Operar la licencia y actualizaciones de patrones de Sophos Firewall en modo Air-Gap

Una Sophos Firewall puede operar en entornos altamente aislados sin acceso directo a Internet. Esto no es un modo offline normal, sino un modo Air-Gap planificado con lógica de licencia propia, sincronización manual y un proceso de actualización de patrones separado.

El punto más importante: Air Gap no es una forma de operar una firewall simplemente “sin Internet” de manera casual. Se necesita una autorización adecuada de antemano, un firewall de hardware reclamado, un proceso de actualización claro y un control regular de los estados de licencia y patrones. De lo contrario, aunque el firewall pueda seguir funcionando, las funciones de protección perderán su actualidad o las suscripciones se desactivarán.

Para entender la lógica general de licencias, primero consulte Entender la licencia base de Sophos Firewall. Este artículo se centra en el caso especial de Air Gap.

Cuándo es útil el modo Air Gap

El modo Air Gap solo es adecuado para entornos donde el firewall se opera deliberadamente separado de Internet. Ejemplos típicos son redes altamente reguladas, entornos de investigación, entornos de defensa, segmentos de producción u otras zonas donde no se permiten conexiones directas a la nube o actualizaciones.

Antes de tomar la decisión, se deben separar tres preguntas:

Pregunta	¿Por qué es importante?
¿Realmente no debe tener acceso a Internet el firewall?	Si es posible un acceso controlado a Internet, la sincronización normal de licencias y patrones suele ser más sencilla y segura.
¿Quién se encargará del proceso de actualización manual?	Air Gap genera carga operativa. Los archivos de licencia y patrones deben ser gestionados conscientemente.
¿Qué funciones se pierden o se debilitan?	Algunas funciones requieren servicios en línea, reputación, Sophos Central o resolución externa.

El modo Air Gap no aumenta automáticamente la seguridad. Reduce una superficie de conexión específica, pero transfiere la responsabilidad a los procesos: descarga, verificación, transferencia, carga, documentación y monitoreo.

Requisitos previos

Antes de la instalación, se deben aclarar estos puntos:

El firewall debe estar reclamado como firewall Air-Gap en Sophos Central.
El uso de Air-Gap debe estar autorizado a través del Gerente de Cuentas de Sophos.
Según Sophos, Air Gap está destinado a firewalls de hardware.
El entorno no debe estar simplemente offline temporalmente, sino que debe estar planificado como un entorno aislado.
El firewall no debe operar con licenciamiento MSP-Flex en un modelo no adecuado.
Se necesita acceso de administrador a CLI y WebAdmin.
Se necesita un método seguro para transferir archivos de licencia y patrones al entorno aislado.

Antes de la implementación, se deben documentar el número de serie, modelo, cuenta de Sophos Central, estado de la licencia y persona responsable. Para números de serie y fundamentos de licencia, consulte Activar clave de licencia de Sophos Firewall y Encontrar número de serie de Sophos Firewall.

Resumen del proceso

El proceso Air-Gap consta de varios pasos separados. Si falta alguno de ellos, el firewall no está operando correctamente en modo Air-Gap.

Paso	Lugar	Resultado
Reclamar firewall	Sophos Central	El firewall está asignado a la cuenta correcta
Aclarar autorización Air-Gap	Gerente de Cuentas de Sophos	Se tiene autorización Air-Gap
Descargar licencia Air-Gap	Sophos Central	Se dispone del archivo de licencia
Activar Air Gap en el firewall	Consola de Dispositivo CLI	Se hace visible la sincronización manual de licencias
Cargar archivo de licencia	`Administration > Licensing`	El estado de la licencia se actualiza localmente
Aplicar actualizaciones de patrones	`Backup & firmware > Pattern updates`	Los patrones de protección se actualizan
Supervisar flujo y registros	WebAdmin, Alertas, `licensing.log`	Se detectan desactivaciones o patrones obsoletos a tiempo

El orden es importante. Un archivo de licencia por sí solo no es suficiente si Air Gap no se ha activado en el firewall. Inversamente, el comando CLI no sirve de nada si no hay un archivo de licencia Air-Gap válido del cuenta correcta.

