Ir al contenido
Avanet
Sophos XG Update v17.5 - Todas las novedades de un vistazo

Sophos XG Update v17.5 - Todas las novedades de un vistazo

Instalamos la segunda beta del nuevo firmware SFOS 17.5 a principios de noviembre y la examinamos con más detalle. En la Sophos Roadshow de marzo de 2018 en Dübendorf todavía se hablaba de las versiones 17.2 y 17.3, pero Sophos ha decidido agrupar todas las funciones previstas y dar el salto directamente a la versión 17.5.

Una cosa podemos adelantársela ya: SFOS 17.5 nos deja sensaciones encontradas. Hay funciones nuevas muy interesantes, pero en nuestra opinión algunas no están del todo bien resueltas.

Lateral Movement Protection

Desde la primera versión de Synchronized Security, el cliente endpoint puede compartir su estado con el firewall. Gracias a ello, podemos bloquear, por ejemplo, el acceso a Internet o al servidor de archivos de una estación de trabajo que lleve tiempo sin actualizarse o que ya esté infectada, para evitar poner en riesgo otros sistemas.

Hasta ahora, este enfoque requería una segmentación de red bastante buena. Si todos los dispositivos de la empresa están conectados al mismo switch y en la misma red, Security Heartbeat no tenía mucho efecto.

Con SFOS 17.5, esta función se amplía: ahora también es posible aislar de otros equipos de la misma red a los ordenadores que Synchronized Security marque como “no saludables”. Si hay un problema con un cliente, el firewall informa automáticamente al resto. De este modo, no solo el firewall sabe que algo va mal, sino también los demás clientes, lo que permite aislar aún más eficazmente el equipo afectado hasta que se solucione el problema. Cuando el estado del Heartbeat vuelve a ser “verde”, las conexiones con los otros sistemas se restablecen automáticamente.

Sophos XG v17.5 - Lateral Movement Protection

Además, las detecciones de IPS en endpoints comprometidos también pueden generar ahora un “latido rojo”, reforzando aún más la protección frente a amenazas internas.

Redirección de la portal URL

Durante las pruebas nos llamó la atención una función que se ha “colado” casi de tapadillo y no se menciona en las notas de la versión.

Cuando el proxy web de Sophos bloquea una página, el usuario ve una página de aviso. Si decide continuar de todos modos, el enlace apuntaba hasta ahora a una dirección IP en lugar de a una URL. En la versión 17.1, esto podía cambiarse al menos desde la consola. Con la 17.5, ya se puede hacer cómodamente desde la propia interfaz web de XG Firewall. 👍

Sophos 17.5 - novedades en la administración

Por ahora, el cambio de IP a URL solo se aplica al proxy web. Si XG también analiza el correo, los usuarios suelen recibir un informe de cuarentena con enlaces para liberar mensajes. Estos enlaces siguen siendo IPs, lo que funciona técnicamente, pero provoca advertencias de certificado.

Synchronized User ID

Una tarea básica del firewall es transportar tráfico de A a B siempre que exista una regla para ello. Ese tráfico va y viene entre direcciones IP. Como administradores, sin embargo, preferimos saber qué dispositivos o, mejor aún, qué usuarios generan dicho tráfico, para poder crear reglas basadas en usuarios y disponer de informes más claros.

Hasta ahora utilizábamos un agente en el controlador de dominio para identificar usuarios vía Active Directory. En algunos entornos este agente no era una opción.

Con SFOS v17.5, los equipos unidos a un dominio AD pueden compartir su identidad de usuario con el firewall a través de Security Heartbeat, sin necesidad de instalar agentes adicionales en los controladores de dominio. Es una solución útil para muchos escenarios, aunque todavía no cubre todos los casos (por ejemplo, Terminal Server, Linux, Mac fuera de dominio, usuarios VPN, etc.).

Terminal Server o hosts Linux no quedan cubiertos por esta solución. En el primer caso, STAC sigue siendo la mejor opción. Las excepciones, sin embargo, son importantes: los clientes Mac no funcionan con Active Directory y los usuarios VPN tampoco inician sesión allí.

Solo se puede aprovechar esta función si en los clientes está instalado uno de estos productos:

En nuestra opinión, será interesante cuando también los clientes que no estén en un dominio puedan compartir sus datos de usuario con la XG. Esta función resuelve, por ahora, solo una parte muy pequeña del problema.

Cliente IPsec Sophos Connect

Nuestro artículo “Instalar el cliente SSL VPN” es uno de los más leídos en nuestra base de conocimiento, y no es casualidad: para muchos clientes la VPN es uno de los requisitos clave antes de comprar el firewall.

Hasta ahora utilizábamos sobre todo el cliente SSL VPN de Sophos, limitado a Windows; en macOS había que recurrir a herramientas de terceros como “Tunnelblick”.

