Ir al contenido
Avanet

Configurar correctamente Sophos Firewall después del asistente de configuración

Después del asistente de configuración, un Sophos Firewall es accesible, está registrado y básicamente listo para operar. Sin embargo, aún no está seguro para su operación. El asistente realiza el inicio, no la arquitectura productiva.

El artículo reúne los puntos que deben verificarse después de la configuración inicial: acceso a Internet, registro, estado de la licencia, firmware, copias de seguridad, zonas, acceso al dispositivo, DNS, DHCP, reglas de firewall, NAT, registros y primeras medidas de endurecimiento. Está pensado como una lista de verificación práctica para nuevo hardware XGS, firewalls virtuales y pequeñas migraciones.

Si se trata de una migración de XG a XGS, de hardware a virtual o una restauración en un dispositivo de reemplazo, también se debe revisar Crear o restaurar una copia de seguridad de Sophos Firewall y Sophos XG vs. XGS: Diferencias, EOL y migración.

Ruta rápida después del primer inicio de sesión

Cuando el firewall acaba de salir del asistente, no todos los detalles son urgentes de inmediato. En los primeros 30 minutos, el objetivo principal es no perder el acceso, asegurar el estado y reconocer los riesgos operativos más evidentes.

Este orden es sensato para la mayoría de las nuevas instalaciones:

  1. Asegurar el acceso de administrador: Documentar la contraseña, la clave maestra de almacenamiento seguro y un segundo acceso de administrador o de emergencia.
  2. Verificar licencia y registro: En Administration > Licensing, verificar que el modelo, número de serie, licencia base y suscripciones sean correctos.
  3. Crear una copia de seguridad: Antes de realizar más cambios, descargar una copia de seguridad manual y almacenarla externamente.
  4. Verificar firmware y patrones: Comprobar el estado del firmware, los parches y las actualizaciones de patrones, pero instalar actualizaciones solo con una ventana de mantenimiento y un plan de reversión.
  5. Limitar el acceso al dispositivo: No permitir que WebAdmin y SSH sean ampliamente accesibles desde zonas de clientes, invitados, IoT o WAN.
  6. Verificar zonas e interfaces: Comprobar WAN, LAN, VLANs, puentes, red de gestión y futuras zonas de seguridad contra el plan de red.
  7. Evaluar reglas predeterminadas: No adoptar las primeras reglas de firewall y NAT como un diseño de seguridad final.
  8. Activar registros: En reglas importantes, activar Log firewall traffic para que las pruebas posteriores sean rastreables en el Log Viewer.
  9. Planificar la prueba de aceptación: liberar tráfico productivo solo después de un breve plan de pruebas, no directamente después del asistente.

Solo cuando estos puntos estén claros, se debe establecer tráfico productivo, acceso remoto, WAF, SD-WAN, RED o inspección TLS. De lo contrario, la resolución de problemas será innecesariamente difícil más adelante, ya que no estará claro si un problema proviene de la configuración básica, una función de seguridad o una aplicación.

Rutas de setup según la situación

Después del asistente, el trabajo se ramifica rápidamente en varias áreas. Para nuevos firewalls, este orden es sensato:

Esta separación es importante porque un asistente exitoso no significa una arquitectura de seguridad completa. Antes del tráfico productivo, se deben verificar conscientemente el acceso de gestión, copias de seguridad, licencias, zonas, reglas, registros y funciones de protección.

Preparar antes de la configuración

Antes de iniciar el asistente, deben estar claros el acceso, la conexión WAN, la red de administración y el contexto de licencias. Esto evita improvisar durante la configuración y tener que corregir después supuestos básicos poco claros.

Requisitos para la configuración

Antes de la configuración, debe estar claro cómo se integrará el firewall en la red. Muchos problemas posteriores no surgen en el asistente en sí, sino porque se improvisan el acceso WAN, LAN, DNS, acceso de gestión o datos de licencia.

