Configurar y probar el Control de Aplicaciones en Sophos Firewall
Control de Aplicaciones en Sophos Firewall detecta aplicaciones independientemente del puerto. Esto permite, por ejemplo, permitir, bloquear o registrar herramientas de control remoto, aplicaciones de túnel, streaming, almacenamiento en la nube, mensajería o navegaciones arriesgadas de manera específica.
El beneficio práctico surge solo cuando el Control de Aplicaciones está activo en la regla de firewall correcta, la aplicación realmente se detecta y se evalúan los registros. Una política de filtro de aplicaciones guardada por sí sola no bloquea nada.
Respuesta breve
El Control de Aplicaciones se utiliza en dos pasos:
- En Protect > Applications > Application filter, planificar o crear una política de filtro de aplicaciones.
- En la regla de firewall adecuada, seleccionar Identify and control applications (App control) en Other security features.
Luego, se debe verificar con un cliente de prueba real si el tráfico pasa por esta regla y si la aplicación se reconoce correctamente en el Log Viewer. En el tráfico cifrado, la inspección TLS puede ser crucial, ya que de lo contrario el firewall ve menos detalles dependiendo de la aplicación.
Cuándo es útil el Control de Aplicaciones
El Control de Aplicaciones es especialmente útil cuando los puertos por sí solos no son suficientes. Muchas aplicaciones utilizan HTTPS, destinos cambiantes o infraestructura en la nube. Una regla de puerto simple solo ve 443, pero no si detrás hay un servicio comercial permitido, una herramienta de control remoto o un almacenamiento en la nube no deseado.
Casos de uso típicos:
- Bloquear TeamViewer, AnyDesk, Tor o herramientas de proxy
- Restringir streaming o redes sociales en ciertas redes
- Controlar almacenamiento en la nube
- Limitar mensajería o juegos en redes de invitados o escolares
- Activar detección de aplicaciones para informes y análisis
- Preparar Traffic Shaping para aplicaciones detectadas
Si no se trata de detección o bloqueo, sino de priorización o limitación de ancho de banda, también se puede configurar Application Traffic Shaping en Sophos Firewall.
Requisitos previos
Antes de la configuración, se deben verificar estos puntos:
- Licencia adecuada con Web Protection o Control de Aplicaciones
- Regla de firewall afectada conocida
- Log firewall traffic está activo para la regla de prueba
- Aplicación o categoría deseada claramente definida
- Cliente de prueba y objetivo de prueba definidos
- En aplicaciones HTTPS, está claro si se utilizará la inspección TLS
El estado de la licencia se verifica en System > Administration > Licensing. En los paquetes típicos de Sophos Firewall con Web Protection, se incluye el Control de Aplicaciones. Sin embargo, la lógica de licencia específica debe verificarse antes de la implementación productiva, especialmente con suscripciones vencidas o licencias de prueba.
Planificar el filtro de aplicaciones
Un buen filtro de aplicaciones no es simplemente una larga lista de bloqueos. Primero, debe estar claro qué se quiere lograr.
| Objetivo | Enfoque típico |
|---|---|
| Bloquear herramientas de control remoto arriesgadas | Bloquear aplicaciones específicas o categoría |
| Restringir WLAN de invitados | Bloquear categorías no deseadas, dejar abiertos servicios básicos permitidos |
| Solo registrar aplicación | Usar Allow con registro e informes inicialmente |
| Evitar falsos positivos | Selección de aplicaciones más estrecha en lugar de categoría amplia |
| Priorizar aplicación crítica para el negocio | Combinar Control de Aplicaciones con Traffic Shaping |
Para redes productivas, un modo de observación a menudo es útil: primero activar el Control de Aplicaciones, revisar registros e informes, luego bloquear de manera específica. Así se puede ver qué aplicaciones realmente ocurren y si un bloqueo interrumpiría procesos legítimos.
Planificar el despliegue en fases
El Control de Aplicaciones no debe activarse de un solo golpe para todas las redes. Es mejor un despliegue pequeño con un grupo de prueba claro, registro visible y una decisión definida sobre cuándo la observación se convierte en bloqueo.
