los certificados se validan mediante el mecanismo HTTP desafío-respuesta. El cortafuegos crea una configuración temporal del servidor web y una política WAF para superar el desafío y validar el dominio. Las reglas temporales del cortafuegos y el servidor web virtual se vuelven a eliminar automáticamente una vez que el certificado se ha emitido correctamente.
Gestión de dominios
Puedes solicitar certificados para un máximo de 50 dominios, para los que sólo se admiten nombres de dominio completos (FQDN). No se permiten dominios ni direcciones IP comodín.
Utilizar certificados Let’s Encrypt
Para crear un certificado Let’s Encrypt, registra una cuenta con Let’s Encrypt en el cortafuegos, añade los dominios deseados y configura la interfaz WAN para la validación HTTP de dominios a través del puerto 80. Es importante que las entradas DNS apunten a la IP pública del cortafuegos.
Los certificados emitidos pueden utilizarse para la consola WebAdmin, los portales de usuario y el cortafuegos de aplicaciones web (WAF) para garantizar conexiones HTTPS seguras.
Puedes encontrar instrucciones detalladas en este vídeo:
Mejoras en la UX y la UI
La IU central ahora en el cortafuegos
Con la actualización a Sophos Firewall v21, se ha rediseñado la interfaz de usuario para mejorar la navegación y la visión general de los datos. La nueva barra lateral y el esquema de colores adaptado proporcionan una estructura más clara. El panel de control ahora aprovecha mejor el espacio disponible en la pantalla al escalarse a una anchura de hasta 1920 píxeles. Esto permite mostrar más información al mismo tiempo, facilitando la visión de conjunto.
Los widgets también se han personalizado para que se pueda acceder a más información de un vistazo. La visualización del mapa simplifica la separación de las distintas categorías de datos. Estos cambios permiten acceder más rápidamente a la información relevante para la seguridad y a los mensajes de estado del sistema.
En general, la interfaz revisada pretende que la interacción con el cortafuegos sea más eficaz y, por supuesto, es agradable ver que Sophos por fin vuelve a hacer algo en este ámbito. Espero que los problemas de ocultar los mensajes de advertencia en el panel de control y el rendimiento del backend también se solucionen pronto.
Referencia a objetos
La función de referencia a objetos se añadió a Sophos Firewall con la versión 20.
Sophos Firewall v21 ofrece una forma de rastrear el uso de objetos como interfaces, zonas, puertas de enlace o perfiles SD-WAN en la configuración. Los cambios en un objeto pueden hacerse de forma selectiva gracias a la transparencia de las ubicaciones de uso. También es más fácil limpiar los objetos que ya no se utilizan, ya que puedes reconocer rápidamente si siguen en uso o pueden eliminarse.
API de referencia de objetos
La API de referencia de objetos introducida en Sophos Firewall v21 permite recuperar automáticamente el recuento de uso de los objetos de configuración. La API puede utilizarse para obtener rápidamente una visión general de la frecuencia de uso de un objeto en la configuración. Esto es especialmente útil si tienes que gestionar un gran número de hosts o interfaces.
La API permite una consulta programática del recuento de referencias y admite opciones de filtro para buscar objetos concretos. Esta funcionalidad proporciona una forma eficaz de identificar y, si es necesario, eliminar los objetos no utilizados. La API también puede integrarse en procesos de automatización, lo que ahorra tiempo en tareas recurrentes como la limpieza del sistema.
Fuentes de amenazas de terceros
Sophos Firewall v21 admite la integración de fuentes de amenazas de terceros para la defensa automatizada contra amenazas. Esta función amplía la integración existente de inteligencia de amenazas de Sophos X-Ops y Sophos MDR con fuentes de datos de amenazas externas. Ahora Sophos Firewall puede procesar automáticamente indicadores de amenazas de proveedores externos, proveedores de servicios gestionados (MSP) o consorcios específicos del sector y bloquear amenazas en varios subsistemas.
Bloqueo automático
En cuanto un feed de terceros proporciona indicadores de amenazas, se integran automáticamente en las reglas del cortafuegos. Las amenazas como direcciones IP, dominios y URL maliciosos se bloquean inmediatamente en todos los módulos de seguridad relevantes, incluidos el propio cortafuegos, el IPS (Sistema de Prevención de Intrusiones), las listas de bloqueo DNS, los filtros web y la Inspección Profunda de Paquetes (DPI).
