Ir al contenido
Avanet

Uso de categorías web y alertas instantáneas en Sophos Firewall

Sophos Firewall

Las categorías web en Sophos Firewall son más que un simple filtro web para sitios no deseados. Utilizadas correctamente, ayudan a limitar el comportamiento de navegación riesgoso, registrar categorías de manera precisa y reaccionar más rápidamente ante accesos críticos.

Con alertas instantáneas, el firewall puede enviar notificaciones por correo electrónico para categorías web seleccionadas. Esto es especialmente útil en escuelas, áreas empresariales sensibles o entornos donde ciertos accesos web no deberían detectarse solo en el informe mensual.

Es importante tener expectativas claras: las categorías web, grupos de URL, políticas web, inspección TLS, manejo de QUIC, registros e informes deben estar alineados. Si solo se activa una categoría pero la política web no se utiliza en una regla de firewall, no ocurrirá nada en el tráfico productivo.

Para la planificación general de políticas web, primero configure Protección web de Sophos Firewall con políticas web. Para la base de reglas, consulte Entender y configurar correctamente las reglas de Sophos Firewall. Este artículo se centra en la parte operativa web: categorías, grupos de URL, alertas instantáneas, evaluación y reacción.

Separar términos claramente

Sophos utiliza varios objetos web que pueden confundirse fácilmente en el día a día.

TérminoFunciónUso típico
Categoría webCategoría para dominios, URLs o palabras clave. Muchas categorías provienen de Sophos, pero es posible crear categorías propias.Permitir, bloquear, limitar o informar accesos web según riesgo o contenido.
Grupo de URLLista de dominios que puede usarse en políticas web o excepciones TLS.Listas de permitidos o bloqueados explícitas, cuando dominios específicos son más importantes que las categorías.
Política webConjunto de reglas para usuarios, grupos, categorías, grupos de URL, tipos de archivos, filtros de contenido y acciones.Controlar accesos web y vincular con una regla de firewall.
Alertas instantáneasNotificación por correo electrónico para accesos a categorías monitoreadas.Notificación rápida para categorías especialmente sensibles o de alto riesgo.
Visor de registros e informesEvaluación de la decisión real.Verificar si la categoría, política, usuario y regla de firewall funcionan como se espera.

Una política web solo tiene efecto cuando se selecciona en una regla de firewall adecuada bajo Security features > Web filtering. La política web por sí sola no es una regla productiva.

Cuándo son útiles las categorías web

Las categorías web son especialmente útiles cuando los accesos web no solo deben permitirse o bloquearse de manera general. Escenarios típicos:

  • Bloquear categorías de malware, phishing y fraude.
  • Restringir anonimato, proxies y servicios de evasión.
  • Monitorear especialmente categorías de Command-and-Control o spyware.
  • Bloquear categorías como contenido para adultos, juegos de azar o sustancias controladas según el entorno.
  • Permitir aplicaciones en la nube críticas para el negocio, pero restringir servicios de nube privada o intercambio de archivos.
  • En escuelas o entornos supervisados, monitorear categorías especialmente sensibles con alertas instantáneas.
  • Limitar el ancho de banda para ciertas categorías web mediante modelado de tráfico.

Las categorías no deben configurarse indiscriminadamente para bloquear o alertar. De lo contrario, se generan muchos aciertos que nadie puede revisar de manera efectiva. Es mejor un conjunto pequeño y claro con propietario, ruta de reacción y revisión.

Requisitos previos

Antes de la configuración, deben aclararse los siguientes puntos:

  • Se ha licenciado Protección web o un paquete adecuado de Sophos Firewall.
  • Existe una regla de cliente o usuario que debe usar filtrado web.
  • Se ha planificado la coincidencia de usuarios o grupos si las políticas deben aplicarse por usuario.
  • Log firewall traffic está activo en la regla de firewall relevante.
  • Los tipos de registro adecuados están activados en System services > Log settings.
  • Las notificaciones por correo electrónico funcionan si se van a utilizar alertas instantáneas.
  • Para evaluación a largo plazo, se ha planificado Sophos Central Firewall Reporting o Syslog.
  • QUIC e inspección TLS se han decidido conscientemente.

Para la evaluación centralizada, consulte Activar Central Firewall Reporting. Si los registros deben enviarse a un SIEM propio, el artículo de conexión adecuado es Enviar Syslog de Sophos Firewall a SIEM.