Un procedimiento práctico:
| Fase | Objetivo | Configuración típica |
|---|---|---|
| Inventario | Descubrir qué aplicaciones realmente ocurren | Filtro de aplicaciones con registro, aún sin bloqueo amplio |
| Piloto | Probar usuarios seleccionados o una red de prueba | Bloquear aplicaciones arriesgadas individuales, controlar de cerca ID de regla y registros |
| Implementación productiva | Aplicar política confirmada a la red objetivo | Activar filtro en regla productiva, documentar excepciones |
| Operación | Supervisar efectos y efectos secundarios | Revisar regularmente informes, Log Viewer, Central Reporting o Syslog |
Antes de la implementación productiva, debe estar claro qué aplicaciones deben permanecer permitidas. Esto a menudo incluye servicios de actualización, soporte remoto, herramientas de colaboración, almacenamiento en la nube, telefonía o aplicaciones específicas del sector. Si estas dependencias solo se hacen visibles después del bloqueo, el Control de Aplicaciones rápidamente parece un obstáculo en lugar de una función de protección.
Para la aceptación, vale la pena una breve lista de decisiones: ¿Qué aplicación se bloqueará, qué grupo de usuarios se verá afectado, qué excepción está permitida, quién es el propietario técnico y cuándo se revisará la política? Esta documentación es más importante que un primer filtro perfecto.
Crear filtro de aplicaciones
Ruta de menú:
Protect > Applications > Application filter
Procedimiento:
- Abrir Add.
- Asignar un nombre descriptivo, por ejemplo,
Block_Remote_Control_Tools. - Añadir una regla dentro del filtro.
- Seleccionar aplicación, categoría, riesgo o filtro inteligente.
- Establecer acción, por ejemplo,
Deny,Allowo control adecuado según la versión. - Guardar filtro.
Con las categorías, se debe tener cuidado. Una categoría amplia puede afectar a más aplicaciones de lo esperado. Para las primeras pruebas, a menudo es mejor usar aplicaciones individuales o grupos claramente definidos en lugar de un gran bloque colectivo.
Activar en regla de firewall
El Control de Aplicaciones solo tiene efecto cuando el filtro se selecciona en una regla de firewall.
Ruta de menú:
Protect > Rules and policies > Firewall rules
Procedimiento:
- Abrir la regla de firewall por la que realmente pasa el tráfico afectado.
- Abrir la sección Other security features.
- Seleccionar el filtro de aplicaciones en Identify and control applications (App control).
- Activar Log firewall traffic, al menos para prueba y aceptación.
- Guardar regla.
- Probar con un cliente definido.
El orden de las reglas es crucial. Si el tráfico ya es procesado por una regla más general más arriba, no alcanza la regla con Control de Aplicaciones. Entonces, la configuración en WebAdmin parece correcta, pero no tiene efecto.
Los fundamentos sobre Source, Destination, Services, Security Features y el orden de las reglas se encuentran en Entender y configurar de manera segura las reglas de Sophos Firewall.
Inspección TLS y detección
El Control de Aplicaciones puede reconocer ciertas aplicaciones incluso sin una inspección TLS completa. Sin embargo, en muchos servicios modernos de HTTPS y en la nube, el firewall solo ve información limitada como dirección IP, SNI, datos de certificado, nombre de host o metadatos de conexión sin descifrado.
Esto no siempre es suficiente para una detección confiable. Si una aplicación no se reconoce como se esperaba a través de HTTPS, se debe verificar:
- ¿El tráfico pasa por la regla de firewall correcta?
- ¿Está activo el Control de Aplicaciones en esta regla?
- ¿La aplicación es reconocida fundamentalmente por Sophos?
- ¿Es necesaria y justificable la inspección TLS para este tráfico?
- ¿Hay QUIC o HTTP/3 que dificulten el control?
- ¿Afectan adicionalmente la política web, IPS o DNS Protection?
La inspección TLS debe introducirse gradualmente y con excepciones. El procedimiento adecuado se encuentra en Introducir correctamente la inspección TLS en Sophos Firewall. Para QUIC y HTTP/3, consulte Bloquear correctamente QUIC y HTTP/3 en Sophos Firewall.
