Configurar el monitoreo de hardware SNMP en Sophos Firewall

Con el monitoreo de hardware SNMP se puede integrar mejor el estado de un Sophos Firewall en un sistema de monitoreo existente. Además de los valores clásicos de accesibilidad e interfaz, desde Sophos Firewall v22 hay métricas de hardware adicionales disponibles a través de la MIB. Dependiendo del modelo, esto incluye temperatura de la CPU, temperatura de la NPU, ventiladores, estado de la fuente de alimentación y valores de PoE.

Esto es especialmente interesante para instalaciones productivas de XGS. Un firewall puede ser accesible en WebAdmin, pero aún así mostrar signos de problemas térmicos, ventiladores defectuosos, una fuente de alimentación fallida o carga PoE inesperada. Tales condiciones no deberían ser detectadas solo en el próximo inicio de sesión manual.

Cuándo es útil SNMP en el firewall

SNMP es útil cuando ya se opera un sistema de monitoreo y se desea supervisar el firewall como un componente de infraestructura.

Casos de uso típicos:

Supervisar el estado del hardware de los dispositivos XGS.
Observar la temperatura de la CPU y la NPU a lo largo del tiempo.
Incluir el estado de los ventiladores y la fuente de alimentación en un NOC o monitoreo MSP.
Controlar la carga PoE en modelos XGS con puertos PoE.
Comparar valores de interfaz con el monitoreo de switches, routers y proveedores.
Correlacionar alertas de firewall, switch, UPS y temperatura ambiental.

SNMP no reemplaza el análisis de registros. Para preguntas de tráfico y seguridad, Log viewer, Central Firewall Reporting, Syslog o un SIEM siguen siendo más importantes. Para patrones de tráfico en interfaces, sFlow Monitoring en Sophos Firewall es más adecuado. SNMP responde principalmente a preguntas de estado: ¿Está el dispositivo accesible, funcionan las interfaces, los valores de hardware son normales y cambian los valores con el tiempo?

Requisitos previos

Antes de la configuración, se deben aclarar estos puntos:

Se dispone de un sistema de monitoreo con soporte SNMP.
El firewall es accesible a través de una red de gestión o monitoreo.
El acceso SNMP está permitido bajo Device Access solo para el sistema de monitoreo.
La MIB adecuada de Sophos Firewall está importada en el sistema de monitoreo.
Está claro qué modelos de firewall se supervisarán y qué valores de hardware proporcionan estos modelos.
Las reglas de alarma están planificadas para informar problemas operativos reales y no solo generar ruido.

⚠️ SNMP no debería ser accesible ampliamente desde zonas de clientes, invitados, IoT o WAN. Los datos de monitoreo pueden revelar el modelo, interfaces, valores de estado y condiciones operativas. El acceso debe estar en una red de gestión o monitoreo de confianza.

Separar claramente SNMP, sFlow y Reporting

SNMP, sFlow y Reporting proporcionan respuestas diferentes.

Herramienta	Buena pregunta	No ideal para
SNMP	¿Es accesible el firewall, cómo son los valores de hardware e interfaz?	Reglas de firewall individuales, bloqueo de URL o errores de VPN
sFlow	¿Qué flujos de tráfico pasan por una interfaz?	Análisis exacto de paquetes o reglas
Log Viewer / Syslog / Central Reporting	¿Qué regla, módulo o usuario estuvo involucrado?	Estado del hardware y valores de sondeo de interfaz a largo plazo
Packet Capture	¿Qué se ve realmente en la interfaz?	Monitoreo permanente

En la práctica, se combinan estas herramientas. SNMP informa, por ejemplo, alta temperatura o errores de interfaz. Luego se revisa Log Viewer, Packet Capture, puerto del switch, temperatura ambiental o el segmento de red afectado.

Qué valores de hardware proporciona SFOS 22

Sophos ha descrito métricas de hardware SNMP adicionales en las notas de la versión de SFOS 22. La disponibilidad depende del modelo de firewall.

Métrica	Según Sophos disponible para
Temperatura de la CPU	todos los modelos XGS
Temperatura de la NPU	Modelos XGS excepto XGS 88/88w, 108/108w, 118/118w, 128/128w
Velocidad del ventilador	Modelos XGS excepto XGS 88/88w y 108/108w
Estado de la fuente de alimentación	XGS 2100 y superiores
Mediciones PoE	Modelos XGS con PoE, excepto XGS 116/116w

Esta tabla es importante para las expectativas. Si un modelo de escritorio pequeño no proporciona valores de ventilador o temperatura de NPU, no es automáticamente un error de monitoreo. Primero se debe verificar si el modelo admite la métrica en cuestión.

