Ir al contenido
Avanet

Verificación de Sophos Firewall antes de actualizar a SFOS 22

Sophos Firewall

SFOS 22 trae cambios arquitectónicos importantes a Sophos Firewall. Por lo tanto, para los administradores no solo es relevante conocer las nuevas funciones disponibles tras la actualización. Primero es más importante saber si su firewall puede actualizarse correctamente a SFOS 22.

Esta guía sirve como una verificación previa a la actualización. El artículo no reemplaza la guía general para la Actualización de firmware de Sophos Firewall, sino que la complementa con los puntos que pueden causar problemas rápidamente en SFOS 22: plataforma soportada, nombres de interfaces, espacio de almacenamiento, respaldo, estado de HA, IPsec de acceso remoto heredado, IPsec basado en políticas, NAT y plan de reversión.

Vídeo tutorial

Este Techvid de Sophos complementa la lista de comprobación previa y muestra qué revisar antes de pasar a SFOS 22.

Cuándo es útil esta verificación

La verificación debe realizarse antes de cada actualización planificada a SFOS 22 o superior. Es especialmente importante si se cumple alguna de las siguientes situaciones:

  • el firewall aún funciona en hardware XG o SG
  • el dispositivo ya ha sido actualizado a través de varias versiones principales
  • hay muchos VLANs, alias, puentes, LAGs, interfaces RED o XFRM
  • se trata de un pequeño dispositivo de escritorio, firewall virtual o dispositivo de software
  • el firewall opera en un clúster HA
  • se utiliza o se ha utilizado VPN IPsec de acceso remoto
  • se utilizan IPsec de sitio a sitio basado en políticas, reglas SNAT especiales o reglas VPN-NAT
  • STAS u otra autenticación basada en usuarios controla reglas de firewall productivas
  • el firewall es administrado a través de Sophos Central o se planea actualizarlo a través de él

Si el firewall ya es inestable en el uso diario, los servicios deben reiniciarse regularmente o las particiones están muy llenas, la actualización no debe considerarse un intento de reparación. En este caso, primero estabilice el estado actual y aclare la causa.

1. Verificar plataforma y ruta de actualización

SFOS 22.0 y versiones posteriores ya no son compatibles con dispositivos de hardware XG y SG. Aquellos que aún operan estos dispositivos deben planificar primero la migración a XGS, firewall virtual, dispositivo de software o implementación en la nube. Para la decisión entre generaciones de hardware antiguas y nuevas, el artículo ¿Cuál es la diferencia entre un firewall XG y XGS? puede ser útil.

En plataformas compatibles, también se debe verificar desde qué versión se está actualizando. Las Notas de la versión de SFOS 22 muestran qué versiones pueden migrarse directamente a SFOS 22. Si se elige una ruta no compatible, el firewall puede iniciar con la configuración de fábrica después de la confirmación. Este riesgo debe excluirse antes de una ventana de mantenimiento.

Procedimiento práctico:

  1. Anotar la versión actual del firmware en Backup & Firmware > Firmware.
  2. Documentar el modelo, número de serie y tipo de plataforma.
  3. Verificar en las notas de la versión oficiales de Sophos si la ruta de actualización directa es compatible.
  4. En hardware XG o SG, no tratar la planificación de SFOS 22 como una actualización normal, sino como un proyecto de migración.

2. Verificar nombres de interfaces antes de la actualización

Un punto de actualización fácil de pasar por alto se refiere a los nombres de las interfaces. Las interfaces físicas o lógicas pueden no ser visibles o desplegables en la vista WebAdmin bajo Network > Interfaces si un nombre de interfaz, nombre de hardware o nombre de sucursal termina con diez o más dígitos.

Esto es incómodo porque el tráfico puede seguir siendo procesado, pero la administración en WebAdmin de repente parece como si faltaran interfaces. Especialmente en migraciones, esquemas de nombres automatizados, configuraciones importadas o nombres de VLAN con números de ubicación, cliente o inventario, se debe verificar este punto antes de la actualización.

Ejemplos críticos:

EjemploRiesgo
VLAN_1234567890termina con diez dígitos
Branch_1000000001el nombre de la sucursal puede interferir con la visualización
PortA_2026010101se pretende que sea descriptivo, pero el final numérico es arriesgado

Procedimiento práctico:

  1. Abrir Network > Interfaces.
  2. Verificar interfaces físicas, VLANs, alias, puentes, LAGs, interfaces RED y XFRM.
  3. Buscar nombres que terminen con diez o más dígitos.
  4. Cambiar los nombres afectados a una escritura más corta o claramente separada antes de la actualización.
  5. Después del cambio, verificar si las reglas de firewall, reglas NAT, rutas SD-WAN, DHCP, VPN y documentación siguen siendo comprensibles.