Intervalo de sondeo
La frecuencia con la que el cortafuegos actualiza los feeds puede configurarse de forma flexible. Los administradores pueden establecer el intervalo entre una hora y hasta 30 días. Esto permite controlar la actualización de los datos sobre amenazas según sea necesario.
Soporte para múltiples fuentes
Sophos Firewall puede gestionar hasta 50 fuentes de alimentación de amenazas diferentes. Estas fuentes deben tener un formato específico: cada Indicador de Compromiso (IOC) se envía como una sola línea en un archivo .txt a través de HTTPS.
Autenticación y seguridad
La integración de fuentes externas de amenazas suele requerir autenticación. Sophos Firewall admite varios métodos de autenticación, como la autenticación básica y la autenticación basada en tokens. Esto garantiza que sólo se utilicen fuentes de datos de amenazas autorizadas.
La compatibilidad con feeds externos mejora significativamente la capacidad de defensa del cortafuegos. Las amenazas procedentes de fuentes específicas del sector o regionales pueden reconocerse y bloquearse sin necesidad de crear manualmente reglas de cortafuegos adicionales.
Proveedor de feeds de amenazas
Aquí tienes una pequeña selección de proveedores que ponen a tu disposición feeds de amenazas.
CrowdSec
CrowdSec es una solución de defensa frente a ciberamenazas de código abierto basada en la inteligencia colectiva. Proporciona listas de bloqueo automatizadas y fuentes de amenazas recogidas de una comunidad global. CrowdSec ayuda a identificar y bloquear amenazas en tiempo real agregando inteligencia sobre amenazas de muchos participantes.
Ruido gris
GreyNoise se centra en analizar el “ruido de Internet” examinando el tráfico de red global para identificar qué actividades pueden ser maliciosas. Filtra el tráfico de red malicioso que no es un ataque directo a tu infraestructura, ayudando a reducir los falsos positivos y a priorizar las amenazas reales.
Cisco Talos
Talos es la unidad de investigación de amenazas de Cisco y proporciona una de las mayores fuentes comerciales de inteligencia sobre amenazas del mundo. Incluye información detallada sobre amenazas globales, vulnerabilidades y atacantes. Talos apoya la detección y defensa contra los ciberataques con datos actualizados sobre amenazas.
Abuse.ch / URLhaus
Abuse.ch es una plataforma especializada en detectar y bloquear dominios y direcciones IP maliciosos, especialmente malware y botnets. URLhaus es un proyecto de Abuse.ch especializado en informar y bloquear URL que propagan programas maliciosos.
Soluciones Hakk
Hakk Solutions es un proveedor de información y servicios de seguridad especializado en inteligencia sobre amenazas y supervisión de la seguridad. Los servicios incluyen datos sobre amenazas que pueden utilizarse para identificar ciberataques y defenderse de ellos.
OSINT (Inteligencia de código abierto) / DigitalSide
DigitalSide proporciona fuentes de inteligencia de código abierto (OSINT) basadas en información disponible públicamente. Estos feeds contienen datos sobre direcciones IP, URL y dominios maliciosos recogidos de diversas fuentes de acceso público.
Puntuación CINS (CINSscore.com)
CINS Score proporciona inteligencia sobre amenazas basada en el análisis del tráfico de red para ayudar a identificar hosts y redes maliciosos. Utiliza algoritmos de aprendizaje automático y heurísticos para evaluar las direcciones IP potencialmente peligrosas.
EclecticIQ
EclecticIQ proporciona inteligencia y análisis de amenazas para empresas y operaciones de seguridad. El proveedor ofrece servicios integrales de inteligencia sobre amenazas que permiten reconocerlas y responder a ellas.
Rastreador Feodo
Feodo Tracker es otro proyecto de Abuse.ch especializado en rastrear botnets, en particular Feodo, Dridex y Emotet. Proporciona información sobre los servidores que estas botnets utilizan para controlarse, ayudando a identificar y bloquear actividades maliciosas.
Inteligencia sobre amenazas de DigitalSlide
DigitalSide proporciona fuentes de inteligencia sobre amenazas, centrándose en la inteligencia de código abierto (OSINT). Recopila información disponible públicamente sobre direcciones IP, dominios y URL maliciosas. Estos feeds son especialmente útiles para identificar amenazas en una fase temprana, ya que se basan en una amplia gama de fuentes de datos disponibles públicamente y se actualizan con regularidad.