Asegurar el acceso SNMP

La primera verificación de seguridad no se realiza en el sistema de monitoreo, sino en el propio firewall.

En Administration > Device access, SNMP solo debe ser accesible desde la red donde se encuentra el servidor de monitoreo. Si el sistema de monitoreo tiene una dirección IP fija única, una Local service ACL exception rule suele ser mejor que una autorización amplia de zona.

Reglas básicas sensatas:

No permitir SNMP desde WAN.
No permitir SNMP para zonas completas de clientes o servidores si solo un host de monitoreo realiza sondeos.
Definir el servidor de monitoreo como un objeto de host propio o red de gestión.
Verificar el acceso después de cambios con Packet Capture o prueba de monitoreo.
Eliminar reglas SNMP no utilizadas y fuentes de monitoreo antiguas.

Device Access controla el tráfico hacia el propio firewall. Una regla de firewall normal para tráfico LAN a WAN no reemplaza esta configuración.

Elegir conscientemente la versión de SNMP

Si es posible, se debe usar SNMPv3, ya que permite autenticación y, con una configuración AuthPriv adecuada, también cifrado. SNMPv1 y SNMPv2c funcionan con Community Strings. Estos Community Strings no son cuentas de usuario, sino secretos compartidos y deben protegerse adecuadamente.

Para SNMPv1/v2c, Sophos menciona un cambio en SFOS 22: se puede agregar el Community String y seleccionar si la configuración es para IPv4 o IPv6. Al actualizar, el firewall adopta los nombres existentes como Community String y genera nombres de objetos migrados con el prefijo snmp.

Después de una actualización, se debe verificar:

¿Existen antiguos Community Strings de SNMPv1/v2c?
¿Los objetos snmp migrados automáticamente están nombrados de manera comprensible?
¿Se necesita realmente IPv4, IPv6 o ambos?
¿Se pueden eliminar fuentes de monitoreo antiguas?
¿Es posible SNMPv3 o se necesita mantener v2c por razones de compatibilidad?

⚠️ Los Community Strings no deben tratarse como etiquetas inofensivas. Estos Strings pertenecen a un concepto de contraseñas o secretos, no deben copiarse en tickets y no deben ser visibles en capturas de pantalla.

Importar MIB y verificar OIDs

Para que un sistema de monitoreo reconozca adecuadamente los valores de Sophos, necesita el archivo MIB adecuado. La MIB describe qué OIDs están disponibles para valores de firewall, interfaz y hardware.

Procedimiento práctico:

Obtener el archivo MIB actual de Sophos Firewall o la documentación adecuada de Sophos.
Importar la MIB en el sistema de monitoreo.
Agregar el firewall con SNMPv3 o una configuración v1/v2c elegida conscientemente.
Permitir que se reconozcan el modelo, la versión de firmware y los OIDs accesibles.
Verificar las métricas de hardware contra el modelo concreto.
Realizar un sondeo manual y validar los valores.
Solo después activar las reglas de alarma.

Después de actualizaciones de firmware, se debe revisar nuevamente la página de MIB. Las nuevas versiones de SFOS pueden agregar OIDs o cambiar áreas existentes. Si un sistema de monitoreo no resuelve correctamente los valores después de una actualización, no se debe sospechar primero del firewall, sino verificar la versión de la MIB, el descubrimiento y la asignación de OID.

Alerta sensata

El monitoreo SNMP solo es útil si las alertas están configuradas de manera sensata. Umbrales demasiado estrechos generan ruido, umbrales demasiado amplios informan problemas demasiado tarde.

Áreas de alarma típicas:

Área	Verificación sensata
Accesibilidad	El firewall ya no responde por SNMP o Ping
Temperatura de la CPU	La temperatura aumenta constantemente por encima del rango normal
Temperatura de la NPU	Tendencia de temperatura inusual o constantemente más alta que los valores de comparación
Velocidad del ventilador	Falta el valor del ventilador, es nulo o está claramente fuera del rango normal
Fuente de alimentación	Falta una fuente de alimentación redundante o informa un error
PoE	La carga PoE se acerca al presupuesto disponible
Interfaces	Puerto caído, contador de errores, ancho de banda inusual

Para los valores de temperatura, una línea base es importante. Un firewall de escritorio pequeño en un armario técnico cálido se comporta de manera diferente a un dispositivo en rack en una sala climatizada. Por lo tanto, primero se debe observar el funcionamiento normal durante algunos días y solo después establecer umbrales productivos.