Descargar licencia Air-Gap

El archivo de licencia se descarga en Sophos Central. La ruta típica es:

Sophos Central > Menú de perfil > Licensing > Firewall licenses > Download airgap license

El archivo de licencia debe ser tratado con cuidado después de la descarga y no debe almacenarse en descargas privadas, mensajeros o portapapeles poco claros. Es útil una breve prueba interna:

Fecha de descarga
Cuenta de Sophos Central
Firewall o grupo de firewalls afectado
Números de serie
Persona responsable
Fecha de carga planificada

Sophos indica que una licencia Air-Gap descargada debe aplicarse dentro de los 30 días. Si el archivo se utiliza demasiado tarde, se debe descargar un nuevo archivo.

Activar Air Gap en el firewall

Para que la sincronización manual de licencias sea visible en WebAdmin, Air Gap debe activarse en el firewall a través de CLI.

Procedimiento:

Iniciar sesión en la consola del firewall o a través de SSH.
En la consola de Sophos, seleccionar 4 para Device Console.
Ejecutar el comando:

system airgap enable

Después de esto, debería ser visible el área Manual license synchronization bajo Administration > Licensing.

Este paso debe ser documentado. En entornos productivos, debe incluirse en el mismo cambio que la carga del archivo de licencia, para que posteriormente quede claro cuándo se activó Air Gap y qué archivo de licencia corresponde.

Cargar licencia Air-Gap

Después de la activación, el archivo de licencia se carga en WebAdmin.

Procedimiento:

Iniciar sesión en la consola WebAdmin.
Abrir Administration > Licensing.
En el área Manual license synchronization, seleccionar Choose file.
Seleccionar el archivo de licencia Air-Gap.
Aplicar con Update license.
Verificar el estado de la licencia y las fechas de vencimiento.

Después de la carga, se debe verificar si las suscripciones esperadas están activas. Una sincronización de licencia exitosa no reemplaza una prueba de funcionalidad. Si se utilizan Web Protection, IPS, Zero-Day Protection u otros módulos, las políticas, el estado de los patrones, el registro y las pruebas deben ser correctos por separado.

HA-Cluster: Prestar atención al Primary inicial

En HA activo-pasivo, la licencia Air-Gap es particularmente delicada. El archivo de licencia solo debe cargarse en el Primary inicial. Este dispositivo también debe ser el Primary actual al momento de la carga.

Si la licencia se carga en el nodo incorrecto, pueden surgir diferencias de licencia o comportamientos inesperados de HA. Por lo tanto, para la operación es útil:

Antes de la carga, verificar System services > High availability.
Documentar el Primary inicial y el rol actual.
Establecer el Primary inicial como Preferred primary device.
Cargar el archivo de licencia en el Primary correcto.
Luego, verificar el estado de HA y el estado de la licencia.

Para los fundamentos de HA y la lógica de roles, consulte Configurar alta disponibilidad en Sophos Firewall. En Air Gap, este trabajo previo no es opcional, ya que el nodo incorrecto puede generar síntomas de licencia o failover difíciles de entender más tarde.

Aplicar actualizaciones de patrones manualmente

Sin actualizaciones automáticas en línea, los patrones deben ser gestionados conscientemente. Esto incluye firmas, motores, clientes y otros componentes de actualización. En entornos Air-Gap, se descarga un archivo de patrones y se carga en WebAdmin.

Para SFOS 22.0 y versiones posteriores, Sophos hace referencia al archivo de patrones Air-Gap:

https://airgap.u2d.sophos.com/sfos_pattern_updates_v2.tar

Procedimiento:

Descargar el archivo de patrones en un sistema designado para ello.
Llevar el archivo al entorno aislado a través del método de transferencia autorizado.
Iniciar sesión en el firewall.
Abrir Backup & firmware > Pattern updates > Manual pattern update.
Seleccionar Choose file.
Cargar el archivo de patrones.
Confirmar la carga y verificar el estado de la actualización.

