Ir al contenido
Avanet

Configurar Sophos Firewall tras el Setup Wizard

Sophos Firewall

Sophos Firewall es el núcleo de una de las mejores plataformas de seguridad de red del mundo. Este artículo describe los pasos para poner en marcha una nueva Sophos Firewall y configurarla correctamente. Se tratan los requisitos para la configuración, el registro de la firewall, la integración con Sophos Central y la activación de licencias.

Naturalmente, con un vídeo es más sencillo, y Sophos ya ha creado uno bastante útil.

Sophos Firewall: configuración básica y registro

Requisitos para la configuración

Antes de empezar a configurar Sophos Firewall, deben cumplirse algunos requisitos:

  1. Conexión a Internet activa: la firewall necesita una conexión a Internet funcional para el registro y la sincronización de licencias.
  2. Configuración DNS: debe configurarse un servidor DNS público, como 8.8.8.8 (Google DNS).
  3. Puerto 443 permitido: el tráfico saliente por el puerto 443 debe estar permitido en todos los dispositivos upstream.

Es opcional crear previamente una cuenta de Sophos Central. Este artículo también muestra cómo realizar este paso durante la configuración.

Conexiones y configuración de red

Después de desembalar la Sophos Firewall, por ejemplo el modelo XGS 118, hay que tener en cuenta lo siguiente:

  1. Conexión WAN: conectar la interfaz WAN al puerto 2 para establecer la conexión a Internet.
  2. Conexión LAN: conectar la interfaz LAN del puerto 1 a un dispositivo local. El dispositivo recibe automáticamente una dirección IP en la subred 172.16.16.x.
  3. Interfaz de gestión (si existe): en modelos superiores suele haber un puerto de gestión dedicado (MGMT) con la IP predeterminada 10.0.1.1. Se recomienda usar este puerto para la configuración básica.

Acceso a la interfaz web

Para configurar Sophos Firewall se accede al Web UI mediante un navegador. Según la interfaz utilizada, se usa una de estas URL:

  • Puerto LAN: https://172.16.16.16:4444
  • Puerto Management: https://10.0.1.1:4444

En el primer acceso aparece una advertencia sobre el certificado autofirmado, que debe aceptarse. Después se abre la página de bienvenida.

Configuración inicial con el Setup Wizard

  1. Definir la contraseña de admin: debe asignarse y confirmarse una nueva contraseña para el usuario admin.
  2. Actualización de firmware: si es necesario, el firmware más reciente se instala automáticamente durante la configuración.
  3. Secure Storage Master Key: se crea un Master Key para el almacenamiento seguro, usado para cifrar datos sensibles. Esta clave debe guardarse en un gestor de contraseñas. Es necesaria, entre otras cosas, cuando se quiere restaurar un backup cifrado en una nueva firewall. Si se pierde el Master Key, puede restablecerse con la contraseña de admin y acceso SSH. Sin embargo, los datos o backups protegidos con la clave anterior no se pueden restaurar automáticamente sin pasos adicionales.

Comprobación de conexión a Internet y DNS

En el siguiente paso se comprueba si la firewall tiene una conexión a Internet funcional. Si aparecen problemas, los ajustes pueden modificarse manualmente. Se recomienda usar un servidor DNS público como 8.8.8.8.

Registro de Sophos Firewall

Sophos Firewall puede registrarse de inmediato o más tarde. Sin registro, la firewall puede utilizarse hasta 30 días. El registro se realiza mediante la plataforma Sophos Central.

Pasos de registro

  1. Reclamar la firewall en Sophos Central: tras registrar la firewall, se reclama en Sophos Central. Si aún no existe una cuenta Sophos Central, puede crearse directamente durante la configuración.
  2. Registro OTP: para el registro se utiliza una One-Time Password (OTP) proporcionada por Sophos Central.

Activación de licencias

Tras el registro, Sophos Firewall comprueba sus licencias en el servidor de licencias de Sophos. Desde octubre de 2024, Sophos normalmente activa directamente las licencias al realizar la compra. Si la firewall tiene acceso a Internet, obtiene automáticamente la información de licencia actual.

En Avanet el proceso es similar: al comprar una suscripción de Sophos Firewall, normalmente activamos las licencias para el cliente. Si al hacer el pedido se solicita una fecha concreta de inicio, puede tenerse en cuenta. Así, el servidor de licencias de Sophos ya dispone de la información y la firewall puede asumir la licencia automáticamente tras el registro.

Después de la configuración, revisar en Administration > Licensing que Base License, Support y las subscriptions contratadas se muestran correctamente. Si la información no está actualizada, la sincronización de licencias puede iniciarse manualmente con el botón de sincronización.