Planificar categorías y grupos de URL

Para los administradores, es importante saber cuándo es mejor una categoría web propia y cuándo un grupo de URL.

Una categoría web propia es útil cuando:

  • Se deben usar dominios o palabras clave como categoría en varias políticas web.
  • La categoría debe ser visible en informes y registros.
  • Se ha planificado un concepto de modelado de tráfico por categoría.
  • Se debe crear una categoría monitoreada para alertas instantáneas.

Un grupo de URL suele ser mejor cuando:

  • Solo se recopilan dominios específicos.
  • Se necesita una lista pequeña de permitidos o bloqueados.
  • La lista también debe usarse para excepciones TLS.
  • Se debe evitar la coincidencia de palabras clave.

Los grupos de URL son a menudo más eficientes y menos propensos a falsos positivos que las categorías con palabras clave en coincidencias de dominio puras. Las categorías de palabras clave deben usarse con moderación, especialmente para reglas de permitidos.

¿Bloquear, alertar o solo informar?

No todas las categorías necesitan el mismo tratamiento. Un buen diseño de protección web separa las decisiones de seguridad estrictas de las advertencias y la evaluación pura.

TratamientoAdecuado paraRiesgo operativo
BloquearMalware, phishing, servicios de evasión conocidos, categorías claramente prohibidasun sitio legítimo puede ser bloqueado si la categoría es incorrecta
AdvertirÁreas grises, entornos de capacitación, categorías conscientemente permitidaslos usuarios se acostumbran a las advertencias y hacen clic automáticamente para continuar
Alerta instantáneapocas categorías con verdadera obligación de reaccióndemasiadas alertas conducen a fatiga de alerta
Solo informaranálisis de tendencias, informes de uso, señales débileslos aciertos solo se hacen visibles más tarde

Para entornos productivos, a menudo es mejor una selección pequeña y clara que un catálogo máximo. Si nadie evalúa una alerta, la categoría no debe configurarse como alerta instantánea. Si una categoría siempre debe bloquearse, una alerta adicional solo es útil si resulta en un seguimiento concreto.

Crear o ajustar una categoría web

La ruta del menú es:

Web > Categories

Proceso básico:

  1. Editar una categoría existente o seleccionar Add.
  2. Asignar un nombre.
  3. Seleccionar la clasificación.
  4. Opcionalmente, seleccionar una política de modelado de tráfico.
  5. Elegir el tipo de configuración.
  6. Agregar dominios o palabras clave.
  7. Opcionalmente, activar Instant alerts.
  8. Guardar.

En categorías propias, el nombre debe describir claramente el propósito. Nombres como Custom1 o Blocklist no son útiles más adelante. Es mejor usar nombres como Alert_Self_Harm, Block_Proxy_Anonymizer o Allow_Business_Cloud_Exceptions.

Los dominios se verifican contra el nombre de dominio en la URL e incluyen automáticamente subdominios. Las palabras clave, en cambio, se verifican contra la URL completa, incluyendo la ruta y la consulta. Esto puede ser útil, pero genera más fácilmente falsos positivos.

Si se utiliza una base de datos de URL externa, el firewall verifica esta lista cada 48 horas para actualizaciones. Este intervalo no se puede cambiar. Para listas de bloqueo públicas, se debe verificar si Configurar y operar de manera segura Sophos Firewall Threat Feeds es una mejor opción técnica.

Configurar la política web

La ruta del menú es:

Web > Policies

Una política web contiene reglas para usuarios, grupos, actividades, categorías, grupos de URL, tipos de archivos, filtros de contenido, acciones y horarios.

Proceso básico:

  1. Crear una nueva política web o editar una política existente.
  2. Agregar una regla.
  3. Seleccionar usuarios o grupos si la política debe aplicarse por usuario.
  4. Seleccionar categorías o grupos de URL.
  5. Establecer la acción para HTTP.
  6. Verificar acción separada para HTTPS.
  7. Establecer un horario si es necesario.
  8. Activar el estado de la regla.
  9. Verificar la posición de la regla.
  10. Guardar.

El orden dentro de la política web es crucial. Las reglas se evalúan de arriba a abajo. Una regla de permitidos amplia por encima de una regla de bloqueos específica puede hacer que la regla de bloqueos nunca se aplique.