Proofepoint – Inteligencia sobre amenazas emergentes
Proofpoint proporciona información exhaustiva sobre amenazas a través de su servicio Emerging Threats Intelligence Feed. Este servicio se centra en proporcionar actualizaciones en tiempo real sobre amenazas emergentes, incluidas nuevas técnicas de ataque y vulnerabilidades. Proofpoint utiliza el aprendizaje automático y el análisis de expertos para proporcionar información detallada sobre las amenazas globales que ayudan a las organizaciones a responder a los ciberataques de forma selectiva.
Indicadores de amenazas a puntos finales
Sophos Firewall v21 ofrece la opción de integrar y analizar indicadores de amenaza Indicadores de Compromiso (IoC) desde los puntos finales. Se admiten tanto endpoints gestionados como no gestionados. En cuanto un endpoint detecta una actividad maliciosa, esta información se transmite al cortafuegos. El cortafuegos analiza estos IoC y bloquea las actividades sospechosas.
Esta función es especialmente útil para mejorar la sincronización entre los puntos finales y el cortafuegos. De este modo, los intentos de amenaza detectados en los puntos finales pueden detenerse directamente en toda la red. Este análisis en tiempo real contribuye a una respuesta rápida a las amenazas y a la contención de los ataques.
Telemetría sincronizada
El cortafuegos es capaz de correlacionar los intentos de amenaza procedentes de los puntos finales, incluyendo detalles como los procesos y aplicaciones en ejecución. Esto mejora la detección y el análisis de amenazas. En cuanto un punto final reconoce una actividad sospechosa, esta información se transmite automáticamente al cortafuegos para bloquear la amenaza a través de las distintas capas de la red.
Bloqueo automático de amenazas
Si se detecta un proceso malicioso en un endpoint gestionado, el cortafuegos bloquea automáticamente la dirección IP, el dominio o la URL asociados. Esto se aplica a subsistemas como el cortafuegos, las listas de bloqueo DNS, los filtros web y la inspección profunda de paquetes. Esta perfecta integración entre el cortafuegos y los puntos finales reduce significativamente el tiempo de respuesta a las amenazas.
Un ejemplo sería un endpoint no gestionado que intentara acceder a una URL maliciosa. El cortafuegos intervendría inmediatamente y bloquearía el acceso sin que el propio endpoint necesitara ninguna configuración especial. Esto también protege los dispositivos no gestionados directamente por Sophos Endpoint Security.
La capacidad de procesar IoC desde los puntos finales proporciona a los administradores una capa adicional de defensa, ya que el cortafuegos responde no sólo al tráfico de red, sino también a la información detallada sobre amenazas procedente de los propios puntos finales.
Protección contra movimientos laterales
La Protección contra movimientos laterales vuelve a mencionarse en Sophos Firewall v21, ya que en esta versión se han introducido mejoras y optimizaciones significativas. En v21, se ha mejorado la integración y coordinación con otras funciones de seguridad, como Synchronized Security y Active Threat Response (ATR). Ahora el cortafuegos puede responder más rápida y eficazmente a las amenazas, aislando automáticamente los dispositivos comprometidos y bloqueando la propagación de las amenazas por la red.
La Protección contra Movimientos Laterales impide que las amenazas se propaguen por la red aislando los dispositivos comprometidos. En cuanto se reconoce que un endpoint está comprometido, se bloquea la comunicación con otros dispositivos de la red. El cortafuegos también comparte esta información con otros puntos finales, que a su vez bloquean el acceso a la red del dispositivo comprometido.
Esta función aumenta la seguridad en toda la red al impedir que las amenazas se desplacen horizontalmente de un dispositivo a otro. Es especialmente útil en redes grandes, donde el aislamiento rápido de los dispositivos infectados puede ser crucial para evitar un incidente.
Bloqueo de direcciones MAC
Si se reconoce que un punto final está comprometido, el cortafuegos comparte la dirección MAC de este dispositivo con todos los demás puntos finales de la red. Los puntos finales bloquean entonces el acceso a la red del dispositivo infectado. Esto garantiza que las amenazas no puedan propagarse más en la red.