Antes de comenzar, tener a mano:

  • Modelo de firewall, número de serie y ubicación planificada.
  • Datos de acceso WAN o información del proveedor, por ejemplo, DHCP, IP estática, PPPoE, VLAN o router previo.
  • Red de destino interna para el primer acceso LAN o de gestión.
  • Servidores DNS que funcionen durante la configuración.
  • Acceso a Sophos Central o una persona que pueda generar un OTP para el registro.
  • Contraseña de administrador planificada y ubicación en el gestor de contraseñas.
  • Decisión sobre si el firewall se configurará de nuevo directamente o se restaurará desde una copia de seguridad.

El firewall necesita una conexión a Internet funcional para el registro, la sincronización de licencias, las actualizaciones de patrones y la conexión a Central. Si un dispositivo upstream filtra el tráfico saliente, al menos el acceso HTTPS necesario debe funcionar. En configuraciones de proveedor más complejas, el acceso WAN debe planificarse conscientemente primero, en lugar de adivinar durante el asistente.

Conexiones y configuración de red

Dependiendo del modelo, los nombres de los puertos y la asignación predeterminada varían. En muchas appliances de hardware, el primer acceso LAN es posible a través de la dirección predeterminada, mientras que los modelos más grandes pueden tener un puerto de gestión dedicado.

Accesos típicos iniciales:

  • Puerto LAN con https://172.16.16.16:4444: Configuración inicial a través de la red de configuración local
  • Puerto MGMT con https://10.0.1.1:4444: Acceso de gestión dedicado en modelos con puerto MGMT
  • Consola serial o acceso local: Escenarios de emergencia o reimagen

El cliente para la configuración inicial debe estar conectado directamente o a través de una red de configuración controlada. Servidores DHCP antiguos, VLANs incorrectas o un puerto de switch productivo con una configuración de puerto inesperada pueden dificultar innecesariamente la configuración inicial.

En modelos con puerto de gestión dedicado, esta red debe quedar realmente reservada para administradores. Usuarios no administrativos, clientes normales o dispositivos invitados no pertenecen al mismo segmento del Management-Port. De lo contrario, un acceso inicial práctico se convierte rápidamente en una superficie de gestión innecesaria.

Acceso a la interfaz web

Para configurar, se accede a la WebAdmin Console a través de un navegador web. Dependiendo de la interfaz, se utiliza una de estas direcciones:

  • Puerto LAN: https://172.16.16.16:4444
  • Puerto de gestión: https://10.0.1.1:4444

En el primer acceso, el firewall utiliza un certificado firmado localmente. La advertencia del navegador es normal en este momento, pero no debe ignorarse más tarde. Para el acceso productivo a WebAdmin, se debe planificar un certificado adecuado, especialmente si se utilizan varios administradores, gestión central o un FQDN de gestión.

Mientras se utilice todavía el usuario predeterminado admin con la contraseña predeterminada, se aplican restricciones adicionales. SSH desde la zona WAN no se rechaza de forma normal; el firewall cierra la conexión silenciosamente. WebAdmin desde la zona WAN muestra un mensaje Forbidden. SCP con las credenciales predeterminadas no se puede usar en la zona LAN ni WAN. Este estado debe entenderse como fase de instalación, no como modelo operativo.

Ejecutar el asistente de configuración

El asistente de configuración configura el firewall a nivel básico. En esta fase, el objetivo no es el diseño de seguridad final, sino poner el firewall en línea, registrado y administrable de forma controlada.

Configuración inicial con el asistente de configuración

El asistente de configuración solicita los datos básicos y pone el firewall en un estado listo para iniciar. Estos puntos deben establecerse conscientemente:

  1. Aceptar los Términos de Uso del Usuario Final de Sophos.
  2. Iniciar la configuración.
  3. Establecer y almacenar de forma segura la contraseña de administrador.
  4. Establecer el nombre del firewall y la zona horaria.
  5. Proporcionar el número de serie o los datos de licencia existentes.
  6. Permitir una actualización automática de firmware durante la configuración solo si el acceso a Internet, la ventana de tiempo y el camino de retorno encajan.
  7. Crear la clave maestra de almacenamiento seguro y documentarla en el gestor de contraseñas.
  8. Realizar el registro y la sincronización de licencias o posponer conscientemente para más tarde.

