Ir al contenido
Avanet
Sophos XG Update v17.5 - Todas las novedades de un vistazo

Sophos XG Update v17.5 - Todas las novedades de un vistazo

14. NOVIEMBRE 2018

Instalamos la segunda beta del nuevo firmware SFOS 17.5 a principios de noviembre y la examinamos con más detalle. En la Sophos Roadshow de marzo de 2018 en Dübendorf todavía se hablaba de las versiones 17.2 y 17.3, pero Sophos ha decidido agrupar todas las funciones previstas y dar el salto directamente a la versión 17.5.

Una cosa podemos adelantársela ya: SFOS 17.5 nos deja sensaciones encontradas. Hay funciones nuevas muy interesantes, pero en nuestra opinión algunas no están del todo bien resueltas.

Lateral Movement Protection

Desde la primera versión de Synchronized Security, el cliente endpoint puede compartir su estado con el firewall. Gracias a ello, podemos bloquear, por ejemplo, el acceso a Internet o al servidor de archivos de una estación de trabajo que lleve tiempo sin actualizarse o que ya esté infectada, para evitar poner en riesgo otros sistemas.

Hasta ahora, este enfoque requería una segmentación de red bastante buena. Si todos los dispositivos de la empresa están conectados al mismo switch y en la misma red, Security Heartbeat no tenía mucho efecto.

Con SFOS 17.5, esta función se amplía: ahora también es posible aislar de otros equipos de la misma red a los ordenadores que Synchronized Security marque como “no saludables”. Si hay un problema con un cliente, el firewall informa automáticamente al resto. De este modo, no solo el firewall sabe que algo va mal, sino también los demás clientes, lo que permite aislar aún más eficazmente el equipo afectado hasta que se solucione el problema. Cuando el estado del Heartbeat vuelve a ser “verde”, las conexiones con los otros sistemas se restablecen automáticamente.

Sophos XG v17.5 - Lateral Movement Protection

Además, las detecciones de IPS en endpoints comprometidos también pueden generar ahora un “latido rojo”, reforzando aún más la protección frente a amenazas internas.

Redirección de la portal URL

Durante las pruebas nos llamó la atención una función que se ha “colado” casi de tapadillo y no se menciona en las notas de la versión.

Cuando el proxy web de Sophos bloquea una página, el usuario ve una página de aviso. Si decide continuar de todos modos, el enlace apuntaba hasta ahora a una dirección IP en lugar de a una URL. En la versión 17.1, esto podía cambiarse al menos desde la consola. Con la 17.5, ya se puede hacer cómodamente desde la propia interfaz web de XG Firewall. 👍

Sophos 17.5 - novedades en la administración

Por ahora, el cambio de IP a URL solo se aplica al proxy web. Si XG también analiza el correo, los usuarios suelen recibir un informe de cuarentena con enlaces para liberar mensajes. Estos enlaces siguen siendo IPs, lo que funciona técnicamente, pero provoca advertencias de certificado.

Synchronized User ID

Una tarea básica del firewall es transportar tráfico de A a B siempre que exista una regla para ello. Ese tráfico va y viene entre direcciones IP. Como administradores, sin embargo, preferimos saber qué dispositivos o, mejor aún, qué usuarios generan dicho tráfico, para poder crear reglas basadas en usuarios y disponer de informes más claros.

Hasta ahora utilizábamos un agente en el controlador de dominio para identificar usuarios vía Active Directory. En algunos entornos este agente no era una opción.

Con SFOS v17.5, los equipos unidos a un dominio AD pueden compartir su identidad de usuario con el firewall a través de Security Heartbeat, sin necesidad de instalar agentes adicionales en los controladores de dominio. Es una solución útil para muchos escenarios, aunque todavía no cubre todos los casos (por ejemplo, Terminal Server, Linux, Mac fuera de dominio, usuarios VPN, etc.).

Cliente IPsec Sophos Connect

Nuestro artículo “Instalar el cliente SSL VPN” es uno de los más leídos en nuestra base de conocimiento, y no es casualidad: para muchos clientes la VPN es uno de los requisitos clave antes de comprar el firewall.

Hasta ahora utilizábamos sobre todo el cliente SSL VPN de Sophos, limitado a Windows; en macOS había que recurrir a herramientas de terceros como “Tunnelblick”.

Con Sophos Connect, Sophos presenta ahora su propio cliente IPsec VPN, que además integra Synchronized Security de serie. La configuración del cliente se gestiona en la XG Firewall:

Sophos XG v17.5 - ajustes del cliente IPsec Sophos Connect

El cliente se ofrece actualmente en beta para Windows y macOS:

Sophos XG v17.5 - cliente IPsec Sophos Connect para Mac y Windows

Junto al cliente existe también “Sophos Connect Admin”, con el que se pueden editar los archivos de configuración (nombre de host, 2FA, etc.).