Son mejores los nombres donde los números no están al final como un bloque largo. En lugar de VLAN_1234567890, por ejemplo, VLAN-1234567890-Client o un nombre funcional como Client-VLAN-100 es más legible y operativo.

Si después de una actualización faltan interfaces en la vista WebAdmin, no se debe asumir inmediatamente que la configuración de red se ha perdido. Primero verifique si el comportamiento se ajusta al problema del nombre de la interfaz, si el tráfico sigue fluyendo y si los nombres afectados deben ajustarse. Para la planificación general de interfaces, consulte Configurar zonas e interfaces de Sophos Firewall.

3. Verificar espacio de almacenamiento y notas de firmware

SFOS 22 requiere espacio de almacenamiento adicional para nuevas funciones y cambios arquitectónicos. La mayoría de los dispositivos cumplen con los requisitos, pero algunas implementaciones de escritorio, virtuales y de software pueden necesitar una verificación o corrección manual. Si el firewall muestra un mensaje sobre requisitos de espacio de almacenamiento en la página del Centro de Control o de Firmware, no debe ignorarse.

A través de SSH, se puede verificar el nivel de llenado de las particiones de manera general:

df -kh

La salida no reemplaza una verificación de compatibilidad de Sophos, pero ayuda a evaluar si /, /var, /content u otras particiones están notablemente llenas. Si una partición está muy ajustada, no se debe actualizar ciegamente. Primero aclare qué datos están allí, si se pueden limpiar registros o archivos antiguos y si existe una advertencia de Sophos para el dispositivo afectado.

También es importante la planificación del tiempo: si el firewall necesita ajustar particiones durante la actualización, la actualización puede tardar más que una versión de mantenimiento normal. Por lo tanto, la ventana de mantenimiento no debe planificarse demasiado ajustada.

4. Preparar respaldo y recuperación

Antes de la actualización, se necesita un respaldo reciente. Esto puede parecer trivial, pero es crucial en versiones principales. El respaldo no solo debe generarse, sino también ser localizable, descifrable y asignable a un dispositivo específico. El artículo Crear o restaurar un respaldo de Sophos Firewall explica los puntos más importantes sobre respaldo, restauración y la clave maestra de almacenamiento seguro.

Antes de SFOS 22, al menos estos puntos deben completarse:

  • crear un respaldo de configuración actual y almacenarlo externamente
  • documentar la clave maestra de almacenamiento seguro si se utilizan respaldos cifrados
  • verificar el acceso de administrador local y a través de la red de mantenimiento
  • verificar el estado de la licencia y el acceso a Sophos Central
  • tener a mano la imagen de firmware actual y el firmware de destino
  • definir la decisión de reversión: cuándo esperar, cuándo revertir

En ubicaciones críticas, también debe estar claro quién tiene acceso físico al dispositivo y cómo se realizaría una reinstalación si es necesario. La reinstalación es un procedimiento diferente a una actualización de firmware normal. Para ello, existe la guía separada Reinstalar Sophos Firewall OS.

5. Establecer Go/No-Go antes de la ventana de mantenimiento

Una actualización a SFOS 22 no debe decidirse durante la ventana de mantenimiento. Debe estar claro de antemano bajo qué condiciones se inicia, se espera, se cancela o se revierte. Esto reduce decisiones apresuradas si el firewall tarda más, un nodo HA no se sincroniza o un servicio crítico no funciona después del reinicio.

Puntos de Go/No-Go razonables:

PreguntaGoNo-Go
Plataforma compatible con SFOS 22Modelo y ruta de actualización verificadosHardware XG/SG o ruta de actualización poco clara
Respaldo y SSMKRespaldo almacenado externamente y datos de restauración disponiblesRespaldo falta, no se encuentra o falta SSMK
IPsec de acceso remotoConfiguración heredada excluida o migradaConfiguración heredada presente o poco clara
IPsec de sitio a sitioIPsec basado en políticas, NAT y tráfico de prueba documentadosSelectores de tráfico, SNAT o contraparte poco claros
Estado de HAClúster estable y sincronizadoHA degradado, no sincronizado o no aclarado
AccesoAcceso de administrador local y red de mantenimiento verificadosAcceso depende solo de una ruta remota insegura
ReversiónPunto de decisión y responsables definidosNadie decide de manera vinculante sobre esperar o revertir

Para ubicaciones distribuidas, también debe estar claro quién está disponible durante la ventana de mantenimiento: persona de contacto técnico, contacto en el sitio, persona con acceso físico y responsable de la decisión de reversión. Si la actualización se realiza de forma remota, también se debe verificar si hay acceso alternativo disponible en caso de que VPN, WAN o Central Management no funcionen temporalmente.