La clave maestra de almacenamiento seguro es importante para datos protegidos y escenarios de restauración. En instalaciones nuevas se crea en el Setup Assistant. No debe guardarse en un archivo de texto local en el portátil del administrador, sino en un procedimiento de contraseña o recuperación controlado. Si se pierde, se puede restablecer técnicamente, pero las copias de seguridad o datos protegidos existentes no se pueden descifrar automáticamente.

Verificación de conexión a Internet y DNS

En el asistente se verifica si el firewall alcanza Internet. Si la verificación falla, no se debe ingresar simplemente “cualquier DNS”. Es mejor una delimitación clara:

  • ¿Tiene la interfaz WAN una dirección IP válida?
  • ¿Es correcta la puerta de enlace predeterminada?
  • ¿Se necesita PPPoE, VLAN o enrutamiento estático?
  • ¿Puede el firewall resolver DNS?
  • ¿Está bloqueado el tráfico HTTPS saliente por un dispositivo previo?
  • ¿Son correctos la fecha, hora y zona horaria?

Para entornos productivos, DNS no debe configurarse al azar en resolutores públicos si se necesita resolución de nombres interna. Después de la configuración inicial, los dominios internos deben redirigirse correctamente a servidores DNS internos a través de rutas de solicitud DNS en Sophos Firewall.

Registro de Sophos Firewall

El registro conecta el firewall con el contexto de licencia y Central de Sophos. Se puede realizar directamente en el asistente o más tarde durante la operación. Para firewalls productivos, este paso no debe permanecer abierto innecesariamente, ya que el estado de la licencia, el soporte, las suscripciones y las funciones de Central dependen de ello.

Sophos admite varios métodos para el registro. En entornos de socios o clientes, OTP es especialmente práctico, ya que no todos los administradores necesitan conocer las credenciales de superadministrador de Sophos Central.

Proceso típico:

  1. Tener a mano el número de serie del firewall.
  2. Reclamar el firewall en Sophos Central o hacer que un administrador de Sophos Central genere un OTP.
  3. Ingresar el OTP en el firewall.
  4. Completar el registro.
  5. Luego, en Administration > Licensing, verificar si el firewall está registrado correctamente.

Importante: Sophos Central Firewall Management requiere una suscripción activa de pago o un contrato de soporte adecuado. La Base Firewall License por sí sola no es suficiente para todas las funciones de gestión de Central. Además, el firewall debe poder llegar a Internet por IPv4 para Central Management.

Activación de licencias

Después del registro, el firewall verifica sus licencias en el servidor de licencias de Sophos. Si el firewall tiene acceso a Internet, la información de la licencia se sincroniza regularmente. Además, se puede iniciar manualmente la sincronización en la WebAdmin Console.

En Administration > Licensing, se debe verificar:

  • ¿Está registrado el modelo correcto con el número de serie correcto?
  • ¿Está activa la licencia base?
  • ¿Son visibles correctamente el soporte, Xstream Protection, Standard Protection o suscripciones individuales?
  • ¿Son plausibles las fechas de vencimiento?
  • ¿Se aplicó realmente una nueva clave de licencia o solo se guardó en el portal?
  • ¿Muestra el firewall el mismo estado que Sophos Central después de Synchronize?

Sin la licencia adecuada, muchas funciones de protección no funcionan o lo hacen de manera limitada. Esto afecta, según la función, por ejemplo, IPS, Web Protection, Zero-Day Protection, DNS Protection, Central Orchestration, Active Threat Response o servicios de soporte. Los fundamentos sobre soporte y módulos se encuentran en Entender la licencia base de Sophos Firewall OS y ¿Qué paquetes de Sophos Firewall existen?.

Conexión a la plataforma Sophos Central

Para la operación local de un solo Sophos Firewall, Sophos Central no es estrictamente necesario. El firewall puede ser operado completamente a través de WebAdmin. Sin embargo, Sophos Central ofrece ventajas si se utilizan conscientemente estas funciones:

  • visión general central de uno o varios firewalls,
  • gestión de firewall central sin publicación directa de WebAdmin desde Internet,
  • copias de seguridad centrales,
  • informes de firewall central,
  • dependiendo de la licencia, almacenamiento de registros más prolongado y funciones de informes adicionales,
  • Security Heartbeat y Synchronized Application Control en entornos de endpoints de Sophos,
  • integración en otros procesos de Sophos Central.

