Sophos Firewall v22 MR1: Visión general y todas las nuevas funciones

Sophos Firewall v22 MR1 se basa en la estrategia de seguridad por diseño introducida con v22 y la amplía con telemetría adicional, detecciones NDR curadas del entorno Taegis y algunas mejoras detalladas en VPN, SSO y almacenamiento. Además, Sophos Firewall Config Studio V2 es una herramienta independiente que simplifica significativamente el análisis y la comparación de configuraciones.

Seguro por diseño: sensor Linux XDR ampliado

Con la v22, Sophos ha introducido el sensor XDR Linux en el cortafuegos para detectar la manipulación del sistema -como archivos de configuración o procesos críticos- en una fase temprana. SFOS v22 MR1 amplía el sensor para reconocer shells interactivos y shells inversos. Si un atacante intenta establecer una sesión de control en el cortafuegos tras una intrusión, se bloquea la comunicación TCP o UDP asociada al servidor de mando y control. Ahora este sensor también se activa en toda la serie XGS, ya no sólo en modelos individuales.

La detección de shell inversa ha sido estándar en los endpoints durante años. El hecho de que la misma lógica ahora también se ejecute en el propio cortafuegos es lógico e importante. En el peor de los casos, un cortafuegos comprometido es una llave maestra de la red: cualquier capa de detección adicional directamente en el dispositivo tiene más sentido que cualquier correlación descendente.

Inteligencia sobre amenazas activas NDR (iSensor IPS)

SFOS v22 MR1 integra la tecnología IPS iSensor de la plataforma Taegis de SecureWorks. Los patrones de detección curados de este modo complementan el conjunto clásico de firmas IPS con patrones orientados a los atacantes activos en la red, es decir, movimiento lateral, comunicación C2 y actividades comparables tras una intrusión inicial.

El conjunto puede activarse en Active Threat Response > NDR. A continuación, se debe colocar la marca correspondiente en la configuración IPS de las reglas del cortafuegos para que las nuevas detecciones surtan efecto. Para los analistas de XDR y MDR, esto significa más contexto y rutas de investigación más cortas, porque las detecciones se dirigen a TTPs de adversarios conocidos directamente desde la base de datos Taegis.

NDR Essentials para todas las plataformas

Una pregunta que se ha hecho repetidamente desde la v21.5: ¿Cuándo será compatible NDR Essentials también con cortafuegos virtuales y en la nube? Con v22 MR1 ya es así: NDR Essentials funciona ahora en todas las plataformas de cortafuegos de Sophos, es decir, hardware XGS, dispositivos virtuales, despliegues en la nube e instalaciones de software. Esto elimina la última restricción importante que antes excluía las instalaciones virtuales de la protección NDR.

Se trata de la continuación lógica de la arquitectura orientada a la CPU de la v22. Cualquiera que ejecutara un Sophos Firewall en VMware, Hyper-V o un hiperescalador quedaba anteriormente al margen en lo que se refiere a NDR Essentials: ahora se ha cerrado esta brecha.

Registro de auditoría con identidad de usuario de Sophos Central

Cuando se configura un cortafuegos único a través de Sophos Central, SFOS v22 MR1 ahora también registra qué usuario de Sophos Central activó el cambio. Antes, sólo la cuenta genérica de Central solía ser visible en el registro de auditoría. Con la nueva variante, es posible rastrear a la persona que está detrás de un cambio de configuración, aunque no se haya realizado directamente en el administrador web del cortafuegos. La información aparece tanto en el visor de registros del cortafuegos como en los registros e informes de Sophos Central.

Esto es especialmente relevante para las organizaciones que cumplen la norma NIS2, ya que en ellas se exige explícitamente la trazabilidad de las intervenciones administrativas. De todos modos, en entornos MSP con varios técnicos en el mismo inquilino, es un detalle que debería haberse hecho hace tiempo.

Estabilidad VPN y jubilación IPsec heredado

SFOS v22 GA tenía una serie de problemas de estabilidad con las VPN IPsec basadas en políticas que se solucionaron en MR1. En concreto, se solucionaron los tickets internos NC-177450, NC-174800, NC-177136, NC-174304, NC-172504, NC-173054 y NC-176083. Cualquiera que haya sido productivo con la v22 GA y haya notado caídas o desconexiones en túneles basados en políticas debería comprobar específicamente tras la actualización si los túneles son ahora estables.

Al mismo tiempo, la VPN IPsec de Acceso Remoto Legacy deja de funcionar finalmente con la v22 MR1. Los cortafuegos que aún dependen de esta antigua variante IPsec no pueden actualizarse a v22 MR1 o más recientes. Cualquiera que se vea afectado debe migrar primero a la configuración actual de Acceso Remoto IPsec – Sophos ha publicado un artículo KB separado sobre esto.

En la práctica, la mayoría de las configuraciones existentes hace tiempo que están en la nueva variante o en VPN SSL. No obstante, merece la pena comprobar brevemente la configuración antes de actualizar, de lo contrario la actualización se detendrá.

Sophos Connect 2.0 para macOS

Con Sophos Connect 2.0 para macOS, ahora también se pueden establecer conexiones SSL VPN para el acceso remoto. Hasta ahora, SSL VPN a través de Sophos Connect era un privilegio de Windows, los usuarios de macOS tenían que cambiar a IPsec o utilizar clientes de terceros. Esto armoniza aún más el conjunto de funciones entre las dos plataformas cliente. Encontrarás más detalles y las versiones de macOS compatibles en las notas de la versión de Sophos Connect.