Con Sophos Connect, Sophos presenta ahora, igual que otros fabricantes, su propio cliente IPsec VPN. Sophos Connect también soporta Synchronized Security de serie. Hasta ahora esto también funcionaba con el cliente SSL VPN, pero requería configuración adicional.

Aquí se muestra cómo se ven los ajustes del cliente Sophos Connect IPsec VPN en la XG Firewall:

Sophos XG v17.5 - ajustes del cliente IPsec Sophos Connect

Sophos Connect está actualmente en beta y el cliente está disponible para Windows y macOS. Aquí se muestra también una captura del cliente para Mac y Windows:

Sophos XG v17.5 - cliente IPsec Sophos Connect para Mac y Windows

Junto al nuevo cliente IPsec VPN de Sophos existe también “Sophos Connect Admin” como herramienta adicional. Con ella se puede editar posteriormente un archivo de configuración y, por ejemplo, adaptar el nombre de host o activar 2FA.

Sophos XG v17.5 - Sophos Connect Admin Client

Sophos Central Management

Con el nuevo firmware SFOS 17.5 se cumple por fin una promesa largamente esperada: la posibilidad de gestionar también la XG Firewall a través de la plataforma Sophos Central. Es sin duda el paso correcto, aunque las funciones de esta primera versión siguen siendo limitadas.

Para vincular su cuenta Central con el firewall, primero tiene que activar “Central Management” en la XG.

Sophos Firewall SFOS v17.5 - gestionar XG Firewall en Central

Actualización 20.11.2018 Sophos Central ha recibido entretanto un update que hace visible el menú “Firewall Management”. Tras activar “Central Management” en nuestra XG Firewall, pudimos registrar correctamente el dispositivo en nuestra cuenta Sophos Central.

Cuando uno se conecta al firewall a través de Sophos Central, queda iniciado sesión en el firewall como “admin”. Lo incómodo es que ahora, en teoría, otros usuarios con acceso a Sophos Central Admin también podrían acceder a los firewalls. Basta incluso con que esos usuarios tengan permisos de solo lectura. Esperamos que en el futuro se pueda controlar con más precisión quién tiene autorización para iniciar sesión en los firewalls desde Central.

Sophos Central Firewall Manager - enlace
Sophos Central Firewall Manager - panel
Sophos Central Firewall Manager - vista general
Sophos Central Firewall Management

Gestión del firewall vía SSO

Si activa “Central Management” en el firewall, puede iniciar sesión en la XG directamente desde Central sin introducir de nuevo las credenciales.

Copias de seguridad en Central

Con Central Management, las copias de seguridad del firewall también se guardan por defecto en Central. Si no se desea, esta función puede desactivarse fácilmente en la XG Firewall.

Sophos Firewall SFOS v17.5 - copias de seguridad de XG Firewall en Sophos Central

El “Light-Touch Deployment” es una función realmente interesante. En el futuro será posible configurar una nueva XG Firewall directamente desde Central. Primero se recorre un pequeño asistente que al final genera un archivo de configuración para la XG. Este archivo se puede descargar y copiar en una memoria USB. Después hay que iniciar el nuevo firewall con esa memoria USB y la configuración se transfiere durante el arranque. Si todo se ha hecho correctamente, se accede al firewall desde Sophos Central y se pueden completar las configuraciones restantes.

Sophos Firewall SFOS v17.5 - implementación light-touch / zero-touch

El “Light-Touch Deployment” nos facilitará bastante la configuración de XG Firewalls para nuestros clientes. Para nuestro servicio de instalación y configuración solemos pedir que los firewalls se entreguen en nuestra oficina y realizamos la configuración básica directamente en los dispositivos. Después los enviamos al cliente, que solo tiene que conectar el firewall a la red. Con “Light-Touch Deployment” podremos ahorrarnos en el futuro el envío del hardware a nuestra oficina y ser, como mínimo, un día más rápidos. 😎

Dado que este flujo requiere una cuenta Central, probablemente no podremos utilizarlo en todos los nuevos proyectos.

Synchronized Security – mejoras de Synchronized Application Control

Synchronized Application Control se presentó por primera vez con la versión 17.0 y se mejoró en la versión 17.1. Con esta función, Sophos quería ofrecer una solución al problema básico de que gran parte del tráfico de red sigue siendo difícil de controlar y puede atravesar el firewall de forma relativamente inadvertida incluso con HTTP/HTTPS scanning. Con Synchronized Application Control, el endpoint informa al firewall de qué software está generando exactamente el tráfico. Así, el tráfico de red puede clasificarse mucho mejor.