Es importante tener las expectativas correctas: Sophos Central no reemplaza la documentación operativa local ni un proceso administrativo limpio. Quien active la gestión central debe establecer conscientemente roles, MFA, acceso, almacenamiento de copias de seguridad y retención de informes.

Más sobre esto se encuentra en el artículo Conectar Sophos Firewall con Sophos Central: Ventajas y límites.

Finalización de la configuración

Después de completar la configuración, el firewall se reinicia o redirige a la pantalla de inicio de sesión. Si durante el asistente se ejecuta una actualización de firmware y la conexión se interrumpe, no se debe asumir inmediatamente un defecto: el firewall puede reiniciarse y volver a arrancar con el firmware entregado. Después no se debe comenzar directamente con tráfico productivo, sino controlar primero el estado básico.

Verificar directamente después del primer inicio de sesión:

  • Fecha, hora y zona horaria.
  • Versión de firmware y actualizaciones de patrones.
  • Estado de la licencia en Administration > Licensing.
  • Estado de WAN y acceso a Internet.
  • Contraseña de administrador y clave maestra de almacenamiento seguro en el gestor de contraseñas.
  • Configuración de copia de seguridad.
  • Accesibilidad de la WebAdmin Console solo desde redes deseadas.
  • Reglas predeterminadas, NAT y DNS.
  • Primeros registros en el Log viewer.

Dejar el firewall listo para producción después del asistente de configuración

Después del asistente empieza el trabajo real: el firewall debe endurecerse, integrarse en la arquitectura de red, documentarse y prepararse para la resolución de problemas. Estos pasos influyen más en la operación posterior que el propio asistente.

Por qué el asistente de configuración no es suficiente

El asistente crea una configuración básica, pero no una arquitectura de seguridad completa. Interfaces, zonas, acceso al dispositivo, DNS, DHCP, reglas de firewall, NAT, registros, copias de seguridad y perfiles de protección deben ser verificados conscientemente.

Un Sophos Firewall no es un router de consumo, donde uno termina después del asistente. Planificado correctamente, puede asegurar muy bien una red, pero solo si la arquitectura es correcta: las zonas deben coincidir con la lógica de seguridad, los accesos de gestión deben estar restringidos, las reglas deben ser creadas conscientemente y documentadas, y las funciones de protección como el filtro web, IPS, Application Control o inspección TLS deben ser activadas y probadas específicamente. Un firewall mal configurado puede crear una falsa sensación de seguridad.

Primero, vale la pena echar un vistazo al Control Center. Allí se puede ver el estado del sistema, el tráfico, la información de usuarios y dispositivos, las reglas de firewall activas, los informes y las alertas como nuevo firmware o hallazgos de chequeo de salud. Las advertencias y alertas en esta área no deben simplemente ser ignoradas, sino utilizadas como una lista de verificación práctica para el trabajo posterior.

Verificar firmware, licencia y copia de seguridad

En Backup & firmware, se verifica si el firmware activo está actualizado. Las actualizaciones de firmware son relevantes para la seguridad, ya que corrigen errores, mejoran la estabilidad y aplican correcciones de seguridad. Las actualizaciones no deben posponerse indefinidamente, pero tampoco instalarse sin preparación.

Sophos Firewall trabaja con dos ranuras de firmware. Esto permite arrancar con un firmware anterior en caso de problemas. Sin embargo, antes de cualquier cambio importante, se debe crear una copia de seguridad manual. Para firewalls productivos, se debe planificar una ventana de mantenimiento, revisar las notas de la versión, el estado de HA, el espacio libre, las dependencias de VPN y la accesibilidad externa.

En Backup & firmware, también se debe configurar una copia de seguridad regular. Para copias de seguridad cifradas, se necesita una contraseña de copia de seguridad. Para la restauración de datos sensibles, también es relevante la clave maestra de almacenamiento seguro. Esta clave debe estar en un gestor de contraseñas. Si se pierde, se puede restablecer a través de la consola, pero las copias de seguridad protegidas existentes no se pueden restaurar normalmente.

