Configurar y probar Sophos Firewall IPS

Intrusion Prevention System (IPS) es una de las funciones de protección más importantes en Sophos Firewall. IPS revisa el tráfico en busca de patrones de ataque conocidos, exploits y patrones de protocolo sospechosos. Usado correctamente, protege adicionalmente clientes, servidores, servicios publicados y enlaces VPN junto con reglas de firewall, Web Protection, Application Control y TLS Inspection.

En la práctica, IPS no es un interruptor que se deba activar al máximo en todas partes. Una IPS Policy incorrecta o demasiado amplia puede romper tráfico legítimo, afectar VoIP, consumir rendimiento o generar falsas alarmas. Por eso IPS debe activarse de forma planificada, seleccionarse de manera adecuada por regla y después controlarse con logs y pruebas.

¿Qué artículo de Security Inspection encaja?

IPS es solo un componente de Security Inspection. Según el problema o el objetivo del despliegue, puede encajar mejor otro artículo:

Tarea	Artículo adecuado
Activar IPS, seleccionar una policy y revisar falsos positivos	Este artículo
Controlar categorías web, Web Policies y tráfico web de usuarios	Configurar Sophos Firewall Web Protection con Web Policies
Descifrar y revisar tráfico web cifrado	Introducir correctamente Sophos Firewall TLS Inspection
Revisar archivos y descargas mediante sandbox o ML	Comprender y operar Sophos Firewall Zero-Day Protection
Bloquear IPs, dominios o URL maliciosos conocidos	Configurar y operar Sophos Firewall Threat Feeds de forma segura
Reducir patrones simples de spoofing o flooding	Revisar Sophos Firewall Spoof Protection y DoS Settings
Proteger servidores públicos con NAT e IPS	Publicar servidores mediante DNAT en Sophos Firewall
Analizar drops inesperados, rule ID o IPS policy ID	Analizar paquetes descartados en Sophos Firewall

Así la lógica de protección sigue siendo comprensible: las reglas de firewall limitan el tráfico permitido, IPS revisa ese tráfico en busca de patrones de ataque, Web Protection controla contenidos web, TLS Inspection aporta más visibilidad en HTTPS y Zero-Day Protection complementa la revisión de archivos y descargas.

Cuándo tiene sentido IPS

IPS merece especialmente la pena donde el tráfico tiene mayor riesgo o donde los exploits conocidos deben bloquearse pronto.

Ámbitos típicos:

Redes de clientes con acceso a Internet
Redes de servidores y DMZ
Reglas DNAT hacia servidores internos
Tráfico VPN site-to-site entre sedes
Tráfico Remote Access cuando se accede a sistemas internos después de la conexión VPN
VoIP, solo con selección prudente de policy y pruebas
segmentos especialmente críticos como redes de management, backup o infraestructura

Para servidores publicados, IPS siempre debe considerarse junto con NAT limpio, reglas de firewall estrictas, logging y patch management. El artículo Publicar servidores mediante DNAT en Sophos Firewall explica el contexto adecuado para NAT y reglas de firewall. Para la estructura básica de reglas, encaja Comprender y configurar correctamente las reglas de Sophos Firewall.

Requisitos

IPS solo funciona si se cumplen los requisitos necesarios.

Revisar antes del despliegue:

Existe una subscription Network Protection activa o una licencia trial.
IPS Protection está activado en Intrusion prevention > IPS policies.
Los pattern updates funcionan y el firewall puede alcanzar los servicios de actualización de Sophos.
Las reglas de firewall contienen IPS Policies adecuadas en Detect and prevent exploits (IPS).
El logging está activo para las reglas y tipos de log afectados.
Existe un proceso para falsos positivos, excepciones y ajustes de policy.

Si caduca la subscription Network Protection, el interruptor IPS puede seguir pareciendo activo aunque IPS ya no se aplique. Si IPS se desactiva manualmente o después de caducar un trial, las firmas, actualizaciones y opciones de configuración pueden quedar restringidas según el estado. Antes de desactivarlo, conviene planificar un backup o export de la configuración IPS.

