Sophos Firewall v21.5 MR1: Seguridad y Estabilidad en el Foco

Sophos Firewall v21.5 MR1 incluye numerosas mejoras de seguridad, estabilidad y fiabilidad. Además, hay innovaciones específicas como OAuth 2.0 para alertas por correo electrónico, ajuste de NDR y refuerzo de HA.

Nuevas funciones en SFOS v21.5 MR1

OAuth 2.0 para notificaciones por correo electrónico

Las notificaciones por correo electrónico pueden protegerse contra Gmail y Microsoft 365 con OAuth 2.0. La autenticación por contraseña se está eliminando gradualmente. Ventajas: superficie de ataque reducida, gestión centralizada de tokens, acceso rastreable. Implementación en Administración > Configuración de notificaciones. Se requiere el registro de la aplicación en la Consola de Google Cloud para Gmail (ID de cliente, Secreto de cliente). El cortafuegos utiliza tokens de actualización para la autenticación permanente. Además, OAuth 2.0 permite el uso de políticas, autenticación multifactor y revocación centralizada de tokens comprometidos.
Es aconsejable migrar los perfiles SMTP en una fase temprana, realizar un envío de prueba y almacenar un servidor de correo de reserva; las políticas MFA deben comprobarse y documentarse.

Informes programados localizados

Los informes en PDF planificados se generan en el idioma que se utilizó al iniciar sesión en el administrador web. Esto reduce el trabajo de traducción y facilita la coordinación con los departamentos especializados. Los informes son más coherentes y pueden utilizarse en las reuniones de gestión sin esfuerzo adicional.

Puntos esenciales del NDR: Selección del centro de datos

La región de análisis para NDR Essentials se puede seleccionar libremente. La región con la latencia más baja es la predeterminada. Esto permite cumplir los requisitos de residencia y conformidad de los datos. Con configuraciones multirregión, la elección correcta es crucial para evitar flujos de datos no deseados.
Tiene sentido documentar la región seleccionada, prepararse para un cambio planificado, adaptar la supervisión y tener en cuenta las directrices de protección de datos.

NDR Essentials: Puntuación de amenazas en los registros ATR

La puntuación de la amenaza aparece en los registros de Active Threat Response. Esto facilita la priorización, correlación y elaboración de informes en SIEM y XDR. Las alarmas basadas en la puntuación permiten una clasificación más detallada de los incidentes.

Sophos Firewall v21.5 MR1 - NDR Essentials Ubicación del centro de datos
Sophos Firewall v21.5 MR1 – NDR Essentials Ubicación del centro de datos

Syslog: nombre_dispositivo corresponde a nombre_host

El campo nombre_dispositivo contiene el nombre de host configurado del cortafuegos. Esto permite asignar los registros de forma más clara en entornos multidispositivo. Las integraciones con XDR y SIEM son más sólidas.

Alta disponibilidad garantizada

Las frases de contraseña fuertes son obligatorias, se omite la generación automática. El acoplamiento HA también comprueba la clave de host SSH del socio. Esto dificulta los ataques de intermediario y evita las confusiones de clúster. Una salida de error mejorada facilita el diagnóstico.

Modo LINCE en HA

LINCE es una certificación de seguridad del gobierno español que define unos requisitos criptográficos mínimos. El modo LINCE impone una selección admisible de algoritmos y longitudes de clave en el cortafuegos e influye en la configuración de SSH y VPN, entre otras cosas. La activación se realiza mediante CLI y reinicia el servicio SSH. En entornos de HA, el modo LINCE debe ser idéntico en ambos dispositivos antes de la configuración de HA. Al restaurar copias de seguridad de HA, el estado LINCE de los dispositivos de destino debe coincidir con la copia de seguridad, de lo contrario se rechazará la restauración o se ajustará el modo.

VPN basada en rutas: XFRM-MTU automática

El cortafuegos calcula automáticamente una MTU personalizada para las interfaces XFRM deduciendo la sobrecarga IPsec. El objetivo: menos fragmentación y conexiones TCP más estables. El valor puede personalizarse.
Tras la actualización, debes comprobar la MTU, ajustarla para cada proveedor si es necesario y probar las aplicaciones críticas.

Columnas de tabla personalizables

Muchas áreas de Sophos Firewall v21.5 MR1 admiten columnas libremente escalables, por ejemplo, Red, Rutas SD-WAN, Puertas de enlace o ACL de servicio local. Los anchos se guardan en el navegador y se aplican a futuras sesiones.

Bonos Hotspot: ordenar y filtrar

Los comprobantes pueden ordenarse por fecha de creación y aparecen inmediatamente en la parte superior. Esto facilita la emisión y la comprobación.

MIBs SNMP: conformidad RFC mejorada

Las MIB están más alineadas con las RFC de SNMPv1, v2 y v3. Esto mejora la compatibilidad con las herramientas de supervisión y reduce los errores de análisis.

Usuarios Vivos: unidades de datos normalizadas

Los volúmenes de datos están normalizados y se muestran en KB, MB y GB. Esto facilita las comparaciones y reduce los malentendidos.

Importación de grupos desde AD y Entra ID

L2TP y PPTP ya no se activan automáticamente durante la importación de grupos. El acceso remoto sigue siendo controlable explícitamente. Esto evita superficies de ataque no deseadas.

Directorio Activo SSO: Windows Server 2025

El inicio de sesión único ahora es compatible con Windows Server 2025 mediante NTLM y Kerberos. Esto facilita la integración en entornos AD modernos y en configuraciones híbridas con Azure AD.

Hosts del sistema RED: correcto /32

Los objetos de host de sistema para RED utilizan ahora sistemáticamente la máscara de subred /32. Antes, la máscara podía desviarse de la configuración establecida al crear la interfaz. Si se utiliza un host de sistema RED en reglas u objetos para redes más grandes, el tráfico ya no puede coincidir tras la actualización.
Resulta práctico comprobar las reglas de cortafuegos y los objetos de host dependientes y cambiar a objetos IP o de red adecuados si es necesario.

Compatibilidad y notas

  • Compatibilidad VPN SSL: No hay túneles con SFOS 18.5 y anteriores, Cliente VPN SSL heredado o UTM 9. Alternativa: Actualización, IPsec o RED.
  • Los túneles sitio a sitio RED heredados de la antigua generación ya no son compatibles a partir de SFOS 22. Se recomienda la migración a los túneles sitio a sitio RED o IPsec compatibles.
  • Rutas de actualización: Sigue las rutas de migración oficiales. Sophos Central puede planificar y controlar las actualizaciones.
  • Crea un plan completo de copia de seguridad y reversión antes de cada actualización.

Conclusión

Sophos Firewall v21.5 MR1 es una versión de mantenimiento regular con pequeñas mejoras y correcciones de errores. Estabiliza el funcionamiento en curso e incluye correcciones detalladas. Son útiles el cambio a OAuth 2.0 para las notificaciones por correo electrónico, la selección de la región NDR y una breve comprobación de los ajustes de HA y syslog. En general, se trata de ajustes incrementales para mantener la rama de lanzamiento actual. Volverá a ser emocionante a principios de diciembre, cuando se publique SFOS v22.

Fuentes

Avanet
Avanet

Suscribirse al boletín

Enviamos un boletín mensual con todas las entradas del blog de ese mes.