Con v17.5 se han implementado las siguientes mejoras:

  • Visualización separada de aplicaciones de sistema de Windows y Mac.
  • Posibilidad de ocultar aplicaciones y mostrar solo las ocultas mediante un filtro.
  • Marcado de aplicaciones para retirarlas de la lista de “nuevas”.
  • Mejor visualización de las rutas.
Sophos Firewall SFOS v17.5 - mejoras en Synchronized Application Control

Ahora también puede seleccionar usted mismo qué columnas necesita realmente.

Mejoras en políticas web

Imagine que un profesor trabaja con su clase en el ordenador y una página web necesaria queda bloqueada. En una situación así, hasta ahora siempre había que llamar al administrador para desbloquear la página. En SFOS 17.5 existe ahora una función en las políticas web con la que se puede permitir a usuarios autorizados abrir de todos modos páginas bloqueadas. Por ejemplo, se podría dar a ese profesor la posibilidad de desbloquear por sí mismo esa página, dominio o categoría a través del User Portal.

Cada regla recibe un código que el profesor puede comunicar a la clase. En la página bloqueada, los alumnos pueden introducir ese código y acceder temporalmente al sitio originalmente bloqueado.

Como administradores vemos en una lista qué códigos se han generado y también podemos eliminarlos de nuevo. El administrador también puede definir sitios o categorías que no puedan ser saltados por los profesores.

Estas son otras pequeñas novedades que estarán disponibles en las políticas web de SFOS 17.5:

  • Definir un motor de búsqueda por defecto.
  • SafeSearch y restricciones de YouTube.
  • Límites de tamaño de descarga.
  • Restricciones de dominios de Google App por política.
Sophos Firewall SFOS v17.5 - ajustes generales de Web Protection

También se añade compatibilidad con Chromebooks 😉. La identificación de usuarios en este sistema operativo es distinta a la de otros sistemas y hasta ahora no estaba soportada por XG Firewall. Con v17.5, Sophos ofrece una extensión de Chromebook que comparte los ID de usuario de Chromebook con el firewall. Esto permite aplicar políticas y generar informes de usuario. Sin embargo, se requiere un servidor Active Directory sincronizado con Google G Suite. La extensión de Chrome se despliega desde la consola de administración de G Suite y ofrece una implementación sencilla y transparente para el usuario.

Client Authentication Agent

El Client Authentication Agent de XG Firewall permite comunicar al firewall qué usuario ha iniciado sesión en el ordenador sin necesidad de Active Directory. Para ello basta con ejecutar el Client Authentication Agent en el dispositivo.

El cliente está disponible para Windows, macOS, Linux 32/64 bit, iOS y Android. La descarga se encuentra en el User Portal.

Sophos Firewall SFOS v17.5 - descarga del Client Authentication Agent en el User Portal
Sophos Firewall SFOS v17.5 - lista de tareas del Client Authentication Agent

Mejoras de gestión

Al crear una nueva regla de firewall, ahora se puede asignar directamente a un grupo. También existe una nueva asignación automática de grupos, aunque en mis pruebas no funcionó realmente bien. En mis tests, el firewall quería asignar automáticamente mi regla a un grupo en el que yo no quería tenerla.

Sophos XG v17.5 - asignación automática de reglas a grupos

Protección contra spoofing.

IPS Protection

  • Más categorías para optimizar mejor las reglas, lo que se traduce en más rendimiento y mayor protección.

Wireless

  • Soporte para failover de servidores RADIUS con varios servidores.

IPsec

  • SD-WAN failover y failback.
  • IPsec failover: grupos redundantes para conexiones IPsec, para cambiar a otro enlace WAN en caso de failover. En cuanto la conexión principal vuelve a estar disponible, también se puede volver a ella.

¿Qué viene a continuación?

En las próximas semanas/meses se publicarán, como de costumbre, Maintenance Releases que añadirán algunas funciones más.

Sophos Wireless APX Access Point Support

Los nuevos APX Access Points de Sophos hasta ahora solo podían utilizarse con Sophos Central. Sin embargo, el soporte para XG Firewall se espera en MR1, que debería aparecer aproximadamente entre 2 y 4 semanas después del release 17.5. El APX 120, que entonces debería estar disponible por menos de 200 CHF, no llegará hasta enero de 2019.

Airgap Support

Hay XG Firewalls que no están conectadas a Internet. Hasta ahora no era posible activar licencias en estos dispositivos. Ahora existe la opción de cargar la licencia y las actualizaciones en el firewall mediante una memoria USB.

Más información

Patrizio

Patrizio

Patrizio es un especialista de redes con amplia experiencia, centrado en firewalls Sophos, switches y puntos de acceso. Ayuda a clientes y equipos de TI con la configuracion, la migracion y una segmentacion de red limpia.