Estado del latido
El cortafuegos supervisa continuamente el estado del latido de los puntos finales. En cuanto se identifica un punto final como comprometido, el estado del latido cambia a rojo, lo que activa un mecanismo de bloqueo inmediato. La comunicación del endpoint comprometido se interrumpe inmediatamente, lo que permite la contención eficaz de la amenaza.
Un escenario típico sería un punto final que intenta moverse lateralmente en la red después de haber sido comprometido. Al activar la Protección contra Movimientos Laterales, este endpoint se aísla inmediatamente y se bloquea su comunicación. Esto evita la propagación de malware, como el ransomware, que podría intentar infectar otros dispositivos.
El requisito para esta función es que el cortafuegos y los puntos finales de Sophos estén conectados a través de Sophos Central. Esto permite la sincronización entre las soluciones de seguridad y garantiza que las amenazas puedan detectarse y aislarse rápidamente.
Informes sobre amenazas e IoC
Sophos Firewall v21, como sus predecesores, ofrece funciones de informes disponibles tanto en el dispositivo (OnBox) como en la nube a través de Sophos Central. Estos informes permiten analizar en detalle las amenazas y las actividades de la red, y proporcionan información valiosa sobre la situación de seguridad de la red.
En Sophos Firewall v21, se han mejorado las funciones de elaboración de informes con la integración de Fuentes de amenazas y Eventos de amenazas y la compatibilidad con Indicadores de compromiso sincronizados (IoC). La novedad es que ahora los informes ofrecen información detallada sobre las fuentes de las amenazas y sus eventos específicos. Ahora se pueden rastrear con precisión los intentos de amenaza viendo qué dispositivos, direcciones IP o usuarios estuvieron implicados y qué módulos de cortafuegos bloquearon la amenaza.
Destaca especialmente la compatibilidad con los IoC sincronizados. Esto sincroniza los datos de amenazas de Sophos Central y Sophos Managed Detection and Response (MDR), así como de fuentes de terceros. Esta extensión permite obtener una visión más profunda de las amenazas, analizando con más detalle los procesos y puntos finales afectados. Esto permite a los administradores ver no sólo dónde se han producido las amenazas, sino también cómo afectan a los puntos finales y a los componentes de la red.
En este vídeo, se vuelve a explicar en detalle el tema de las fuentes de amenazas de terceros:
Mejoras en las rutas estáticas y VPN
Mejoras en la UX de la VPN
La versión 21 de Sophos Firewall introduce varias mejoras en la interfaz de usuario (UX) para gestionar las conexiones VPN, con el fin de hacer más eficaz su uso.
Activación y desactivación masiva
Ahora los administradores pueden activar o desactivar varias conexiones VPN al mismo tiempo.
Esto ahorra una cantidad de tiempo considerable, sobre todo cuando se gestionan redes grandes con muchos túneles VPN. La desactivación se realiza rápidamente mediante un botón central en el área de gestión de la VPN.
Opciones de filtro ampliadas
La página de resumen de las conexiones VPN tiene ahora funciones de filtrado mejoradas que facilitan la navegación por varias páginas de configuraciones VPN. Estos filtros incluyen opciones de entrada de texto libre y de búsqueda basada en valores, lo que facilita la gestión y la búsqueda de redes, subredes o usuarios concretos para el acceso remoto y las VPN de sitio a sitio.
Filtro de interfaz XFRM
Se ha añadido una opción de filtro adicional para las interfaces XFRM. Ahora se pueden identificar y gestionar más fácilmente las interfaces XFRM que se utilizan a menudo en las configuraciones de VPN. Esto es especialmente útil cuando las VPN se configuran a través de VLAN e interfaces WAN.
VPN de sitio a sitio
Sophos Firewall v21 introduce varias mejoras para las VPN de sitio a sitio que se centran tanto en la facilidad de uso como en el rendimiento.
Retransmisión DHCP a través de túnel XFRM: Una de las principales funciones nuevas es la compatibilidad con retransmisiones DHCP a través de túneles XFRM. Esto permite llegar a servidores DHCP detrás de cortafuegos remotos, lo que antes sólo era posible mediante VPN basadas en políticas. Esto es especialmente útil en entornos SD-WAN en los que es necesario proporcionar direcciones IP dinámicas a través de túneles.
