Sophos SFOS v18: nuevas funciones de un vistazo
Con la versión SFOS v18, Sophos ha ampliado y rediseñado de forma significativa el firmware. Se han añadido muchas funciones nuevas en distintos ámbitos.
Cabe mencionar que v18 sigue en fase de acceso anticipado y que algunas funciones ya han cambiado. Gracias a los comentarios de muchos usuarios y partners de Sophos, Sophos ha optimizado constantemente la solución. Por ello, es posible que algunas capturas de pantalla se vean ligeramente distintas en la versión GA.
En esta entrada nos centramos exclusivamente en las nuevas funciones de Sophos XG Firewall v18 y solo comentamos brevemente la consola web. Para más detalles, se puede consultar otra entrada del blog: Sophos Central Firewall Management – funciones con SFOS v18
Deep Packet Inspection y arquitectura Xstream
El cambio más importante en Sophos Firewall SFOS v18 es la introducción de la inspección profunda de paquetes (Deep Packet Inspection, DPI). Hasta ahora, el tráfico –especialmente el tráfico web– se analizaba mediante un proxy. Este enfoque siempre fue objeto de críticas, sobre todo desde el mundo UTM, porque XG Firewall no filtraba el tráfico HTTP/HTTPS directamente a través del firewall, sino mediante un proxy separado. Clientes que ya habían migrado a XG observaban que se bloqueaba a los usuarios porque un proxy intentaba realizar la autenticación del usuario. Aunque esto solo se volvía claramente visible en entornos grandes, a menudo era un motivo para posponer el cambio de UTM a XG.
Importante: el proxy sigue existiendo en el firmware y no desaparece con v18. Sin embargo, con el motor DPI se añade una nueva opción para inspeccionar el tráfico web.
¿Qué es Deep Packet Inspection?
Sin inspección profunda de paquetes, el firewall funciona como un firewall clásico de inspección con estado y comprueba la información de cabecera y el estado de la conexión. Con la inspección profunda de paquetes se analiza todo el contenido, lo que permite filtrar con más precisión ataques y malware.
Xstream SSL/TLS Inspection Engine
En los últimos años, SSL/TLS ha ganado una importancia enorme. El proyecto «Let’s Encrypt» ha facilitado la emisión de certificados gratuitos y ha contribuido a que incluso los sitios web privados estén cifrados. Muchos navegadores ya advierten cuando se accede a una página sin cifrar.
Sophos recomienda por ello inspeccionar el tráfico SSL/TLS para garantizar una protección HTTP completa. En su forma actual, la función debería llamarse más bien «SSL/TLS Inspection» y no «SSL (TLS) Inspection», pero en el sector se sigue hablando a menudo de SSL.
Recursos externos sobre inspección SSL/TLS:
- Warum ist eine SSL-Inspection Pflicht? – Teil 1
- Warum ist eine SSL-Inspection Pflicht? – Teil 2
- Why Host a CA on Your XG Firewall with SFOS v18?
Con v18, la inspección SSL se gestiona ahora de forma centralizada mediante perfiles de descifrado, y la inspección se realiza a través de reglas de firewall dedicadas.
En cada perfil de descifrado se pueden definir los ajustes más importantes. Entre ellos se incluye la opción de omitir tráfico, por ejemplo cuando se ha configurado autenticación mutua entre cliente y servidor y el firewall no puede inspeccionar el certificado.
A primera vista, esta sección parece bastante compleja. Si se quiere profundizar en la documentación, merece la pena leer el siguiente artículo en la comunidad de XG Firewall: SFOS v18: HTTPS Scanning and Xstream SSL Inspection
Lamentablemente, en el momento de redactar esta entrada aún no había documentación en español sobre Sophos XG Firewall v18 ni en el Central Partner Portal ni en la ayuda del navegador de Sophos XG (HV System). No obstante, es de esperar que, cuando se publique esta entrada, haya más documentación en inglés: \https://docs.sophos.com
DPI Engine
Además del motor de inspección SSL/TLS, el nuevo motor DPI es el segundo pilar de Xstream. Traslada varios controles de seguridad a nivel de firewall, como Advanced Threat Protection, IPS y filtro de aplicaciones.