Atención: IPS depende de licencia y actualizaciones. Una regla de firewall con IPS Policy seleccionada no significa automáticamente que IPS proteja realmente. Hay que revisar estado de licencia, activación global de IPS, firmas y logs.

Activar IPS globalmente

La activación global se realiza en la interfaz web de Sophos Firewall:

Abrir Intrusion prevention > IPS policies.
Activar IPS Protection.
Revisar avisos de licencia.
Esperar hasta que las firmas estén disponibles.
Revisar las policies estándar existentes.
Si es necesario, clonar una policy propia a partir de una policy existente.

Los cambios en determinadas funciones de aceleración pueden reiniciar IPS. Por eso no deberían hacerse durante un análisis de error en producción ni en una ventana de mantenimiento estrecha sin plan.

Elegir la IPS Policy correcta

Las IPS Policies deben ajustarse al tráfico. La policy más dura no es automáticamente la mejor.

Tráfico	Orientación IPS típica	Revisión importante
Clientes hacia Internet	Policy de cliente o LAN-to-WAN	Tener en cuenta Web, Application Control y TLS Inspection
Internet hacia servidor interno por DNAT	Policy de servidor o webserver	Observar con detalle sistema destino, puertos y falsos positivos
VPN de sede	Policy según sistemas origen y destino	Probar rendimiento, MTU/MSS y aplicaciones
VoIP	muy prudente y específica	SIP/RTP no debe romperse por firmas demasiado agresivas
Redes de management	dirigida y restrictiva	Probar accesos admin, monitoring y tráfico de backup

Una IPS Policy propia es útil si una policy estándar es demasiado amplia o si solo se necesitan determinadas firmas con una acción ajustada. Pero no se deben desactivar firmas sin plan. Primero debe quedar claro qué tráfico está afectado, qué firma se ha disparado y si realmente se trata de un falso positivo.

Construir IPS Policies propias de forma limpia

Las IPS Policies propias deben clonarse a partir de una policy existente y después ajustarse de forma concreta. Las reglas de IPS Policy contienen firmas y una acción. El firewall evalúa estas reglas de arriba abajo. Por ello, una regla demasiado amplia por encima de una regla específica puede ocultar el comportamiento deseado.

En las firmas son especialmente importantes estos campos:

Campo	Significado operativo
SID	ID de firma único para logs, tickets y excepciones
Category	área técnica, por ejemplo navegador, sistema operativo, DNS, RPC o malware
Severity	gravedad de la amenaza
Platform	plataforma objetivo, por ejemplo Windows, Linux o componentes relacionados con navegador
Target	firma relacionada con cliente o servidor
Recommended action	acción estándar recomendada por Sophos

La acción en una regla de policy puede sobrescribir la acción recomendada de la firma. Es útil, pero arriesgado. Un Allow packet, Disable o Bypass session general puede eliminar protección sin que se note inmediatamente en el día a día.

Uso práctico de acciones:

Acción	Cuándo puede tener sentido	Riesgo
Recommended	Estándar para la mayoría de reglas productivas	El comportamiento depende de la firma
Allow packet	Observación sin bloqueo, por ejemplo en piloto	El ataque no se impide
Drop packet	Descartar paquetes individuales	Puede afectar aplicaciones
Drop session	Finalizar la sesión cuando se quiere impedir un ataque	Intervención más fuerte en tráfico productivo
Reset	Restablecer activamente la sesión TCP	Usuario o aplicación ve cortes duros
Disable	Desactivar la firma	Se pierde protección para esa firma
Bypass session	No seguir analizando el resto de la sesión	Puede sacar más tráfico de la inspección de lo esperado

Para policies productivas es útil una breve nota de cambio: qué firma se cambió, por qué, en qué policy, para qué regla de firewall y hasta cuándo se revisará de nuevo el ajuste.

Usar IPS en reglas de firewall

IPS no solo se activa globalmente. La policy también debe usarse en la regla de firewall adecuada.

Abrir Rules and policies > Firewall rules.
Editar o crear la regla relevante.
En Other security features, activar Detect and prevent exploits (IPS).
Seleccionar la IPS Policy adecuada.
Activar el logging de la regla.
Guardar el cambio.
Probar el tráfico de forma controlada.