Un plan de reversión no es una debilidad del cambio. Evita que durante una interrupción se cambien simultáneamente firmware, enrutamiento, VPN, HA y conmutación. Si después de la actualización falla un servicio crítico, primero se debe seguir el plan de validación definido. Solo después se decide si una reversión, una restauración, una reinstalación o una solución de problemas específica es más adecuada.

6. Preparar adecuadamente el clúster HA

En clústeres HA, no solo se debe considerar el firewall activo. Ambos nodos deben ser compatibles, tener el mismo estado inicial razonable y sincronizarse correctamente. Una actualización en un clúster HA ya comprometido aumenta el riesgo de fallos innecesarios.

Antes de la ventana de mantenimiento, verifique:

  • System services > High availability muestra un estado HA saludable.
  • Ambos dispositivos son del mismo modelo o una combinación HA compatible.
  • Estado del firmware, estado de la licencia y suscripción son plausibles.
  • El enlace HA, los puertos monitoreados y los puertos de conmutador conectados son estables.
  • Está documentado qué dispositivo estaba activo antes de la actualización.

Para la planificación general de HA y las particularidades de Active-Passive, Active-Active, licenciamiento y mantenimiento, consulte el artículo Variantes de clúster HA de Sophos Firewall.

7. Buscar IPsec de acceso remoto heredado

A partir de SFOS 22.0 MR1, el VPN IPsec de acceso remoto heredado ya no es compatible. Los firewalls con esta configuración heredada no pueden actualizarse a SFOS 22.0 MR1 o posterior. Esto es un típico bloqueador de actualización, ya que el IPsec de acceso remoto en entornos antiguos a menudo se configuró una vez y luego no se tocó durante mucho tiempo.

Antes de la actualización, se debe verificar si existen configuraciones antiguas de IPsec de acceso remoto. Si es así, primero se debe migrar a la configuración actual de IPsec de acceso remoto, SSL VPN, ZTNA u otro diseño de acceso remoto adecuado. El procedimiento concreto se encuentra en Migrar IPsec de acceso remoto heredado antes de SFOS 22 MR1. Para la solución de problemas general de IPsec, también es útil Solución de problemas de VPN IPsec de Sophos Firewall.

Procedimiento práctico:

  1. Abrir la sección Remote access VPN en WebAdmin.
  2. Verificar si existe una configuración de IPsec de acceso remoto heredada.
  3. Documentar usuarios afectados, perfiles, grupos, autenticación y configuraciones distribuidas de Sophos Connect.
  4. Planificar la configuración de reemplazo y probar con algunos usuarios de prueba.
  5. Solo después de una migración exitosa, eliminar la configuración heredada y volver a verificar la actualización del firmware.

Si se utiliza Sophos Connect, también se deben considerar las guías existentes para la Configuración de firewall de Sophos Connect, la Instalación en Windows y la Instalación en macOS.

8. Verificar IPsec basado en políticas y NAT

SFOS 22.0 GA y versiones posteriores cambian el comportamiento de la VPN IPsec de sitio a sitio basada en políticas. Además, en las notas de la versión de SFOS 22 se documenta un problema resuelto donde el tráfico IPsec basado en políticas podía fallar si la regla SNAT predeterminada estaba configurada con una dirección IP estática en lugar de MASQ.

Esto no es razón para reconstruir cada configuración de IPsec de antemano. Pero es una buena razón para probar conscientemente el IPsec basado en políticas antes y después de la actualización. Es especialmente importante si el firewall utiliza múltiples VPNs, redes superpuestas, reglas SNAT específicas, una regla SNAT predeterminada ajustada o redes de socios con expectativas de IP de origen fijas.

Antes de la actualización, verifique:

  1. Identificar túneles de sitio a sitio basados en políticas.
  2. Documentar redes locales y remotas o selectores de tráfico.
  3. Verificar reglas NAT en tráfico VPN, especialmente SNAT predeterminado, MASQ, reglas SNAT específicas y orden de reglas.
  4. Definir un caso de prueba por túnel importante con origen, destino, servicio y dirección esperada.
  5. Documentar la contraparte y el camino de retorno para que una prueba posterior a la actualización no solo sea “el ping no funciona”.