En el caso del tráfico de correo, por ahora hay que seguir utilizando el proxy. En futuras versiones de firmware, Sophos tiene previsto migrar más flujos de tráfico del proxy al motor DPI. Al menos para SFOS v18, el foco se ha centrado en el tráfico HTTP y HTTPS.
El motor DPI también aporta varias ventajas en cuanto a rendimiento. En la siguiente sección se mencionan algunos ejemplos.
Xstream FastPath
La arquitectura Xstream se ha diseñado para incrementar el rendimiento. Un firewall solo puede ofrecer una potencia limitada, por lo que es fundamental optimizarlo en los puntos adecuados.
El appliance Sophos XG Firewall es solo hardware; lo decisivo es cómo el firmware utiliza este hardware de forma eficiente.
En la arquitectura Xstream, cada paquete pasa primero por el motor DPI, tanto si se origina en la LAN como en la WAN. A continuación, el flujo de red se dirige al «FastPath», que está implementado en el kernel de Linux. Si el motor DPI determina que un flujo se puede considerar seguro, se deriva al FastPath y se reenvía directamente a través del kernel.
Al observar el diagrama de la arquitectura, surge lógicamente la pregunta de cómo funciona exactamente en la práctica. Determinar si un tráfico está permitido en principio es relativamente rápido; este paso no tiene que repetirse para cada paquete de la misma fuente y el mismo puerto. Pero ¿cómo sabe el motor DPI cuándo puede trasladar un flujo al FastPath? Cuando, por ejemplo, está activada la inspección SSL/TLS, esto no es posible, ya que el tráfico dejaría de inspeccionarse. En cambio, para IPS o control de aplicaciones se trabaja con listas conocidas que sirven de base para decidir si un flujo de datos se considera inofensivo.
Threat Intelligence Analysis
Si el módulo Sophos Sandstorm está licenciado para el firewall, los archivos ya se analizan en un sandbox antes de descargarse. Si se quiere obtener más información sobre Sophos Sandstorm, puede consultar el PDF de Sophos Sandstorm con preguntas frecuentes. Gracias a la inspección SSL/TLS, el firewall obtiene una visión más profunda del tráfico y puede examinar las descargas web con mayor precisión. Además, la protección de endpoint sigue actuando como última línea de defensa.
Con v18, el nuevo módulo Threat Intelligence Analysis complementa al módulo Sandstorm existente. Mientras que Sophos Sandstorm analiza descargas web o adjuntos de correo, Threat Intelligence examina archivos con ayuda de machine learning. Además, se utiliza el análisis de SophosLabs, que también se emplea en Sophos Intercept X con EDR.
Del mismo modo que en EDR, se genera un informe de análisis detallado. En SFOS v18 EAP2, un informe de este tipo se ve, por ejemplo, así:
El informe más depurado estará disponible a partir de EAP3.
Enterprise NAT
Además de la arquitectura Xstream, las reglas NAT también se han revisado en profundidad. Hasta la versión 17.5 existía el menú «Firewall», en el que se agrupaban todas las reglas de firewall, NAT y WAF. En una regla de firewall se podía definir, entre otras cosas, la interfaz de salida o la IP de salida para el tráfico.
Con v18, las reglas NAT se gestionan en una pestaña independiente, lo que hace que la administración sea mucho más flexible.
Muchos clientes llevaban tiempo esperando este cambio: ahora es posible, por ejemplo, bloquear todas las consultas DNS o NTP a servidores públicos y redirigirlas a un servidor interno. Esto también ofrece una solución para quienes echan de menos el servidor NTP de la XG que sí se integraba en la UTM.
Este tema también se explica en el siguiente vídeo:
Gestión de reglas de firewall
Con cada nueva versión principal, Sophos mejora la gestión de las reglas de firewall. En v18, ahora se pueden marcar varias reglas de firewall a la vez para eliminarlas, habilitarlas o deshabilitarlas, o bien añadirlas a un grupo o eliminarlas de él. Además, las reglas de firewall ahora están numeradas, de modo que el número total es visible de inmediato. El ID de regla sigue siendo inmutable. Además, el menú «Firewall» pasa a llamarse «Rules and policies».