Probar el efecto
Después de la activación, no se debe esperar solo el feedback de los usuarios. Una prueba limpia ahorra mucho tiempo.
Procedimiento práctico:
- Definir cliente de prueba y IP de origen.
- Iniciar conscientemente la aplicación o llamar al objetivo.
- Filtrar en el Log viewer por IP de origen, destino, servicio y aplicación.
- Verificar qué ID de regla de firewall se alcanzó.
- Verificar si el Control de Aplicaciones reconoce la aplicación.
- En caso de bloqueo, verificar si el bloqueo es deseado técnicamente.
- En caso de detección poco clara, complementar con Packet Capture y registros de servicio.
El Control de Aplicaciones utiliza frecuentemente ips.log en la ruta técnica. La asignación de registros se encuentra en Solución de problemas de Sophos Firewall: Servicios y registros. Para la delimitación con Log Viewer y Packet Capture, consulte Probar reglas de Sophos Firewall con Log Viewer, Policy Test y Packet Capture.
Manejar correctamente los falsos positivos
Si el Control de Aplicaciones bloquea tráfico legítimo, no se debe desactivar inmediatamente todo el filtro.
Orden lógico:
- Documentar la aplicación afectada y la entrada de registro.
- Verificar qué regla de firewall y qué filtro de aplicaciones están involucrados.
- Verificar aplicación, categoría y acción en el filtro.
- Verificar si la aplicación se reconoce de manera diferente mediante la inspección TLS.
- Establecer excepción lo más estrecha posible: aplicación, red de origen, grupo de usuarios o destino.
- Documentar propietario y fecha de revisión para la excepción.
Una excepción para Any o una categoría amplia resuelve el caso actual rápidamente, pero debilita el control de manera permanente. Es mejor una excepción pequeña y comprensible con una justificación clara.
Errores típicos
| Error | Efecto | Mejor enfoque |
|---|---|---|
| Filtro de aplicaciones creado, pero no seleccionado en la regla | Sin efecto en el tráfico | Activar filtro en la regla de firewall real |
| El tráfico pasa por otra regla | El filtro nunca se alcanza | Verificar ID de regla en Log Viewer |
| Categoría demasiado amplia bloqueada | Afecta servicios en la nube o comerciales legítimos | Usar aplicaciones individuales o grupos más estrechos |
| Sobreestimación de detección HTTPS | La aplicación no se reconoce de manera confiable | Verificar inspección TLS y comportamiento QUIC |
| Falta de registro | El efecto permanece invisible | Activar registro de reglas para prueba y operación |
| Excepción demasiado amplia | La función de protección se anula prácticamente | Establecer excepción estrecha y con fecha de revisión |
Verificación operativa
El Control de Aplicaciones debe revisarse regularmente. Las aplicaciones cambian, los servicios en la nube utilizan nuevos puntos finales, los usuarios emplean nuevas herramientas y las firmas se actualizan.
Se debe documentar:
- Propósito del filtro de aplicaciones
- Reglas de firewall afectadas
- Aplicaciones bloqueadas o permitidas
- Excepciones conocidas
- Propietario técnico
- Fecha de revisión
- Último cambio relevante
Si el Control de Aplicaciones se utiliza para aplicaciones críticas para el negocio, redes escolares o requisitos de cumplimiento, también se debe revisar Central Reporting, Syslog o SIEM. Para evaluación centralizada, consulte Activar Central Firewall Reporting o Configurar Syslog y SIEM en Sophos Firewall.
Lista de verificación
- Estado de la licencia verificado.
- Regla de firewall afectada identificada claramente.
- Filtro de aplicaciones creado con un propósito claro.
- Filtro seleccionado en la regla de firewall correcta.
- Registro de reglas activo.
- Cliente de prueba y aplicación de prueba definidos.
- Log Viewer verificado en ID de regla y Control de Aplicaciones.
- Inspección TLS y QUIC evaluados si la detección HTTPS es incierta.
- Excepciones documentadas estrechamente.
- Fecha de revisión establecida.