Establecer un Runbook de alarmas y responsabilidad

Una alarma SNMP solo es útil si después está claro quién reacciona y qué procedimiento se aplica. Los valores de hardware son a menudo indicadores tempranos: un aumento de temperatura, un valor de ventilador faltante o una alarma de fuente de alimentación no significa automáticamente que el dispositivo deba ser reemplazado de inmediato. Sin embargo, significa que el estado debe evaluarse y documentarse.

Para firewalls productivos, debería existir una breve entrada en el Runbook:

Alarma	Primera verificación
Firewall no accesible por SNMP	Verificar red de gestión, Device Access, enrutamiento, servidor de monitoreo y accesibilidad del dispositivo
Temperatura aumenta constantemente	Comparar temperatura ambiental, ventilación, posición en el rack, polvo, carga y tendencia
Falta el valor del ventilador o es inusual	Verificar límite del modelo, valor del sensor, ruido, tendencia de temperatura y relevancia para soporte
Fuente de alimentación informa error	Controlar suministro eléctrico, UPS, cables, fuente de alimentación redundante y riesgo de HA
Carga PoE es alta	Verificar dispositivos conectados, presupuesto PoE y reservas planificadas
Aumentan los errores de interfaz	Verificar cables, puerto del switch, dúplex/velocidad, módulo SFP y entrega del proveedor

Es importante el orden: primero verificar visibilidad y plausibilidad, luego evaluar el riesgo, después preparar el proceso de soporte o reemplazo. En caso de posibles defectos de hardware, también se debe documentar el número de serie, modelo, versión de firmware, momento, métrica afectada, tendencia y captura de pantalla o extracto de monitoreo. Las preguntas de garantía y RMA al final no solo dependen de la alarma, sino del dispositivo concreto, estado de soporte y descripción del error.

Para temas de SSD, SNMP no es el camino principal adecuado. Si el estado del disco o la carga de escritura son el foco, verificar la salud del SSD de Sophos Firewall mediante SMART es más adecuado.

HA-Cluster y múltiples firewalls

En entornos HA, se debe establecer claramente cómo se supervisarán ambos dispositivos. No siempre es suficiente observar solo la dirección del clúster. Para los valores de hardware, a menudo son relevantes ambos dispositivos, ya que un ventilador, fuente de alimentación o puerto en el dispositivo pasivo también puede fallar.

Preguntas importantes:

¿Se reconocen por separado el Primary y el Auxiliary?
¿Ambos dispositivos tienen direcciones IP de gestión propias para monitoreo?
¿Se muestran claramente el número de serie, nombre de host o modelo en el monitoreo?
¿Las alertas siguen siendo comprensibles después de un failover?
¿Se informa también un error de fuente de alimentación en el dispositivo pasivo?

Para el propio funcionamiento de HA, configurar alta disponibilidad en Sophos Firewall es adecuado. SNMP no debe planificarse de manera aislada allí, sino junto con actualizaciones de firmware, pruebas de failover, concepto de respaldo y documentación operativa.

Validación después de la configuración

Después de la configuración de SNMP, no solo se debe verificar si el monitoreo está en verde. Es importante si los datos correctos provienen de la fuente correcta.

Lista de verificación:

El acceso SNMP solo es posible desde la red de monitoreo.
El firewall se reconoce con el nombre de host, modelo y versión de firmware correctos.
La MIB de Sophos está importada y los valores de hardware están claramente nombrados.
Las métricas no soportadas se documentan como límites del modelo, no como errores.
Los valores de temperatura, ventilador, fuente de alimentación y PoE son plausibles.
Se activa una alarma de prueba y llega al destinatario correcto.
En clústeres HA, se verifican ambos dispositivos o la lógica de clúster deseada.
Después de una actualización de firmware, se prueba nuevamente el descubrimiento.

Para preguntas de rendimiento y rendimiento, no se deben sobreinterpretar los valores SNMP. La interpretación de los datos de rendimiento de Sophos se describe en el artículo Entender correctamente los datos de rendimiento de Sophos Firewall.

