Sophos Firewall v21.5: nuevas funciones para seguridad y facilidad de uso

Sophos Firewall v21.5 ya está aquí y trae numerosas funciones y mejoras que refuerzan la seguridad de su red y simplifican la administración. En este artículo presentamos las novedades más importantes de SFOS v21.5, incluida la esperada integración de Entra ID Single Sign-On (SSO) y la potente función NDR Essentials para detección avanzada de amenazas. También tratamos mejoras en escalabilidad VPN, DNS Protection, interfaz de usuario y mucho más. Veamos las novedades de Sophos Firewall v21.5.

Sophos NDR Essentials: Detección avanzada de amenazas

Network Detection and Response (NDR) es un componente central de la ciberseguridad moderna para detectar amenazas mediante la monitorización del tráfico de red y responder a ellas. Con SFOS v21.5, Sophos introduce NDR Essentials, una solución NDR basada en la nube integrada directamente en el firewall.

NDR Essentials utiliza inteligencia artificial para analizar metadatos de tráfico cifrado TLS y consultas DNS, y detectar actividad maliciosa sin tener que descifrar el tráfico. Esto protege el rendimiento del firewall y respeta la privacidad de los usuarios. La solución es gratuita para clientes con Xstream Protection Bundle y no requiere hardware adicional.

Ventajas clave de NDR Essentials:

• Detección de amenazas complejas: identifica ataques sofisticados, incluidos aquellos que utilizan canales cifrados o dominios dinámicos.
• Solución basada en la nube: sin impacto en el rendimiento del firewall, ya que el análisis se realiza en Sophos Intellix Cloud.
• Integración sencilla: activación a través del menú Active Threat Response del firewall.

¿Cómo funciona? NDR Essentials analiza tráfico cifrado y consultas DNS mediante dos motores de IA: Encrypted Payload Analysis (EPA) y detección de Domain Generation Algorithm (DGA). Las detecciones se puntúan en una escala de 1 (riesgo bajo) a 10 (riesgo alto). Los administradores pueden definir un umbral a partir del cual se activan notificaciones y alertas. Todas las detecciones se registran y pueden consultarse en informes detallados tanto en el firewall como en Sophos Central.

Configuración: Para activar NDR Essentials, vaya en Sophos Firewall v21.5 a Active Threat Response, seleccione la pestaña NDR Essentials y active la función. Elija las interfaces que desea monitorizar (por ejemplo, aquellas con mucho tráfico de Internet) y defina la puntuación mínima de amenaza (recomendación: 9-10 para riesgo alto).

Requisitos de licencia: NDR Essentials requiere una licencia activa de Xstream Protection Bundle. Para quienes no son clientes hay disponible una prueba de 30 días. Actualmente, la función solo es compatible con hardware XGS, no con dispositivos virtuales ni cloud. Tampoco se admite el modo HA Active-Active.

¿Por qué es importante? NDR Essentials se centra en el tráfico de gateway y ofrece una versión “Lite” frente a Sophos NDR completo, que también monitoriza el tráfico de red interno. Para obtener una visión más completa, Sophos recomienda la solución NDR completa o el servicio Managed Detection and Response - Página del producto: Sophos MDR.

Para una demostración detallada, vea el vídeo sobre NDR Essentials:

Entra ID Single Sign-On: Acceso VPN simplificado

La gestión de autenticaciones de usuario para accesos VPN puede ser compleja en grandes empresas. Sophos Firewall v21.5 introduce una integración de Single Sign-On (SSO) con Microsoft Entra ID (anteriormente Azure AD) que simplifica el acceso al portal VPN y al Sophos Connect Client.

Esta integración utiliza los protocolos OAuth 2.00 y OpenID Connect para permitir una autenticación fluida. Los usuarios inician sesión una vez con sus credenciales de Entra ID y obtienen acceso a los servicios VPN sin tener que introducir de nuevo sus credenciales.

Funciones clave:

• Soporte para Sophos Connect Client: versión 2.4 y superiores en plataformas Windows.
• Multi-Factor Authentication (MFA): plenamente compatible con Entra ID.
• Configuración unificada: se utiliza el mismo servidor Entra ID SSO para el portal VPN, SSL-VPN y configuraciones IPsec.

Configuración: Para configurar Entra ID SSO en Sophos Firewall v21.5, configure el servidor de autenticación con el Azure Application ID. Asegúrese de que las URL del portal VPN y del acceso remoto estén registradas en Azure como callback URLs. Para el Sophos Connect Client se debe importar un archivo de aprovisionamiento que especifique los ajustes del gateway. Este es un ejemplo:

[
  {
    "gateway": "vpn.domain.com",
    "vpn_portal_port": 443,
    "check_remote_availability": false
  }
]

El valor “gateway” debe coincidir con la callback URL configurada en Azure para garantizar la funcionalidad SSO. Este archivo activa tanto el inicio de sesión tradicional como la opción SSO en el Sophos Connect Client.