Compatibilidad mejorada con FQDN: Al configurar pasarelas remotas en VPNs IPsec, ahora se pueden utilizar tanto los FQDN (Nombres de Dominio Completamente Cualificados) como sus direcciones IP resueltas. Esto mejora la escalabilidad, especialmente en entornos con alta latencia DNS, donde las resoluciones FQDN podrían afectar al rendimiento de las conexiones VPN. Los administradores pueden elegir si utilizar FQDNs o direcciones IP resueltas en la configuración.
Las nuevas funciones en el área de VPN de sitio a sitio proporcionan más flexibilidad y mejoran la escalabilidad en redes distribuidas de mayor tamaño. La optimización del tiempo de recuperación de la interfaz, que es hasta 20 veces más rápida, también reduce drásticamente el tiempo de inactividad en caso de fallos del túnel, reinicios o escenarios de conmutación por error de HA.
Gestión de rutas
La gestión de rutas en Sophos Firewall v21 se ha mejorado con nuevas funciones y mejoras para simplificar la gestión de rutas estáticas y dinámicas y aumentar la estabilidad de la red.
Rutas estáticas
Activación/desactivación de rutas
Ahora los administradores pueden activar o desactivar directamente rutas individuales, lo que facilita mucho la resolución de problemas y la gestión de las conexiones de red. Esto permite un control preciso del comportamiento de las rutas en tiempo real.
Clonación de rutas
Con la nueva función para clonar rutas, las rutas existentes se pueden duplicar y personalizar fácilmente. Esto ahorra tiempo durante la configuración y garantiza la coherencia entre diferentes interfaces de red. Además, cada ruta puede ir acompañada de una descripción para mayor claridad.
Rutas dinámicas
Soporte ampliado para OSPF y BGP
El cortafuegos admite ahora el reenvío de rutas BGP a OSPF v3, lo que mejora la interoperabilidad entre distintos protocolos de encaminamiento. Esto es especialmente útil en redes complejas con múltiples ubicaciones y protocolos.
Mejoras en la AH
Se ha mejorado significativamente la estabilidad de las rutas dinámicas en escenarios de conmutación por error de alta disponibilidad (HA). Mientras que en versiones anteriores podían producirse varios fallos de conexión durante la conmutación por error, ahora esto sólo ocurre una vez, lo que aumenta la fiabilidad de las conexiones de red.
Este vídeo resume las nuevas funciones relacionadas con la VPN y el encaminamiento:
Autenticación de Google
Se ha ampliado la compatibilidad con la Autenticación de Google en Sophos Firewall v21 para facilitar la integración de Google Workspace y Chromebooks.
Integración basada en LDAP
Sophos Firewall admite ahora la integración de Google Workspace a través de un cliente LDAP normal. Esta extensión facilita a las organizaciones que confían en Google Workspace la autenticación de sus usuarios a través de Sophos Firewall sin tener que depender de Active Directory. La compatibilidad con Google Workspace SSO (Single Sign-On) también llegará en futuras versiones.
Soporte SSO para Chromebook
El cortafuegos ofrece ahora funcionalidad SSO (inicio de sesión único) para los Chromebooks de Google conectados a servidores LDAP. Anteriormente, esta funcionalidad estaba limitada a Active Directory. Esto permite a los usuarios de Google acceder a recursos seguros sin pasos adicionales de inicio de sesión.
Mejora del rendimiento del SSO
Se ha mejorado la autenticación para que el cortafuegos pueda procesar solicitudes de múltiples mecanismos SSO (por ejemplo, STAS, RADIUS SSO, ID de usuario sincronizado) de forma más eficiente. En entornos con un elevado número de solicitudes simultáneas, el servidor puede ahora responder hasta cuatro veces más rápido a las solicitudes de autenticación y descartar las solicitudes duplicadas una vez autenticado un usuario.
Últimas palabras
En general, Sophos Firewall v21 es una sólida actualización anual que aporta pequeñas pero importantes mejoras a la UX y la UI, así como nuevas funciones que mejoran aún más la seguridad de la red.
Estaremos encantados de seguir recogiendo tus comentarios sobre las funciones que echas de menos actualmente. Ya hemos resumido muchas de tus sugerencias en el post Solicitud de funciones de Sophos Firewall 2024 y ya estamos trabajando en la lista para 2025. Te invitamos a enviarnos más peticiones y sugerencias a través del formulario de contacto.