Se pueden definir filtros, lo que facilita considerablemente la búsqueda de reglas concretas. El filtro permanece activo incluso si se cambia de sección del menú y luego se regresa al conjunto de reglas.
A quienes esperaban que Sophos mantuviera ahora los grupos de reglas abiertos después de guardar una regla, tengo que decepcionarlos. Aquí no ha cambiado nada. 😖
También se ha añadido una función muy solicitada: el contador del tráfico procesado por una regla de firewall se puede restablecer a cero.
Al crear una nueva regla de firewall, ahora existe la opción de crearla en estado desactivado.
Además, ahora se pueden definir exclusiones directamente en las reglas de firewall. Esto ayuda a mantener compacto el conjunto de reglas y a evitar reglas adicionales innecesarias.
Log Viewer
Quien haya leído el artículo 7 Gründe, warum die XG Firewall (SFOS) besser ist als die UTM sabe lo útil que es el Log Viewer. En la nueva versión, la herramienta incorpora algunas funciones adicionales útiles.
Con un clic en una entrada del Log Viewer se puede aplicar directamente un filtro, definir una excepción SSL/TLS o ajustar una directiva de IPS, control de aplicaciones o filtro web.
Alertas y notificaciones
En «Administration» > «Notification settings» solo se podían activar hasta ahora dos opciones para notificaciones por correo:
- IPsec tunnel up/down
- Email alert notifications
Si una RED no estaba disponible o un usuario introducía repetidamente una contraseña incorrecta, hasta ahora no había ninguna opción de recibir un aviso.
Mejoras: ahora es más rápido y sencillo agrupar appliances en un clúster. Además, es posible realizar un rollback del firmware.
- Compatibilidad con SNMPv3: seguridad claramente superior frente a SNMPv1 y SNMPv2, si es que se puede hablar de «seguridad» en estas dos versiones. El archivo MIB está disponible, como siempre, para su descarga.
- Cambio de nombre de interfaces: hasta ahora, las interfaces se llamaban Port1, Port2, etc., sin posibilidad de modificar este nombre. En v18, estos nombres ya se pueden adaptar. Sin embargo, IPsec, IPS, redes inalámbricas, etc. siguen sin poder renombrarse.
- Actualizaciones de la base de datos GeoIP: la base de datos de IP por país ahora puede actualizarse independientemente de las actualizaciones de firmware.
- Actualización de VMware Tools: Las VMware Tools están ahora en la versión 10.3.10 y también admiten Site Recovery Manager (SRM).
Actualización a SFOS v18
Requisitos
¿Te ha picado la curiosidad por actualizar a v18? Si ya utilizas un XG Firewall o una SG con SFOS, necesitas al menos la versión v17.5 MR6 para poder pasar a v18. Como es habitual, es posible realizar un rollback. Si algo no funciona como se espera con v18, siempre se puede volver a la versión anterior.
De SG a XG
Si aún utilizas un firewall UTM, también puedes cambiar a SFOS. La guía correspondiente está disponible aquí: Instalar Sophos XG Firewall OS en un appliance SG
Si necesitas ayuda con la migración, estaremos encantados de ayudarte. Ya hemos sustituido con éxito numerosos sistemas UTM. 😎
XG 85 y XG 105
Para instalar v18 se necesitan al menos 4 GB de RAM. La próxima versión de SFOS ya no se podrá ejecutar en un XG 85 o XG 105. Quien utilice hardware propio con solo 2 GB de RAM se encuentra con el mismo problema. Cyberoam tampoco será ya compatible.
Los propietarios de un XG 85 o XG 105 deberían echar un vistazo a los modelos sucesores: Sophos XG 86 y XG 106. Actualmente, hasta el 30/09/2020, Sophos ofrece una promoción en la que, al renovar, se obtiene un 50 % de descuento en el nuevo hardware.
Sophos Central Firewall Reporting and Management
Sobre este tema hay una entrada de blog aparte: Sophos Central Firewall Management – funciones con SFOS v18
FAQ
¿Cuándo estará disponible la versión GA (final)?
¿Qué ocurre con el nuevo hardware?
¿Llegará Let's Encrypt?
Más información