Después de la actualización, no mezcle estas pruebas con verificaciones generales. Es mejor una prueba estrecha por túnel: comparar Log Viewer, Packet Capture, ID de regla de firewall, ID de regla NAT y contador de bytes en ipsec statusall. Si el túnel está verde pero no fluye tráfico útil, consulte Solución de problemas de VPN IPsec de Sophos Firewall. Para la comprensión de NAT, consulte Entender NAT en Sophos Firewall.

9. Verificar STAS y reglas basadas en usuarios

Si STAS está activo, no debe considerarse simplemente como “funciona en el día a día” antes de SFOS 22.0 MR1 o posterior. En la lista de problemas conocidos se documenta un problema donde la opción Restringir tráfico del cliente durante la sonda de identidad puede bloquear una actualización a SFOS 22.0 MR1 o causar sondas de identidad repetidas con interrupciones de tráfico después de la actualización.

Esto afecta principalmente a entornos donde STAS no solo se utiliza para informes, sino para reglas de firewall productivas basadas en usuarios. Si la asignación de IP de usuario se interrumpe brevemente, en la operación parece rápidamente un problema de reglas, DNS o aplicaciones.

Antes de la actualización, verifique:

  1. Abrir Authentication > STAS.
  2. Verificar el estado de STAS y los colectores utilizados.
  3. Verificar si Restringir tráfico del cliente durante la sonda de identidad está activo.
  4. Identificar reglas basadas en usuarios que dependen de STAS.
  5. Registrar un usuario de prueba y verificar Usuarios en vivo y Log Viewer.

Si esta opción está activa o ya se notan interrupciones breves, el punto debe aclararse antes de la ventana de mantenimiento. El procedimiento detallado se encuentra en Configurar STAS en Sophos Firewall.

10. Validar específicamente después de la actualización

Después del reinicio, la actualización no se completa automáticamente. Solo cuando se han verificado las funciones operativas más importantes, la ventana de mantenimiento se cierra correctamente.

Verificar al menos:

  • la versión correcta del firmware está activa
  • Network > Interfaces muestra interfaces físicas y lógicas de manera plausible
  • el acceso a Internet y las reglas de firewall centrales funcionan
  • VPN de sitio a sitio y VPN de acceso remoto funcionan
  • las pruebas de IPsec basadas en políticas muestran la IP de origen esperada y la regla NAT adecuada
  • el estado de HA está nuevamente sincronizado
  • STAS, AD SSO u otra asignación de usuarios funciona, si se utiliza productivamente
  • Sophos Central Management y Reporting envían datos
  • Log Viewer no muestra nuevos errores críticos
  • servicios importantes como DNS, DHCP, Protección Web, IPS y autenticación funcionan como se espera

Si VPN, enrutamiento o reglas no funcionan como se espera, no cambie inmediatamente en varios lugares a la vez. Primero delimite con Log Viewer, Policy Test, Packet Capture y los registros de servicio afectados. Para una solución de problemas estructurada, Probar reglas de firewall con Log Viewer, Policy Test y Packet Capture y Solución de problemas de Sophos Firewall: Servicios y registros son complementos útiles.

11. Asegurar evidencia y documentación operativa

Una actualización solo se completa correctamente cuando el resultado está documentado de manera comprensible. Esto ayuda en interrupciones posteriores, auditorías, casos de soporte y en la próxima ventana de mantenimiento. Justo después de la actualización, no solo se debe anotar “funciona de nuevo”, sino asegurar pruebas concretas.

Pruebas útiles:

PruebaPor qué es importante
Captura de pantalla de Backup & Firmware > Firmwaremuestra la versión de destino, el firmware activo y las imágenes disponibles
Captura de pantalla de System services > High availabilitymuestra el rol de HA, sincronización y estado del clúster después de la actualización
Exportación o captura de pantalla de registros de auditoría relevantesmuestra qué cambios se realizaron durante la ventana de mantenimiento
Control de Central o Syslogmuestra si los registros e informes siguen llegando después de la actualización
Lista de tareas pendientesevita que los arreglos temporales se olviden permanentemente

Si se realizaron cambios en reglas, interfaces, hosts o servicios, también se deben verificar los Registros de auditoría de configuración. En entornos con retención de registros prolongada, también es importante una verificación de Central Firewall Reporting o Syslog al finalizar.

En el caso de múltiples firewalls, también es importante que los respaldos se puedan asignar claramente. En versiones más recientes de SFOS, los correos electrónicos de respaldo contienen más datos de identificación como nombre de host, versión de firmware, número de serie y modelo. Sin embargo, internamente se debe seguir llevando una nota de actualización simple: firewall, ubicación, versión antigua, nueva versión, ventana de tiempo, persona responsable, resultado de la prueba y puntos pendientes.