Sophos XG v17.5 - Sophos Connect Admin Client

Sophos Central Management

Con SFOS 17.5 se cumple por fin una promesa largamente esperada: la posibilidad de gestionar XG Firewall a través de Sophos Central.

Para vincular su cuenta Central con el firewall, primero tiene que activar “Central Management” en la XG.

Sophos Firewall SFOS v17.5 - gestionar XG Firewall en Central

Actualización 20.11.2018: Sophos Central ha recibido un update que introduce el menú “Firewall Management”. Tras activar “Central Management” en nuestra XG, pudimos registrar correctamente el dispositivo en nuestra cuenta Central.

Cuando se conecta al firewall a través de Central, entra como usuario “admin”. El inconveniente es que también otros usuarios con acceso de solo lectura a Sophos Central podrían, en teoría, acceder al firewall. Nos gustaría ver en el futuro controles de permisos más granulares.

Sophos Central Firewall Manager - enlace
Sophos Central Firewall Manager - panel
Sophos Central Firewall Manager - vista general
Sophos Central Firewall Management

Gestión del firewall vía SSO

Si activa “Central Management” en el firewall, puede iniciar sesión en la XG directamente desde Central sin introducir de nuevo las credenciales.

Copias de seguridad en Central

Al activar Central Management, las copias de seguridad del firewall se almacenan por defecto en Sophos Central, aunque esta función puede desactivarse.

Sophos Firewall SFOS v17.5 - copias de seguridad de XG Firewall en Sophos Central

La función “Light-touch deployment” permite preconfigurar una nueva XG Firewall desde Central mediante un asistente que genera un archivo de configuración para cargarlo en un USB. La firewall arranca con ese USB, aplica la configuración básica y el resto se completa desde Central.

Sophos Firewall SFOS v17.5 - implementación light-touch / zero-touch

Para nosotros, que a menudo configuramos firewalls en nuestras oficinas antes de enviarlas al cliente, esto supone un ahorro de tiempo considerable. 😎

Dado que este flujo requiere una cuenta Central, probablemente no podremos utilizarlo en todos los nuevos proyectos.

Synchronized Application Control - mejoras

Synchronized Application Control, introducido en la versión 17.0 y mejorado en 17.1, se amplía de nuevo en 17.5:

  • Visualización separada de aplicaciones de sistema de Windows y Mac.
  • Posibilidad de ocultar aplicaciones y mostrar solo las ocultas mediante un filtro.
  • Marcado de aplicaciones para retirarlas de la lista de “nuevas”.
  • Mejor visualización de las rutas.
Sophos Firewall SFOS v17.5 - mejoras en Synchronized Application Control

El visor de logs también se ha mejorado y ahora permite seleccionar las columnas que realmente se necesitan.

Sophos Firewall SFOS v17.5 - Log viewer

Mejoras en políticas web

Se introduce una función pensada, por ejemplo, para colegios: determinados usuarios (como profesores) pueden desbloquear temporalmente páginas bloqueadas mediante un código que se genera por política. Los alumnos introducen el código en la página de bloqueo y obtienen acceso temporal.

Otras pequeñas novedades:

  • Definir un motor de búsqueda por defecto.
  • SafeSearch y restricciones de YouTube.
  • Límites de tamaño de descarga.
  • Restricciones de dominios de Google App por política.
Sophos Firewall SFOS v17.5 - ajustes generales de Web Protection

Se añade además compatibilidad con Chromebooks mediante una extensión para Chrome que informa a la XG de la identidad del usuario, permitiendo aplicar políticas y generar informes.

Client Authentication Agent y mejoras de gestión

El Client Authentication Agent de XG permite informar al firewall del usuario conectado sin necesidad de AD. El cliente está disponible para Windows, macOS, Linux 32/64 bit, iOS y Android, y se descarga desde el User Portal.

Sophos Firewall SFOS v17.5 - descarga del Client Authentication Agent en el User Portal

En cuanto a la gestión, ahora se pueden asignar nuevas reglas de firewall a grupos desde el principio y existe una función de asignación automática (que en nuestros tests aún no funcionaba siempre como esperábamos).

Sophos XG v17.5 - asignación automática de reglas a grupos

También hay pequeños ajustes en IPS, Wireless e IPsec (más categorías de IPS, failover de RADIUS, SD-WAN failover/failback, etc.).

¿Qué viene a continuación?

En las próximas semanas/meses se publicarán los habituales Maintenance Releases con más mejoras, entre ellas:

  • Soporte para los APX Access Points directamente en XG.
  • Soporte Airgap para licenciar y actualizar firewalls sin acceso a Internet.

Más información

Patrizio

Patrizio

Patrizio es un especialista de redes con amplia experiencia, centrado en firewalls Sophos, switches y puntos de acceso. Ayuda a clientes y equipos de TI con la configuracion, la migracion y una segmentacion de red limpia.