Microsoft Entra ID SSO: reevaluación forzada

Antes, una sesión SSO existente podía reutilizarse en determinadas condiciones sin que se volvieran a comprobar las políticas de acceso condicional en Entra ID. En el peor de los casos, esto abría una vía para eludir los requisitos de la MFA si las cookies de sesión seguían siendo válidas. Ahora, SFOS v22 MR1 aplica una nueva comprobación de las políticas de acceso condicional al reutilizar la sesión. Se trata de una corrección de seguridad clásica, no muy visible, pero importante para los entornos que utilizan Entra ID como fuente de identidad central y dependen de MFA.

Protección SSD y Wi-Fi MTU

Dos pequeñas pero útiles mejoras en los detalles:

• Vida útil del SSD: Se han optimizado los procesos de escritura en el SSD interno. Esto afecta principalmente a los dispositivos con un volumen de registro elevado y prolonga la vida útil del hardware.
• MTU/MSS Wi-Fi: Los comandos CLI existentes ahora también se pueden utilizar para ajustar los valores de MTU y MSS de las interfaces Wi-Fi. Se trata de una herramienta bienvenida en entornos con túneles solapados o rutas problemáticas en el backhaul Wi-Fi.

Sophos Firewall Config Studio V2

Sophos Firewall Config Studio V2 (antes Sophos Firewall Configuration Viewer) es una herramienta basada en navegador que hace mucho más que su predecesora. Permite tres flujos de trabajo centrales:

• Informe de configuración: Todas las reglas, políticas y configuraciones de un cortafuegos pueden mostrarse en un informe consolidado. Práctico para auditorías, traspasos o incorporación de nuevos administradores.
• Comparar configuraciones: Se pueden comparar directamente dos configuraciones. Las entradas añadidas, modificadas, eliminadas y no modificadas se resaltan visualmente. Ésta es exactamente la herramienta que falta para revisar cambios o solucionar problemas tras un paso de migración, si no quieres desmontar el cortafuegos durante el funcionamiento.
• Editor de configuraciones: Las configuraciones se pueden editar o importar directamente en la herramienta. Después pueden cargarse de nuevo en el cortafuegos o exportarse como un fragmento de API o curl, por ejemplo, para desplegar cambios automáticamente.

Una diferencia de configuración directamente en el navegador es una función que se ha solicitado durante años. Cualquiera que haya intentado leer manualmente dos copias de seguridad de Sophos una contra otra sabe por qué esta herramienta es un verdadero paso adelante. Será interesante ver lo estable que es el editor con configuraciones grandes y lo bien que se puede integrar la exportación de la API en los procesos de automatización existentes.

Puedes acceder a la herramienta a través de docs.sophos.com.

Referencia CIS actualizada para v22

El chequeo introducido con la v22 se basa en los puntos de referencia del CIS. Los puntos de referencia subyacentes se han actualizado para la v22 y están disponibles para su descarga en el sitio web del CIS. Cualquiera que utilice el chequeo como parte de las auditorías internas debe utilizar la nueva versión como referencia.

Compatibilidad y notas

• VPN IPsec de Acceso Remoto heredada: dejará de funcionar con v22 MR1. La migración a la configuración actual de Acceso Remoto IPsec es un requisito previo para la actualización.
• Vías de actualización: SFOS v22 MR1 puede actualizarse desde todas las versiones v21.5, v21 y v20 compatibles. Sophos Central puede programar y controlar la actualización.
• Haz una copia de seguridad antes de la actualización: Como siempre, haz una copia de seguridad completa antes de la actualización y ten preparado un plan de reversión.
• Mecanismo de Hotfix: Los parches relevantes para la seguridad siguen publicándose como hotfixes over-the-air sin tiempo de inactividad. Sin embargo, las versiones de mantenimiento también incluyen correcciones no críticas, por lo que una actualización merece la pena incluso sin un motivo grave.

Conclusión

Sophos Firewall v22 MR1 es una sólida versión de mantenimiento. Los puntos más importantes desde nuestro punto de vista: las correcciones de estabilidad de VPN para IPsec basado en políticas, la compatibilidad ampliada de NDR essentials en plataformas virtuales y la nueva pista de auditoría con Sophos Central. La detección de shell inverso en el propio cortafuegos y las detecciones curadas de iSensor desde el entorno Taegis encajan bien con la línea que Sophos ha adoptado con la v22: el cortafuegos se está convirtiendo gradualmente en una plataforma de sensores que proporciona telemetría y no sólo filtra paquetes.

Lo que aún nos falta no ha cambiado desde la v22: la clonación y agrupación de reglas NAT. Los deseos formulados hace aproximadamente un año se han implementado parcialmente, el resto sigue en la lista. Quizá en la próxima MR o en la v23 como muy tarde, pero quizá Sophos siga ahora la estrategia de externalizarlo todo al Sophos Firewall Config Studio y el cortafuegos se quede como está.

Más información

• Sophos Community: Sophos Firewall v22 MR1 ya está disponible
• Sophos KB: Retirada de la VPN de acceso remoto IPsec heredada en SFOS 22.0 MR1
• Documentación de Sophos Firewall Config Studio