Luego, en Administration > Licensing, se debe verificar si el registro, la licencia base y las suscripciones contratadas se muestran correctamente. Para el tema de las actualizaciones, los artículos Actualización de firmware de Sophos Firewall: Preparación y mejores prácticas y Actualizar el firmware en Sophos Firewall son útiles. Las copias de seguridad se explican con más detalle en el artículo Crear o restaurar una copia de seguridad de Sophos Firewall.

Planificar correctamente zonas e interfaces

El asistente puede agrupar varios puertos LAN en un puente en appliances de hardware. Esto es práctico para un inicio rápido, pero no siempre es la mejor arquitectura objetivo. En Network > Interfaces, se debe verificar qué puertos, VLANs, puentes o LAGs realmente se necesitan.

Cada interfaz está asignada exactamente a una zona. Esta asignación determina más tarde cómo se aplican las reglas de firewall, el acceso al dispositivo y los perfiles de protección. Las zonas productivas típicas son, por ejemplo, LAN, Server, DMZ, Guest, VoIP, Management o VPN. No todas las VLAN necesitan necesariamente su propia zona, pero cada zona debe tener un significado de seguridad claro.

Más sobre esto se encuentra en el artículo Planificar y configurar zonas e interfaces de Sophos Firewall.

Asegurar el acceso al dispositivo

Un error común después de la configuración inicial es demasiado acceso de gestión. Los accesos a servicios locales del firewall, como WebAdmin, SSH, User Portal, VPN Portal, DNS o Ping, no se controlan a través de reglas de firewall normales. Para eso está Administration > Device access.

⚠️ WebAdmin, SSH, User Portal y VPN Portal nunca deberían estar accesibles solo porque la base de reglas de firewall parece limpia. Estos servicios dependen de Device Access y Local Service ACLs. Después de cada cambio, probar activamente desde qué zonas y redes de origen el acceso es realmente posible.

Para sistemas productivos, HTTPS y SSH no deben permitirse ampliamente desde zonas inseguras. Si se necesita acceso externo, se debe trabajar con una Local service ACL exception rule y limitar el acceso a direcciones IP fijas o redes de gestión definidas. Alternativamente, la gestión de firewall de Sophos Central suele ser la solución más limpia.

Más sobre esto se encuentra en el artículo Configurar correctamente el acceso al dispositivo de Sophos Firewall.

Establecer cuentas de administrador, MFA y acceso de emergencia

Después del primer inicio de sesión, no se debe trabajar permanentemente con un acceso de administrador compartido. Para el día a día, es mejor tener administradores propios, roles claros y un acceso de emergencia documentado. Así se puede rastrear más tarde quién realizó un cambio, y una contraseña comprometida no se convierte automáticamente en acceso total al firewall.

Para nuevos firewalls, este orden es sensato:

  1. Probar al menos un segundo acceso administrativo antes de activar ampliamente MFA.
  2. Tratar al usuario predeterminado local admin como una cuenta de emergencia y no usarlo como usuario diario.
  3. Activar MFA para WebAdmin, VPN Portal y acceso remoto de manera planificada.
  4. Documentar roles y responsabilidades, especialmente si se utiliza la gestión de firewall de Sophos Central.
  5. Establecer el restablecimiento de tokens, el almacenamiento de contraseñas y el acceso fuera del horario laboral.

MFA reduce el riesgo de credenciales robadas, pero no reemplaza la restricción de acceso. Por lo tanto, MFA para WebAdmin, VPN Portal y acceso remoto de Sophos Firewall y el acceso al dispositivo deben ir juntos. Si varias personas trabajan a través de Sophos Central, también se deben revisar los roles administrativos de Sophos Central.

Verificar DNS, DHCP y resolución de nombres interna

En Network > DNS, se establece cómo el firewall obtiene servidores DNS: por DHCP, a través de datos PPPoE del proveedor o estáticamente. Para dominios internos, se deben usar rutas de solicitud DNS para que las consultas para zonas internas vayan al servidor DNS interno correcto.

En nuevas instalaciones, DNS debe probarse con nombres internos y externos reales. Una prueba solo con google.com no es suficiente si más tarde se utilizan Active Directory, servidores de archivos, impresoras, sistemas de gestión o aplicaciones internas. Lo importante es principalmente si los clientes reciben los servidores DNS correctos y si el firewall no redirige accidentalmente dominios internos a resolutores públicos.