Conexión con Sophos Central

Para operar una única Sophos Firewall, Sophos Central no es obligatorio. La firewall puede administrarse completamente en local mediante WebAdmin. Sin embargo, Sophos Central ofrece varias ventajas cuando se desean usar estas funciones de forma consciente:

  • vista centralizada de una o varias firewalls
  • acceso de gestión mediante Sophos Central sin publicar WebAdmin directamente en Internet
  • almacenamiento de backups de configuración en Sophos Central
  • Central Firewall Reporting con datos de logs e informes en la nube
  • según la licencia, mayor retención de logs y funciones adicionales de reporting
  • Synchronized Security con Sophos Endpoint, por ejemplo Security Heartbeat y respuestas automatizadas ante dispositivos comprometidos

Importante: vincular la firewall a la nube no es obligatorio. Si solo se quiere administrar una firewall local, se puede seguir haciendo. Quien utiliza varios productos Sophos o varias firewalls obtiene con Sophos Central mucha más visibilidad.

Más información en Conectar Sophos Firewall con Sophos Central: ventajas y límites.

Pasos para conectar con Sophos Central

  1. Firewall Management en Sophos Central: en el dashboard de Sophos Central, bajo “Firewall Management”, se puede añadir la firewall introduciendo el número de serie.
  2. Autenticación OTP: se usa un código OTP para completar el registro.
  3. Activar servicios: finalmente se activan los servicios Sophos Central en la firewall.

Finalización de la configuración

Una vez finalizada la configuración, la firewall se reinicia. Tras el reinicio, las licencias pueden revisarse y activarse de nuevo. Además, se configuran backups automáticos de la configuración que se envían semanalmente por correo electrónico.

Qué hacer después del Setup Wizard

Después del Setup Wizard, Sophos Firewall está accesible, registrada y básicamente lista para usar. Pero eso no significa que el entorno ya esté segmentado correctamente o completamente protegido. El wizard crea una primera configuración base, pero el trabajo productivo empieza después: interfaces, zonas, Device Access, DNS, DHCP, Firewall Rules, NAT, logs, backups y perfiles de protección deben revisarse de forma consciente.

Sophos Firewall no es un router doméstico con el que se termina tras el wizard. Puede proteger muy bien una red, pero solo si la arquitectura es correcta: las zonas deben ajustarse a la lógica de seguridad, los accesos de gestión deben limitarse, las reglas deben crearse y documentarse con intención, y funciones como web filtering, IPS, Application Control o TLS Inspection deben activarse y probarse de forma específica. Una firewall mal configurada puede generar una falsa sensación de seguridad.

El primer vistazo útil está en Control Center. Allí se ve el estado del sistema, tráfico, información de usuarios y dispositivos, Active Threat Response, Firewall Rules activas, informes y avisos como nuevo firmware. Las advertencias y avisos de esta zona no deben descartarse sin más, sino utilizarse como checklist práctica para el trabajo posterior.

Revisar firmware, licencia y backup

Abrir Backup & firmware y comprobar si el firmware activo está actualizado. Las actualizaciones de firmware son relevantes para la seguridad porque incorporan correcciones de errores, mejoras de estabilidad y security fixes. No conviene posponerlas indefinidamente, pero tampoco instalarlas sin preparación.

Sophos Firewall trabaja con dos slots de firmware. Esto permite arrancar de nuevo con una versión anterior si hay problemas. Aun así, antes de cada cambio importante debe crearse un backup manual. En firewalls productivas se planifica una ventana de mantenimiento y se revisan release notes, estado HA, espacio libre, dependencias VPN y accesibilidad externa.

En Backup & firmware también debe configurarse un backup regular. Los backups cifrados requieren una contraseña de backup. Para restaurar datos sensibles también es relevante el Secure Storage Master Key. Esta clave debe guardarse obligatoriamente en un gestor de contraseñas. Si se pierde, puede restablecerse por consola, pero los backups protegidos existentes ya no se podrán restaurar normalmente con la nueva clave.

Después, revisar en Administration > Licensing que el registro, Base License y las subscriptions contratadas se muestran correctamente. Sin la licencia adecuada, muchas funciones de protección no funcionan o funcionan solo con limitaciones. Para actualizaciones ayudan Sophos Firewall Firmware Update - preparación y mejores prácticas y Actualizar el firmware en Sophos Firewall. Los backups se explican en detalle en Crear o restaurar un backup de Sophos Firewall.

Planificar bien zonas e interfaces

En appliances hardware, el wizard puede agrupar varios puertos LAN en un bridge. Esto es práctico para empezar rápido, pero no siempre es la mejor arquitectura final. En Network > Interfaces, comprobar qué puertos, VLANs, bridges o LAGs se necesitan realmente.

Cada interfaz está asignada exactamente a una zona. Esta asignación determina después cómo se aplican Firewall Rules, Device Access y perfiles de protección. Zonas productivas típicas son, por ejemplo, LAN, Server, DMZ, Guest, VoIP, Management o VPN. No cada VLAN necesita necesariamente su propia zona, pero cada zona debe tener un significado claro de seguridad.