Con varias reglas solapadas, el orden es decisivo. Si el tráfico coincide con una regla sin IPS, la IPS Policy en una regla posterior no ayuda. Para estos casos, La regla de Sophos Firewall no se aplica: revisar causas es el mejor artículo de continuación.

Despliegue en entornos productivos

IPS debe introducirse paso a paso.

1. Empezar con reglas piloto

Primero elegir una regla pequeña y bien conocida, por ejemplo una red cliente de prueba o una única regla DNAT. Después revisar logs y probar con aplicaciones reales.

2. Evaluar detecciones

Filtrar eventos IPS en el Log viewer. Son importantes origen, destino, servicio, regla, firma, acción y momento. Si intervienen varios módulos de protección, Web, Application Control, SSL/TLS Inspection y logs de firewall deben revisarse juntos.

3. Delimitar falsos positivos

Si se bloquea tráfico legítimo, no conviene desactivar IPS globalmente de inmediato. Es mejor un análisis estrecho:

¿Qué firma se ha disparado?
¿Qué aplicación o servicio estaba afectado?
¿Afecta a un host, una red o solo un puerto?
¿El sistema destino está actualizado?
¿Es posible una regla de firewall más estricta?
¿Basta una IPS Policy ajustada en lugar de una excepción global?

4. Ampliar gradualmente

Solo cuando la regla piloto funcione de forma estable se debe desplegar IPS en más reglas. Especialmente en VoIP, sistemas ERP, protocolos industriales, enlaces VPN y aplicaciones antiguas se necesitan ventanas de prueba y plan de reversión.

Controlar excepciones y cambios de firmas

Las excepciones IPS son decisiones de seguridad. Si una firma afecta tráfico legítimo, puede ser necesario un ajuste. Aun así, no se debe debilitar reflexivamente toda la IPS Policy ni desactivar IPS en la regla. Primero debe quedar claro si realmente hay un falso positivo o si la firma muestra un riesgo real.

Antes de una excepción, recopilar al menos:

Información	Por qué es importante
ID y nombre de firma	muestra qué detección se ha disparado
Origen, destino, servicio y regla de firewall	delimita el tráfico afectado
Momento y frecuencia	separa evento aislado de patrón recurrente
Aplicación o protocolo	ayuda a valorar si el tráfico es legítimo
Nivel de parche del sistema destino	reduce el riesgo de permitir un exploit real
Packet Capture o extracto de log	aporta evidencia antes del cambio de policy

Si una excepción es necesaria, debe configurarse lo más estrecha posible:

desactivar una firma individual en lugar de una categoría completa
usar una IPS Policy propia exactamente para la regla de firewall afectada
revisar el orden de reglas de policy para que reglas específicas no queden cubiertas por reglas amplias
restringir más origen, destino y servicio en la regla de firewall
documentar la excepción con motivo, owner y fecha de review
después del cambio, comprobar que solo esté afectado el tráfico esperado

Una excepción temporal suele ser mejor que una desactivación permanente. Después de una actualización de aplicación, firmware update o parche del sistema destino, la excepción debe revisarse de nuevo. Si muchas firmas molestan para la misma aplicación, normalmente una policy propia o una segmentación limpia es mejor que una gran excepción global.

Logging y troubleshooting

Para analizar IPS se necesitan varias perspectivas.

Herramienta	Para qué ayuda
`Log viewer`	Detecciones IPS, firma, acción, origen, destino, regla
`ips.log`	indicaciones más profundas sobre decisiones de IPS, DPI y Application Control
Packet Capture	flujo de paquetes, rule ID, NAT ID, IPS policy ID y dirección
Prueba de regla	comprobar qué regla de firewall coincide realmente
Syslog o Central Reporting	retención más larga y correlación

El artículo Troubleshooting de Sophos Firewall: servicios y logs clasifica ips.log y archivos de log relacionados. Para la combinación de Log Viewer y Packet Capture encaja Probar una regla de Sophos Firewall con Log Viewer y Packet Capture. Si los paquetes se descartan inesperadamente, ayuda Analizar paquetes descartados en Sophos Firewall.