En entornos HA, los patrones se cargan en el Primary y luego se sincronizan con el Auxiliary. Por lo tanto, también aquí se debe verificar primero el estado de HA.

Verificar el estado de los patrones

Una operación en modo Air-Gap es tan buena como la rutina detrás de ella. Los nuevos patrones están disponibles regularmente. Si el firewall no se actualiza durante mucho tiempo, el valor de IPS, Antivirus, Firmas de Aplicaciones y otras funciones de protección disminuye.

Control práctico:

Control	Lugar
Versiones actuales de patrones	`Backup & firmware > Pattern updates`
Última actualización exitosa	`Backup & firmware > Pattern updates`
Estado de la actualización	Ready to install, Downloading, Success o Failed
Estado de la licencia	`Administration > Licensing`
Avisos de licencia y desactivación	`licensing.log`

Para una revisión operativa general, consulte también Uso correcto del chequeo de salud de Sophos Firewall. Allí, Air Gap no debe entenderse como una excepción a la higiene de actualizaciones, sino como un proceso especial para la misma obligación: mantener las funciones de protección actualizadas.

Vencimiento de la licencia y ventana de incomunicado

En la sincronización normal de licencias, 90 días sin sincronización exitosa son críticos. Para las licencias Air-Gap, se aplica una ventana más larga de 180 días. Después de eso, las suscripciones de seguridad se desactivan; la Base Firewall y el Soporte Mejorado permanecen activos.

Para la operación, esto significa:

A más tardar desde el día 160, se debe preparar un nuevo archivo de licencia Air-Gap.
A más tardar cuando aparezcan advertencias, se debe planificar la carga.
Después de 180 días sin una nueva licencia Air-Gap, se corre el riesgo de desactivación de suscripciones de protección.
El tráfico puede continuar, pero sin las funciones de protección afectadas.
El estado debe ser monitoreado a través de WebAdmin, alertas y licensing.log.

licensing.log es especialmente importante en caso de problemas de licencia. Una visión general de los registros relevantes del firewall está disponible en Solución de problemas de Sophos Firewall: Servicios y registros.

Qué está limitado en entornos Air-Gap

Air Gap significa que los servicios en línea no funcionan como en un firewall normalmente conectado. Algunas funciones no son compatibles, otras pierden parte de su efectividad.

Límites típicos:

Área	Restricción
Gestión de Sophos Central	la gestión central y la seguridad sincronizada no son utilizables como en entornos en línea
DNS dinámico	requiere conexión a Internet
NTP externo	solo funciona si hay un servidor de tiempo interno accesible
FQDN	solo es útil con resolución DNS interna
Aprovisionamiento en línea de RED	requiere aprovisionamiento en línea
Web y categorización de URL	sin servicios en línea, solo con categorías y firmas disponibles localmente
Protección contra amenazas de día cero	requiere conexión a la nube y no es adecuada para el Air Gap clásico
Acceso de soporte	el acceso remoto de soporte no está disponible en redes aisladas

Este punto a menudo se subestima en los proyectos. Un firewall Air-Gap no puede proporcionar la misma protección basada en la nube que un firewall normalmente conectado. Por lo tanto, antes del diseño, se debe decidir qué funciones de protección son imprescindibles y cómo se compensarán las funciones en línea faltantes: servidores DNS y NTP internos, rutina manual de patrones, Syslog, documentación local y un proceso de soporte claro.

Establecer una rutina operativa

Para Air Gap se necesita un procedimiento fijo. De lo contrario, las actualizaciones de licencia y patrones solo se notarán cuando aparezca una advertencia o un módulo de protección ya no esté actualizado.