¿Por qué es necesario el archivo de aprovisionamiento? El archivo garantiza que el Sophos Connect Client utilice los ajustes correctos de gateway y active la funcionalidad SSO. Sin esta configuración, la conexión podría fallar o la opción SSO podría no mostrarse.

Limitaciones:

• Actualmente, la función solo está disponible para Sophos Connect Clients basados en Windows.
• Los usuarios que migren desde versiones anteriores de SFOS con Azure AD SSO deben añadir la callback URI del portal VPN en la aplicación de Azure.

Esta función mejora significativamente la experiencia de usuario, especialmente en entornos que ya utilizan Entra ID para la autenticación, y aumenta la seguridad gracias al soporte de MFA.

Mejoras en VPN y escalabilidad

SFOS v21.5 trae varias mejoras para las funciones VPN y la escalabilidad que optimizan la gestión y el rendimiento:

• Actualizaciones de la interfaz de usuario: las conexiones VPN “Site-to-Site” ahora se denominan “policy-based”, y las interfaces de túnel “route-based”, para aumentar la claridad.
• Validación mejorada del pool de IP leases: comprobaciones optimizadas para SSL-VPN, IPsec, L2TP y PPTP con el fin de evitar errores de configuración.
• Aplicación estricta del perfil IPsec: garantiza que las conexiones IPsec cumplan las políticas de seguridad definidas.
• Mayor capacidad de túneles: soporte para hasta 3.000 túneles VPN route-based y hasta 1.000 túneles RED Site-to-Site con hasta 650 dispositivos SD-RED.

Estas mejoras hacen que la gestión de VPN sea más intuitiva y escalable, especialmente para entornos empresariales más grandes.

Sophos DNS Protection: Integración mejorada

Sophos DNS Protection, un servicio “gratuito” para clientes de Xstream Protection, recibe varias actualizaciones en Sophos Firewall v21.5:

• Nuevo widget del Control Center: ofrece una vista rápida del estado de DNS Protection.
• Troubleshooting mejorado: nuevos logs y notificaciones facilitan la resolución de problemas.
• Guía de configuración asistida: instrucciones paso a paso para una configuración sencilla.

Estas mejoras simplifican la monitorización y administración de medidas de seguridad basadas en DNS directamente desde la interfaz del firewall.

Mejoras de gestión

Sophos Firewall v21.5 introduce varias mejoras en la interfaz de usuario y la administración:

• Columnas de tabla personalizables: los anchos de columna en tablas (por ejemplo, SD-WAN, NAT, SSL, Hosts, VPN) ahora se pueden ajustar y quedan guardados en el navegador.
• Funciones de búsqueda avanzadas: la búsqueda de texto libre ya está disponible en rutas SD-WAN y reglas ACL locales, lo que facilita la navegación.
• Cambios en la configuración predeterminada: se han eliminado las reglas de firewall predeterminadas y los grupos de reglas, y la acción predeterminada está definida como “Ninguna”, lo que anima a los administradores a definir políticas de seguridad explícitas.
• Nueva tipografía: una nueva tipografía mejora la legibilidad de la interfaz de usuario. (Al menos eso dice Sophos; quien sepa algo de tipografía y se haya fijado en ella probablemente lo verá de otra manera).

Estos cambios mejoran la experiencia de usuario y hacen más eficientes la configuración y administración del firewall.

Otras mejoras

SFOS v21.5 incluye una serie de otras mejoras que aumentan la flexibilidad y la seguridad:

• Actualizaciones de licencia: las licencias virtuales, de software y cloud ya no tienen limitaciones de RAM; en su lugar, están limitadas por el número de núcleos.
• Límite de tamaño de archivo WAF: el Web Application Firewall ahora admite límites de tamaño de archivo configurables de hasta 1 GB, útil para subidas más grandes.
• Telemetría de seguridad: monitorización en tiempo real de cambios en archivos centrales del sistema operativo mediante validación hash segura para detectar modificaciones no autorizadas.
• Mejoras de DHCP: soporte para prefijos IPv6 más grandes (/48 a /64), con Router Advertisement (RA) y DHCPv6 activados por defecto.
• Path MTU Discovery: mejorado para corregir errores de descifrado TLS, especialmente con métodos criptográficos avanzados como ML-KEM.
• Soporte NAT64: permite traducir tráfico IPv6 a IPv4 en modo proxy explícito, lo que facilita la adopción de IPv6.

Estas actualizaciones contribuyen a una solución de firewall más flexible, segura y eficiente.

Palabras finales

Sophos Firewall v21.5 ofrece avances importantes en detección de amenazas con NDR Essentials y simplifica el acceso de usuarios con Entra ID SSO. Junto con las mejoras en escalabilidad VPN, administración y funciones de seguridad, SFOS v21.5 es una actualización sólida para empresas que quieren reforzar la seguridad de su red. La licencia Xstream Protection va ofreciendo poco a poco más valor que en el momento en que se introdujo.