Prueba práctica de DNS:

  • El firewall resuelve nombres externos: Registro, sincronización de licencias, actualizaciones y conexión a Central funcionan
  • El cliente resuelve nombres externos: DHCP, servidor DNS y regla de firewall coinciden
  • El cliente resuelve nombres internos: El DNS interno o la ruta de solicitud DNS funcionan
  • El cliente VPN o VLAN resuelve nombres internos: El servidor DNS, el dominio de búsqueda y la regla de zona coinciden también fuera de la primera LAN

DHCP se configura en Network > DHCP por interfaz. Es importante ajustar correctamente los rangos DHCP a la estructura de interfaces y VLANs. El servidor DHCP no debe asignar direcciones que ya se utilizan estáticamente para servidores, switches, puntos de acceso, impresoras o dispositivos de gestión. Además, se deben establecer conscientemente la puerta de enlace, el servidor DNS, el nombre de dominio y el tiempo de arrendamiento para que los clientes, después de la primera conexión, no solo reciban cualquier dirección IP, sino que realmente trabajen en la red prevista.

Si DHCP debe ser reenviado a través de túneles VPN, el firewall también puede funcionar como un relé DHCP. Para opciones especiales de DHCP, hay Configurar opciones DHCP en Sophos Firewall.

Verificar las primeras reglas de firewall y NAT

La regla predeterminada de salida creada por el asistente no debe adoptarse ciegamente. En Rules and policies > Firewall rules, se debe verificar qué zonas de origen están permitidas, qué destinos deben ser accesibles y qué características de seguridad están activas. Las reglas se procesan de arriba a abajo; la primera regla coincidente gana.

Para comenzar, debe existir al menos una regla de cliente a Internet nombrada conscientemente. Esta regla no debe simplemente permitir Any a Any, sino mostrar claramente la zona de origen, la red de origen, los destinos, los servicios, el registro y las características de seguridad. Si la regla se amplía más tarde, debe seguir siendo rastreable si está destinada a clientes normales, servidores, invitados, IoT o dispositivos de gestión.

Una primera verificación de reglas puede ser así:

  1. Conectar un cliente de prueba en la zona prevista.
  2. Verificar la dirección IP, la puerta de enlace y el DNS en el cliente.
  3. Generar una llamada HTTPS externa.
  4. En el Log viewer, buscar por IP de origen, destino, servicio e ID de regla.
  5. Verificar si se alcanzó la regla de firewall y la regla NAT esperadas.
  6. Realizar una prueba intencionadamente no permitida, por ejemplo, desde una zona de invitados o de gestión.
  7. Documentar qué regla permanece productiva y qué regla de asistente o de prueba se elimina.

Para NAT: NAT no permite tráfico por sí mismo. Siempre se necesita también una regla de firewall adecuada. Para clientes normales a Internet, generalmente es relevante una regla de NAT de origen con MASQ. Para servidores publicados, se necesita DNAT más una regla de firewall adecuada, registro y una prueba externa desde fuera de la propia LAN. Para nuevas configuraciones, las reglas de NAT independientes suelen ser más claras que las reglas de NAT vinculadas. Los fundamentos están en Entender y configurar correctamente las reglas de Sophos Firewall y Entender NAT en Sophos Firewall: SNAT, DNAT, MASQ, PAT. Si se debe publicar un servidor interno, el artículo Publicar servidor mediante DNAT en Sophos Firewall es adecuado.

Activar conscientemente las funciones de protección

Una regla de firewall no es automáticamente una regla de protección completa. Dependiendo de la licencia y el objetivo, se deben activar, probar y documentar conscientemente IPS, Web Protection, Application Control, escaneo de malware, inspección TLS, Zero-Day Protection o Threat Feeds.

Orden práctico:

  1. Crear zonas y reglas limpias.
  2. Activar el registro para reglas importantes.
  3. Activar IPS y Web Protection donde sean apropiados.
  4. Agregar Application Control para aplicaciones riesgosas o no deseadas.
  5. Introducir inspección TLS solo de manera planificada, con grupo de prueba, distribución de CA y excepciones.
  6. Activar Threat Feeds, NDR o Active Threat Response solo cuando se haya aclarado el monitoreo y el proceso de falsos positivos.