Más información en Planificar y configurar zonas e interfaces de Sophos Firewall.

Proteger Device Access

Un error frecuente tras la configuración inicial es permitir demasiado acceso de gestión. El acceso a servicios locales de la firewall, como Web Admin, SSH, User Portal, DNS o Ping, no se controla mediante Firewall Rules normales. Para eso está Administration > Device access.

En sistemas productivos, HTTPS y SSH no deben permitirse de forma amplia desde zonas no confiables. Si se necesita acceso externo, conviene usar una Local service ACL exception rule y limitar el acceso a direcciones IP fijas o redes de gestión definidas. Como alternativa, Sophos Central Firewall Management suele ser la solución más limpia.

Más información en Proteger el acceso a Sophos Firewall: configurar correctamente Device Access.

Revisar DNS, DHCP y resolución interna de nombres

En Network > DNS se define cómo recibe la firewall los servidores DNS: mediante DHCP, datos PPPoE del proveedor o configuración estática. Para dominios internos se deben usar DNS request routes, de modo que las consultas de zonas internas vayan al servidor DNS interno correcto.

DHCP se configura por interfaz en Network > DHCP. Es importante ajustar correctamente los rangos DHCP a la estructura de interfaces y VLANs. Si DHCP debe reenviarse a través de enlaces VPN, la firewall también puede funcionar como DHCP Relay. Para dominios internos ayuda Configurar DNS request routes en Sophos Firewall. Las opciones DHCP especiales se describen en Configurar Sophos Firewall DHCP Options.

Revisar las primeras Firewall y NAT Rules

La regla Default-Outbound creada por el wizard no debe aceptarse a ciegas. En Rules and policies > Firewall rules, revisar qué zonas de origen están permitidas, qué destinos deben ser alcanzables y qué Security Features están activas. Las reglas se procesan de arriba abajo; gana la primera regla coincidente.

Para NAT: NAT por sí solo no permite tráfico. Siempre se necesita también una Firewall Rule adecuada. Para configuraciones nuevas, las reglas NAT independientes suelen ser más claras que las Linked NAT Rules. Las bases están en Entender y configurar correctamente Sophos Firewall Rules y Entender NAT en Sophos Firewall: SNAT, DNAT, MASQ, PAT. Si se debe publicar un servidor interno, ver Publicar un servidor con DNAT en Sophos Firewall.

Preparar logging y troubleshooting

Activar Log firewall traffic en Firewall Rules importantes, porque de lo contrario más adelante suele faltar justo la información necesaria para el troubleshooting. Muchas personas no lo tienen claro: si una Firewall Rule no registra logs, el tráfico correspondiente tampoco aparece de forma útil en Log Viewer. Quizá se vean otros eventos del sistema, pero no la decisión concreta de la regla que realmente se busca.

En System services > Log settings se define qué tipos de log se envían localmente, a servidores syslog o a Sophos Central. La firewall tiene archivos de log locales y una base de datos interna de reporting, pero no están pensados como archivo a largo plazo durante semanas, meses o años. Si los logs deben conservarse de forma duradera o buscarse centralmente, se necesita un servidor syslog externo o Sophos Central Firewall Reporting.

Para Sophos Central, de forma general: con una firewall subscription activa, Central Firewall Reports está disponible durante un periodo limitado. Con Xstream Protection o Central Orchestration son posibles análisis más largos. Con Sophos Central Firewall Reporting Advanced se obtiene almacenamiento adicional y una retención mucho más larga. Los detalles se explican en el artículo dedicado al reporting.

Para los primeros análisis suelen bastar Log viewer, Policy tester y Packet capture. Para análisis más profundos se pueden recopilar CLI logs, activar debug logs o usar tcpdump. Los debug logs deben activarse solo de forma específica y durante un tiempo limitado, porque generan muchos más datos. Probar Firewall Rules con Log Viewer, Policy Test y Packet Capture muestra cómo probar reglas. Para Packet Capture, nombres de servicios y archivos de log, ver Usar Packet Capture en WebAdmin y Entender servicios y archivos de log de Sophos Firewall. Si los logs deben enviarse a Sophos Central o recopilarse para soporte, ayudan Activar Central Firewall Reporting y Guardar logs de Sophos Firewall para análisis externo.

Soporte

Después de la configuración básica, Sophos Firewall es funcional y está lista para su uso. Sin embargo, hay que tener en cuenta que en este estado todavía está lejos de ser completamente segura. El trabajo real empieza ahora: configurar interfaces, zonas, Firewall Rules, Intrusion Prevention Systems (IPS), crear policies y más es imprescindible para una solución de seguridad de red robusta.

Nuestro plan a largo plazo es crear vídeos detallados para cada uno de estos pasos, con el fin de facilitar la configuración y garantizar la mejor seguridad posible. Mientras tanto, nuestro equipo de soporte está disponible para ayudar con la configuración, optimización o migración de Sophos Firewall.