Si después de la actualización se notan advertencias de almacenamiento, hardware o SSD, no debe pasarse por alto en el ticket de firmware. Para esta verificación, consulte Verificar el estado de salud del SSD en Sophos Firewall.

Lista de verificación para la ventana de mantenimiento

Antes de la actualización

  • Plataforma y ruta de actualización verificadas
  • Notas de la versión y advertencias conocidas leídas
  • Nombres de interfaces con diez o más dígitos finales excluidos
  • Espacio de almacenamiento y advertencias de firmware verificadas
  • Respaldo creado y almacenado externamente
  • Clave maestra de almacenamiento seguro disponible
  • Decisión de Go/No-Go, plan de reversión y responsables definidos
  • Estado de HA documentado
  • IPsec basado en políticas, VPN-NAT y tráfico de prueba documentados, si se utilizan
  • STAS y reglas basadas en usuarios verificadas, si se utilizan
  • IPsec de acceso remoto heredado excluido o migrado
  • Plan de reversión definido

Durante la actualización

  • Documentar mensajes de estado
  • No realizar cambios paralelos en enrutamiento, VPN o conmutación
  • Observar failover y sincronización en clústeres HA
  • Cumplir con el punto de decisión para esperar, analizar errores o revertir
  • No confirmar ciegamente mensajes inesperados, sino verificar la causa

Después de la actualización

  • Verificar versión de firmware y estado de licencia
  • Probar VPN, enrutamiento, DNS, DHCP y reglas de firewall centrales
  • Verificar IPsec basado en políticas con prueba de origen/destino definida, si se utiliza
  • Verificar STAS, AD SSO y reglas basadas en usuarios con usuario de prueba
  • Verificar sincronización de HA y conexión a Sophos Central
  • Controlar Log Viewer y registros de servicios relevantes
  • Asegurar pruebas de firmware, HA y auditoría
  • Documentar resultado y puntos pendientes en el diario operativo

Preguntas frecuentes

¿Se puede actualizar cualquier Sophos Firewall a SFOS 22?

No. SFOS 22 ya no es compatible con dispositivos de hardware XG y SG. En plataformas compatibles, además, la ruta de actualización debe ser adecuada.

¿Por qué es más importante el espacio de almacenamiento en SFOS 22 que en actualizaciones normales?

SFOS 22 requiere espacio de almacenamiento adicional para nuevas funciones y cambios arquitectónicos. En ciertas implementaciones, puede ser necesario ajustar la partición raíz durante la actualización o realizar una preparación manual.

¿Por qué se deben verificar los nombres de interfaces antes de la actualización?

Si los nombres de interfaces, nombres de hardware o nombres de sucursales terminan con diez o más dígitos, las interfaces pueden no ser visibles o desplegables bajo Network > Interfaces después de la actualización. El tráfico puede continuar, pero la administración en WebAdmin se vuelve innecesariamente difícil. Por lo tanto, estos nombres deben limpiarse antes de la ventana de mantenimiento.

¿El IPsec de acceso remoto heredado realmente bloquea la actualización?

Sí. A partir de SFOS 22.0 MR1, un firewall con configuración de IPsec de acceso remoto heredado no puede actualizarse a esta versión o posterior. La configuración debe migrarse o eliminarse previamente.

¿Es necesario verificar el IPsec basado en políticas antes de SFOS 22?

Sí, si se utilizan estos túneles de sitio a sitio de manera productiva. SFOS 22 cambia el comportamiento del tráfico IPsec basado en políticas. Por lo tanto, se deben documentar los selectores de tráfico, reglas NAT, SNAT predeterminado, contraparte y un tráfico de prueba concreto antes de la ventana de mantenimiento.

¿Por qué es relevante STAS antes de SFOS 22 MR1?

Si STAS se utiliza con Restringir tráfico del cliente durante la sonda de identidad, esta configuración puede bloquear una actualización a SFOS 22.0 MR1 o causar sondas de identidad repetidas con interrupciones de tráfico después de la actualización. Por lo tanto, STAS debe verificarse antes de la ventana de mantenimiento.

¿Es suficiente un respaldo automático por correo electrónico?

No siempre. Lo crucial es que el respaldo sea localizable, descifrable y utilizable en caso de emergencia. En respaldos cifrados, la clave maestra de almacenamiento seguro adecuada debe estar disponible.