Ir al contenido
Avanet
Sophos Firewall v22 MR1: Visión general y todas las nuevas funciones

Sophos Firewall v22 MR1: Visión general y todas las nuevas funciones

1. MAYO 2026

Sophos Firewall v22 MR1 se basa en la estrategia Secure by Design introducida con v22 y la amplía con telemetría adicional, detecciones NDR curadas del entorno Taegis y algunas mejoras puntuales en VPN, SSO y almacenamiento. A ello se suma Sophos Firewall Config Studio V2, una herramienta independiente que simplifica de forma notable el análisis y la comparación de configuraciones.

Secure by Design: sensor XDR Linux ampliado

Con v22, Sophos introdujo el sensor XDR Linux en el firewall para detectar de forma temprana manipulaciones del sistema, por ejemplo en archivos de configuración o procesos críticos. SFOS v22 MR1 amplía el sensor con la detección de shells interactivas y reverse shells. Si un atacante intenta establecer una sesión de control en el firewall tras una intrusión, se bloquea la comunicación TCP o UDP asociada hacia el servidor de Command and Control. Además, este sensor se activa ahora en toda la serie XGS, no solo en algunos modelos.

La detección de reverse shells es estándar en endpoints desde hace años. Que la misma lógica se ejecute ahora también en el propio firewall es coherente e importante. En el peor caso, un firewall comprometido es una llave maestra para la red: cualquier capa adicional de detección directamente en el dispositivo tiene allí más sentido que cualquier correlación posterior.

Inteligencia sobre amenazas activas NDR (iSensor IPS)

SFOS v22 MR1 integra la tecnología iSensor IPS de la plataforma SecureWorks Taegis. Los patrones de detección curados de este modo complementan el conjunto clásico de firmas IPS con patrones orientados a atacantes activos en la red, es decir, lateral movement, comunicación C2 y actividades comparables después de una intrusión inicial.

El conjunto se puede activar en Active Threat Response > NDR. Después debe marcarse la opción correspondiente en los ajustes IPS de las reglas de firewall para que las nuevas detecciones se apliquen realmente. Para analistas XDR y MDR, esto aporta más contexto y rutas de investigación más cortas, porque las detecciones apuntan directamente a TTP conocidas de adversarios a partir de la base de datos de Taegis.

NDR Essentials para todas las plataformas

Una pregunta que se repetía desde v21.5 era: ¿cuándo será compatible NDR Essentials también con firewalls virtuales y cloud? Con v22 MR1 ya lo es: NDR Essentials funciona ahora en todas las plataformas de Sophos Firewall, es decir, hardware XGS, appliances virtuales, despliegues cloud e instalaciones de software. Con ello desaparece la última gran limitación que hasta ahora excluía a los entornos virtuales de la protección NDR.

Es la continuación lógica de la arquitectura orientada a CPU de v22. Quien operaba una Sophos Firewall en VMware, Hyper-V o en un hyperscaler quedaba hasta ahora fuera en lo relativo a NDR Essentials; esa brecha ya está cerrada.

Audit Trail con identidad de usuario de Sophos Central

Cuando un firewall individual se configura a través de Sophos Central, SFOS v22 MR1 registra ahora también qué usuario de Sophos Central inició el cambio. Hasta ahora, en el Audit Trail a menudo solo era visible la cuenta genérica de Central. Con la nueva variante se puede saber qué persona está detrás de un cambio de configuración, aunque no se haya realizado directamente en el Webadmin del firewall. La información aparece tanto en el Log Viewer del firewall como en los logs e informes de Sophos Central.

Esto es especialmente relevante para organizaciones sujetas a NIS2, donde la trazabilidad de las intervenciones administrativas se exige de forma explícita. En entornos MSP con varios técnicos en el mismo tenant, además, era un detalle pendiente desde hace tiempo.

Estabilidad VPN y retirada del Legacy IPsec

SFOS v22 GA tenía varios problemas de estabilidad con VPN IPsec basadas en políticas que se han corregido en MR1. En concreto, se resolvieron, entre otros, los tickets internos NC-177450, NC-174800, NC-177136, NC-174304, NC-172504, NC-173054 y NC-176083. Quien haya usado v22 GA en producción y haya observado cortes o desconexiones en túneles policy-based debería comprobar de forma específica después de la actualización si los túneles funcionan ahora de forma estable.

Al mismo tiempo, el Legacy Remote Access IPsec VPN queda definitivamente retirado con v22 MR1. Los firewalls que todavía dependen de esta antigua variante IPsec no pueden actualizarse a v22 MR1 o versiones posteriores. Quien esté afectado debe migrar previamente a la configuración actual de Remote Access IPsec; Sophos ha publicado un artículo KB separado al respecto.

En la práctica, la mayoría de los entornos existentes ya están desde hace tiempo en la nueva variante o en SSL VPN. Aun así, merece la pena revisar brevemente la configuración antes del upgrade; de lo contrario, la actualización se detendrá.