Rutina sensata:

Intervalo	Tarea
Semanalmente o según el riesgo interno	Verificar, descargar y aplicar el archivo de patrones
Mensualmente	Documentar el estado de los patrones, el estado de la licencia, el estado de HA y las alertas
A más tardar desde el día 160	preparar un nuevo archivo de licencia Air-Gap desde Sophos Central
Después de cada carga	Verificar el estado de la licencia, el estado de los patrones, los módulos de protección relevantes y la sincronización de HA
En cada ventana de firmware	Planificar conjuntamente el proceso Air-Gap, la copia de seguridad, los patrones y el rollback

Las actualizaciones de firmware siguen siendo un proceso propio. Para su ejecución, consulte Realizar actualización de firmware de Sophos Firewall, para copia de seguridad y recuperación Crear o restaurar copia de seguridad de Sophos Firewall.

Errores comunes

Aclarar Air Gap solo después de la instalación

Air Gap debe aclararse antes de la adquisición e instalación. Si el firewall ya está operando de manera aislada, pero no hay una autorización Air-Gap adecuada o un archivo de licencia disponible, se genera presión innecesaria.

Tratar las actualizaciones de patrones como opcionales

Las actualizaciones de patrones no son menos importantes en entornos Air-Gap, sino que son operativamente más laboriosas. Sin una rutina, las funciones de protección se vuelven obsoletas silenciosamente.

Ignorar el rol de HA antes de cargar la licencia

En HA activo-pasivo, el Primary inicial debe ser el Primary actual correcto. De lo contrario, el estado de la licencia puede volverse confuso después de un failover o carga.

Suponer funciones en la nube

Zero-Day Protection, Gestión de Sophos Central, Reputación en línea, Aprovisionamiento en línea de RED o Acceso de soporte no deben ser planificados silenciosamente en diseños Air-Gap.

Manejar advertencias de licencia demasiado tarde

Las licencias Air-Gap tienen una ventana de 180 días, pero el proceso no debe comenzar el último día. La descarga, transferencia, autorización de cambios y carga requieren tiempo.

Lista de verificación

Autorización Air-Gap aclarada con Sophos.
Firewall reclamado en la cuenta correcta de Sophos Central.
Número de serie, modelo y estado de la licencia documentados.
Método seguro de transferencia de archivos al entorno aislado definido.
system airgap enable ejecutado y documentado.
Licencia Air-Gap cargada en Administration > Licensing.
En HA: Primary inicial, Primary actual y Preferred Primary verificados.
Archivo de patrones descargado y cargado en Backup & firmware > Pattern updates.
Estado de la licencia, estado de los patrones y licensing.log verificados.
Rutina operativa para patrones, archivo de licencia, estado de HA y ventana de firmware establecida.

FAQ

¿Qué es el modo Air Gap de Sophos Firewall?

Air Gap es un modelo operativo para entornos de firewall Sophos aislados sin acceso directo a Internet. La licencia y las actualizaciones de patrones se gestionan manualmente o a través de un proceso Air-Gap separado.

¿Cómo se activa el modo Air Gap en Sophos Firewall?

Se activa el modo Air Gap en la Device Console con system airgap enable. Luego, aparece el área para la sincronización manual de licencias bajo Administration > Licensing.

¿Cuánto tiempo es válida una licencia Air-Gap?

Para las licencias Air-Gap, se aplica una ventana de 180 días sin nueva sincronización. Después de eso, las suscripciones de seguridad se desactivan, mientras que la Base Firewall y el Soporte Mejorado permanecen activos.

¿Se deben actualizar manualmente los patrones en entornos Air-Gap?

Sí, si no se ha configurado una solución de actualización Air-Gap automatizada. Para SFOS 22.0 y versiones posteriores, se descarga el archivo de patrones y se carga en Backup & firmware > Pattern updates > Manual pattern update.

¿Qué es importante en Air Gap y HA?

En HA activo-pasivo, la licencia Air-Gap debe cargarse en el Primary inicial, mientras que este dispositivo también es el Primary actual. El Primary inicial debe establecerse como Preferred Primary.

¿Funcionan todas las funciones de Sophos Firewall en modo Air-Gap?

No. Las funciones con dependencia de la nube, reputación en línea, Central o soporte remoto no son utilizables o solo de manera limitada. Esto debe verificarse antes del diseño.