Para el contexto más amplio de endurecimiento, es adecuado Mejores prácticas de Sophos Firewall: Red, reglas y seguridad. Para Zero-Day Protection, hay Entender y operar Sophos Firewall Zero-Day Protection, para inspección TLS Introducir inspección TLS en Sophos Firewall.

Preparar registros y resolución de problemas

En reglas de firewall importantes, se debe activar Log firewall traffic, de lo contrario, a menudo faltan exactamente las informaciones necesarias para la resolución de problemas. Esto no es evidente para muchos: si una regla de firewall no registra, el tráfico correspondiente tampoco aparece de manera significativa en el Log Viewer. Entonces, aunque se puedan ver otros eventos del sistema, no se ve la decisión de regla concreta que realmente se busca.

En System services > Log settings, se puede definir qué tipos de registros se envían localmente, a servidores Syslog o a Sophos Central. El firewall posee archivos de registro locales y una base de datos de informes interna, pero no están destinados como un archivo a largo plazo para semanas, meses o años. Si los registros deben conservarse permanentemente o buscarse centralmente, se necesita un servidor Syslog externo o Sophos Central Firewall Reporting.

Para Sophos Central, en general: con una suscripción activa de firewall, los informes de firewall central están disponibles por un período limitado. Con Xstream Protection o Central Orchestration, son posibles evaluaciones más prolongadas. Con Sophos Central Firewall Reporting Advanced, se obtiene almacenamiento adicional y una retención significativamente más prolongada. Los detalles están en Activar informes de firewall central.

Para análisis iniciales, generalmente son suficientes Log viewer, Policy tester y Packet capture. Para análisis más profundos, se pueden asegurar registros CLI adicionales, activar registros de depuración o usar tcpdump. Los registros de depuración solo deben activarse de manera específica y por tiempo limitado, ya que generan significativamente más datos. Cómo probar reglas se muestra en Probar reglas de firewall con Log Viewer, Policy Test y Packet Capture. Para Packet Capture, nombres de servicios y archivos de registro, están los artículos Usar la herramienta de captura de paquetes en WebAdmin y Resolución de problemas de Sophos Firewall: Servicios y registros. Si se deben recopilar registros para soporte o análisis externo, ayuda Asegurar registros de Sophos Firewall para análisis externo.

Prueba de aceptación antes del tráfico productivo

Antes del lanzamiento, no solo se debe verificar si “Internet funciona”. Una pequeña prueba de aceptación documentada previene muchos casos de soporte posteriores.

Pruebas sensatas:

  • Inicio de sesión de administrador desde la red de gestión: WebAdmin es accesible, pero no está abierto desde zonas no deseadas
  • Inicio de sesión de administrador desde una zona de clientes, invitados o WAN: el acceso se bloquea si allí no está prevista una red de gestión explícita
  • Segundo administrador o acceso de emergencia: El acceso sigue siendo posible si MFA, SSO o una cuenta de usuario falla
  • Cliente desde LAN a Internet: La regla de firewall, NAT, DNS y política de seguridad funcionan como se espera
  • Nombre DNS interno: Las rutas de solicitud DNS o los resolutores internos funcionan
  • Tráfico de prueba bloqueado: Log Viewer muestra la regla adecuada o el bloqueo esperado
  • Descarga y almacenamiento de copia de seguridad: La copia de seguridad no solo se crea, sino que también es localizable
  • Destino Central o Syslog: Los registros e informes llegan fuera del firewall, si está planeado

La prueba debe documentarse brevemente: fecha, versión de firmware, ubicación, IP de origen probada, destino, resultado esperado y puntos abiertos. Esto puede parecer poco espectacular, pero ahorra tiempo si días después se debe investigar un problema de VPN, una regla NAT o un problema de DNS.