Sophos Connect 2.0 para macOS

Con Sophos Connect 2.0 para macOS ahora también se pueden establecer conexiones SSL VPN para Remote Access. Hasta ahora, SSL VPN a través de Sophos Connect era un privilegio de Windows; los usuarios de macOS tenían que recurrir a IPsec o a clientes de terceros. Con ello se iguala aún más el conjunto de funciones entre ambas plataformas cliente. Los detalles y las versiones de macOS compatibles se encuentran en las notas de la versión de Sophos Connect.

Microsoft Entra ID SSO: reevaluación forzada

Hasta ahora, una sesión SSO existente podía reutilizarse en determinadas condiciones sin que se volvieran a evaluar las Conditional Access Policies en Entra ID. En el peor caso, esto abría una vía para eludir requisitos de MFA si las cookies de sesión seguían siendo válidas. SFOS v22 MR1 fuerza ahora una nueva evaluación de las Conditional Access Policies al reutilizar una sesión. Es una corrección de seguridad clásica: poco visible, pero importante para entornos que utilizan Entra ID como fuente central de identidad y dependen de MFA.

Cuidado de SSD y MTU Wi-Fi

Dos mejoras menores, pero útiles:

  • Vida útil de la SSD: Se han optimizado las operaciones de escritura en la SSD interna. Esto afecta sobre todo a dispositivos con mucho volumen de logging y prolonga la vida útil del hardware.
  • MTU/MSS Wi-Fi: Los comandos CLI existentes ahora también permiten ajustar los valores MTU y MSS de interfaces Wi-Fi. Es una herramienta bienvenida en entornos con túneles superpuestos o rutas problemáticas en el backhaul Wi-Fi.

Sophos Firewall Config Studio V2

Sophos Firewall Config Studio V2 (antes Sophos Firewall Configuration Viewer) es una herramienta basada en navegador que ofrece bastante más que su predecesora. Permite tres flujos de trabajo principales:

  • Configuration Report: Todas las reglas, políticas y opciones de un firewall se pueden mostrar en un informe consolidado. Práctico para auditorías, traspasos o el onboarding de nuevos administradores.
  • Configuration Compare: Dos configuraciones se pueden comparar directamente. Las entradas añadidas, modificadas, eliminadas y no modificadas se resaltan visualmente. Es exactamente la herramienta que falta en revisiones de cambios o troubleshooting después de una migración, cuando no se quiere desmontar el firewall en producción.
  • Configuration Editor: Las configuraciones se pueden editar o importar directamente en la herramienta. Después pueden cargarse de nuevo en el firewall o exportarse como snippet de API o curl, por ejemplo para desplegar cambios de forma automatizada.

Un diff de configuración directamente en el navegador es una función solicitada desde hace años. Quien haya intentado comparar manualmente dos backups de Sophos sabe por qué esta herramienta es un verdadero avance. Será interesante ver cuán estable funciona el editor con configuraciones grandes y hasta qué punto la exportación de API encaja en pipelines de automatización existentes.

Puedes acceder a la herramienta a través de docs.sophos.com.

Referencia CIS actualizada para v22

El Health Check introducido con v22 se basa en los CIS Benchmarks. Los benchmarks subyacentes se han actualizado para v22 y están disponibles para descarga en el sitio web de CIS. Quien utilice el Health Check como parte de auditorías internas debería tomar la nueva versión como referencia.

Compatibilidad y notas

  • Legacy Remote Access IPsec VPN: Se retira con v22 MR1. La migración a la configuración actual de Remote Access IPsec es requisito previo para el upgrade.
  • Rutas de upgrade: SFOS v22 MR1 se puede actualizar desde todas las versiones compatibles v21.5, v21 y v20. Sophos Central puede planificar y controlar el upgrade.
  • Backup antes del upgrade: Como siempre, conviene realizar un backup completo antes de la actualización y tener preparado un plan de rollback.
  • Mecanismo de Hotfix: Los parches relevantes para la seguridad siguen llegando como hotfixes over-the-air sin downtime. Los Maintenance Releases, no obstante, también agrupan correcciones no críticas; por eso el upgrade merece la pena incluso sin una urgencia concreta.

Conclusión

Sophos Firewall v22 MR1 es un sólido Maintenance Release. Los puntos más importantes desde nuestra perspectiva son las correcciones de estabilidad VPN para IPsec basado en políticas, el soporte ampliado de NDR Essentials para plataformas virtuales y el nuevo Audit Trail con identidad de usuario de Sophos Central. La detección de reverse shells en el propio firewall y las detecciones iSensor curadas del entorno Taegis encajan bien con la línea que Sophos inició con v22: el firewall se convierte paso a paso en una plataforma de sensores que aporta telemetría y no solo filtra paquetes.

Lo que seguimos echando en falta no ha cambiado desde v22: clonar y agrupar reglas NAT. Los deseos formulados hace aproximadamente un año se han implementado en parte; el resto sigue en la lista. Quizá llegue en el próximo MR o, como tarde, en v23. O quizá Sophos siga ahora la estrategia de trasladarlo todo a Sophos Firewall Config Studio y el firewall se quede como está.

Más información

Patrizio

Patrizio

Patrizio es un especialista de redes con amplia experiencia, centrado en firewalls Sophos, switches y puntos de acceso. Ayuda a clientes y equipos de TI con la configuracion, la migracion y una segmentacion de red limpia.