Solución de problemas

El firewall no responde a SNMP

Primero verificar si el sistema de monitoreo proviene de la zona esperada y si SNMP está permitido bajo Administration > Device access. Luego verificar dirección IP, enrutamiento, reglas ACL locales, versión de SNMP, Community String o credenciales de acceso SNMPv3.

Si no está claro si los paquetes llegan al firewall, ayuda Packet Capture en la interfaz afectada. Una regla de firewall normal no resuelve este problema si el tráfico va hacia el propio firewall.

La MIB se importa, pero faltan valores

Primero verificar si la métrica faltante está disponible para el modelo utilizado. Los modelos XGS pequeños no proporcionan todos los valores de hardware. Luego comparar versión de MIB, asignación de OID y versión de firmware.

Después de la actualización, los objetos SNMP tienen nombres diferentes

Con SNMPv1/v2c, SFOS 22 puede generar objetos migrados con el prefijo snmp. Después de una actualización, se deben verificar los Community Strings, nombres de objetos y descubrimiento de monitoreo. Si el monitoreo trabaja con nombres en lugar de OIDs estables, es posible que se deban ajustar las plantillas.

El monitoreo informa demasiadas alertas de temperatura

Entonces probablemente los umbrales son demasiado estrechos o se establecieron sin una línea base. Primero registrar valores normales durante varios días. Luego establecer umbrales según modelo, ubicación y temperatura ambiental. Picos cortos individuales se deben evaluar de manera diferente a una tendencia de temperatura en aumento constante.

El clúster HA muestra solo un dispositivo

Entonces se debe verificar si el monitoreo solo consulta la dirección del clúster o si ambos dispositivos son accesibles por separado. Para el estado del hardware, el dispositivo pasivo también es relevante. En clústeres productivos, se debe documentar qué dirección IP representa qué dispositivo y qué rol.

Lista de verificación operativa

Permitir SNMP solo desde redes de gestión o monitoreo.
Preferir SNMPv3 si el sistema de monitoreo lo soporta adecuadamente.
Tratar los Community Strings de SNMPv1/v2c como secretos.
Importar la MIB de Sophos y verificar después de actualizaciones de firmware.
Documentar los límites del modelo para valores de hardware.
Establecer umbrales de temperatura y PoE basados en líneas base reales.
Nombrar claramente los dispositivos HA y evaluarlos por separado.
Documentar el Runbook de alarmas con primera verificación, escalación y responsabilidad.
En caso de sospecha de hardware, asegurar modelo, número de serie, versión de firmware y tendencia.
Probar alarmas regularmente y aclarar responsabilidad.
Combinar datos SNMP con registros, sFlow, Packet Capture y Central Reporting.

FAQ

¿Qué valores de hardware de Sophos Firewall se pueden supervisar mediante SNMP?

Desde SFOS 22, dependiendo del modelo XGS, hay valores de hardware adicionales disponibles a través de la MIB: temperatura de la CPU, temperatura de la NPU, velocidad del ventilador, estado de la fuente de alimentación y mediciones PoE. No todos los modelos proporcionan todas las métricas.

¿Debería usarse SNMPv3 para Sophos Firewall?

Si el sistema de monitoreo soporta adecuadamente SNMPv3, SNMPv3 es la mejor opción. SNMPv1 y SNMPv2c utilizan Community Strings y solo deben usarse en redes de gestión estrictamente limitadas.

¿Por qué faltan valores de hardware SNMP en modelos XGS pequeños?

La disponibilidad depende del modelo. Según Sophos, por ejemplo, no todos los modelos de escritorio proporcionan temperatura de NPU, valores de ventilador o mediciones PoE. Los valores faltantes no son automáticamente un error en la configuración SNMP.

¿Es SNMP lo mismo que sFlow en Sophos Firewall?

No. SNMP sondea valores de estado, hardware e interfaz. sFlow envía datos de tráfico muestreados a un colector. Para el estado del hardware, SNMP es adecuado, para el análisis de flujo es más adecuado sFlow.

¿Debe permitirse SNMP en Device Access?

Sí, el acceso a SNMP es un servicio local del firewall y se controla a través de Device Access o Local Service ACL. El servicio solo debe ser accesible para el sistema de monitoreo o una red de monitoreo dedicada.