Lista de verificación después de la configuración inicial

Verificar de inmediato

  • Contraseña de administrador y clave maestra de almacenamiento seguro almacenadas de forma segura.
  • Firewall registrado y estado de la licencia verificado.
  • Estado del firmware y actualizaciones de patrones controlados.
  • Copia de seguridad manual creada y almacenada externamente.
  • WebAdmin y SSH accesibles solo desde redes deseadas.
  • WebAdmin y SSH probados negativamente de forma activa desde zonas no deseadas.
  • Segundo acceso de administrador y concepto de emergencia probados.
  • WAN, DNS y zona horaria verificados.
  • Regla de firewall predeterminada evaluada conscientemente.

Verificar en los primeros días

  • Zonas, VLANs, puentes y LAGs planificados correctamente.
  • Rutas de solicitud DNS y rangos DHCP controlados.
  • Reglas de firewall y NAT documentadas.
  • Registro activado en reglas importantes.
  • Proceso de copia de seguridad central o local establecido.
  • Decidido objetivo de registro central, Syslog u otro.
  • Primeras reglas validadas con Log Viewer, Policy Test y Packet Capture.

Verificar antes de la operación productiva o el lanzamiento

  • Acceso de gestión endurecido.
  • MFA y roles de administrador verificados.
  • IPS, Web Protection, Application Control y otras funciones de protección activadas conscientemente.
  • Inspección TLS planificada solo con proceso de prueba y excepciones.
  • Acceso remoto, IPsec, WAF, RED o SD-WAN probados por separado, si se utilizan.
  • Documentado el camino de reversión y soporte.

Errores típicos

  • Configuración del wizard usada directamente en producción: Quedan reglas demasiado amplias, zonas erróneas o servicios de gestión abiertos. Tras el wizard, completar una checklist operativa propia.
  • Secure Storage Master Key no documentada: Restore o migración se complican innecesariamente. Guardar la SSMK inmediatamente en el gestor de contraseñas.
  • WebAdmin accesible desde WAN o redes cliente: Bots, fuerza bruta y superficie de ataque innecesaria son más probables. Device Access y Local Service ACL Exception Rules deben ser estrictos.
  • MFA activado sin fallback: Los admins pueden bloquearse por problemas de token, hora o grupos. Probar antes segundo admin, acceso break-glass y proceso de tokens.
  • Logging olvidado en reglas: La resolución de problemas posterior queda ciega. Log firewall traffic debe estar activo en reglas importantes.
  • DNS resuelto solo con resolver público: Los nombres internos no funcionan de forma fiable. Planificar DNS internos y DNS request routes.
  • NAT esperado sin regla de firewall correspondiente: Servidores o servicios no son accesibles pese al NAT. Revisar siempre NAT y regla de firewall juntos.
  • Firmware update instalado sin backup: Falta el camino de vuelta si aparecen problemas. Revisar backup, release notes y ventana de mantenimiento antes de updates.

FAQ

¿Está Sophos Firewall configurado de manera segura después del asistente de configuración?

No. El asistente de configuración crea una configuración básica. Después, se deben verificar conscientemente zonas, acceso al dispositivo, reglas de firewall, NAT, registros, copias de seguridad, firmware y funciones de protección.

¿Es necesario usar Sophos Central para un Sophos Firewall?

No. Un solo firewall puede ser operado localmente a través de WebAdmin. Sophos Central es útil para gestión central, copias de seguridad, informes y múltiples firewalls, pero no reemplaza la documentación operativa local.

¿Qué dirección se usa para el primer acceso a Sophos Firewall?

A menudo, el primer acceso se realiza a través de https://172.16.16.16:4444. En modelos con puerto de gestión dedicado, también puede ser relevante https://10.0.1.1:4444. El comportamiento exacto depende del modelo y la conexión.

¿Por qué es importante la clave maestra de almacenamiento seguro?

La clave maestra de almacenamiento seguro protege datos de configuración sensibles y es importante para ciertos escenarios de restauración. Debe documentarse de manera segura inmediatamente después de la configuración.

¿Qué se debe asegurar primero después de la configuración inicial?

Primero se deben verificar la contraseña de administrador, la clave maestra de almacenamiento seguro, la copia de seguridad, el estado de la licencia, el estado del firmware, el acceso al dispositivo, el segundo acceso de administrador y el plan de MFA. Luego siguen zonas, reglas, NAT, DNS, DHCP, registros y perfiles de protección.