Tener en cuenta el rendimiento

IPS consume recursos. Cuánto aumenta la carga depende del modelo, tráfico, firmas activas, TLS Inspection, Application Control, VPN, tamaño de paquete y throughput.

Antes y después de la activación conviene revisar:

Carga de CPU y memoria
Carga relacionada con IPS y DPI
Throughput en interfaces afectadas
Latencia y retransmits en aplicaciones críticas
Volumen de logs y carga syslog
Mensajes de usuarios o aplicaciones tras el cambio

Si se sospecha un problema de throughput, no se debería simplemente desactivar IPS y cerrar el caso. Es mejor una comparación con un método de prueba claro, por ejemplo mediante Interpretar correctamente los datos de rendimiento de Sophos Firewall y Probar el rendimiento de Sophos Firewall con iPerf.

Errores típicos

IPS Protection está desactivado globalmente.
Network Protection ha caducado o no está activo.
No hay IPS Policy seleccionada en la regla de firewall.
El tráfico coincide con una regla distinta a la esperada.
El logging está desactivado en la regla afectada.
Una policy de servidor se aplica a tráfico de cliente o al revés.
VoIP o protocolos especiales se inspeccionan con policy agresiva sin fase piloto.
Los falsos positivos se resuelven con desactivación global en lugar de ajuste estrecho.
Las firmas se desactivan sin evidencia, owner o fecha de review.
Tras caducar un trial, no se revisa si las firmas o policies siguen disponibles.
Los problemas de rendimiento no se comparan con mediciones antes y después del cambio.

Checklist operativa

Network Protection o licencia trial revisada.
IPS Protection activado en Intrusion prevention > IPS policies.
Firmas y pattern updates revisados.
IPS Policy adecuada seleccionada por regla de firewall.
Logging de regla activado.
Regla piloto probada con tráfico real.
Log viewer e ips.log revisados.
Proceso de falsos positivos definido.
Excepciones IPS documentadas de forma estrecha y revisadas más tarde.
Las IPS Policies propias no contienen reglas Allow, Disable o Bypass session sin justificación.
Rendimiento comparado antes y después de la activación.
Excepciones críticas documentadas con fecha de review.

FAQ

¿IPS debe activarse globalmente y en la regla de firewall?

Sí. IPS Protection debe estar activo globalmente en Intrusion prevention > IPS policies. Además, la regla de firewall afectada necesita una IPS Policy seleccionada en Detect and prevent exploits (IPS).

¿Qué licencia necesita Sophos Firewall IPS?

IPS Protection requiere una subscription Network Protection activa o una licencia trial. Si la subscription caduca, IPS puede verse activo pero dejar de proteger.

¿Debe usarse siempre la IPS Policy más estricta?

No. La policy debe ajustarse al tráfico. Una policy demasiado estricta puede bloquear aplicaciones legítimas, afectar VoIP o generar carga innecesaria.

¿Dónde se ven las detecciones IPS?

Los eventos IPS se pueden revisar en el Log viewer. Para análisis más profundo también es relevante ips.log. Packet Capture ayuda a clasificar el flujo de paquetes, la regla y la IPS policy ID.

¿Cómo gestionar falsos positivos de IPS?

Primero revisar firma, origen, destino, servicio, aplicación afectada y nivel de parche. Después ajustar lo más estrechamente posible: IPS Policy propia, firma individual o regla de firewall más estricta en lugar de desactivación global. Cada excepción necesita motivo, owner y fecha de review.

¿Qué acción IPS se debe usar en policies propias?

Para la mayoría de reglas productivas, Recommended es el punto de partida más limpio. Acciones distintas como Allow packet, Disable o Bypass session solo deben usarse de forma consciente, documentada y estrechamente limitada, porque sobrescriben la acción recomendada de la firma.

¿IPS sustituye al patch management?

No. IPS puede bloquear patrones de ataque conocidos, pero no sustituye actualizaciones en servidores, clientes, aplicaciones o firewalls. IPS es protección adicional, no una autorización para sistemas sin parches.