Si los usuarios están configurados en la regla de firewall y en la política web, se debe probar conscientemente el efecto. Los usuarios en las reglas de firewall pueden tener prioridad sobre los usuarios en las políticas web. En caso de aciertos poco claros, no solo se debe verificar la política web, sino también la regla de firewall.

Activar la política web en la regla de firewall

La ruta del menú es:

Rules and policies > Firewall rules > [Rule] > Security features > Web filtering

Proceso básico:

  1. Abrir la regla de cliente o servidor relevante.
  2. Verificar zona de origen, red de origen, zona de destino y servicios.
  3. Activar Log firewall traffic.
  4. En Web filtering, seleccionar la política web deseada.
  5. Activar o desactivar conscientemente Block QUIC protocol.
  6. Verificar configuraciones de escaneo de malware y escaneo HTTPS.
  7. Guardar.
  8. Probar con el probador de políticas, el visor de registros y el tráfico real del cliente.

QUIC es un factor perturbador común para el filtrado web. Cuando los navegadores se comunican a través de UDP 443, la lógica y la visibilidad no siempre coinciden con la expectativa de HTTPS clásico a través de TCP. Para más detalles, consulte Bloquear correctamente QUIC y HTTP/3 en Sophos Firewall.

Si los contenidos HTTPS o las rutas completas de URL son relevantes, la categorización web por sí sola no siempre es suficiente. Entonces, debe planificarse la inspección TLS. Esto no debe hacerse de manera improvisada, ya que afecta certificados, excepciones, privacidad, rendimiento y procesos de soporte. El despliegue está descrito en Implementar correctamente la inspección TLS en Sophos Firewall.

Activar alertas instantáneas

Las alertas instantáneas se activan a nivel de categoría.

La ruta del menú es:

Web > Categories

Proceso básico:

  1. Editar la categoría.
  2. Seleccionar conscientemente la categoría para monitoreo.
  3. Activar Instant alerts.
  4. Guardar.
  5. Abrir System services > Notifications list.
  6. Buscar Web - Instant alerts.
  7. Activar la casilla bajo Email.
  8. Verificar envío de correo y destinatarios.
  9. Generar un acceso de prueba y verificar la notificación.

El firewall envía notificaciones por correo electrónico para categorías monitoreadas en lotes cada cinco minutos. Este intervalo no se puede cambiar. Por lo tanto, una alerta no es una alarma en tiempo real al segundo, sino una notificación por correo electrónico rápida en comparación con los informes puramente posteriores.

Las alertas instantáneas solo deben activarse para categorías donde un destinatario definido pueda realmente reaccionar. Una lista grande de alertas sin responsabilidad generalmente conduce a fatiga de alerta.

Privacidad y responsabilidad interna

Las alertas de categorías web pueden contener información sobre el usuario, IP de origen, momento, categoría y, dependiendo de la visibilidad, también información de destino. Esto es útil para la seguridad y operación, pero puede plantear preguntas laborales o de privacidad según la organización.

Antes de la implementación productiva, debe aclararse:

  • ¿Quién puede ver las alertas web?
  • ¿Qué aciertos se revisan solo técnicamente y cuáles se tratan como incidentes de seguridad?
  • ¿Cuánto tiempo se conservan los correos electrónicos de alerta, informes o eventos SIEM?
  • ¿La evaluación se coordina con RRHH, privacidad o políticas internas?
  • ¿Cómo se evita que se sobreinterpreten aciertos individuales inofensivos?

Técnicamente, la configuración se activa rápidamente. Operativamente, debe tratarse como un pequeño proceso de monitoreo: destinatarios, propósito, ruta de reacción y conservación deben estar alineados.

Establecer triage de alertas

Las alertas instantáneas no deben tratarse todas por igual. Un solo acierto de categoría puede ser un clic accidental inofensivo, un servicio mal clasificado, un problema de política o un verdadero incidente de seguridad. Por lo tanto, debe definirse de antemano qué aciertos se revisan de inmediato y cuáles solo se incluyen en la revisión normal.

Una triage simple ayuda:

PrioridadCategoría o situación típicaReacción
AltaMalware, phishing, Command-and-Control, categorías de exploits o spywarerevisar rápidamente el visor de registros, usuario, estado del endpoint y otros registros de seguridad
MediaAnonimizadores, proxy, intercambio de archivos, almacenamiento en la nube privado o evasión repetida de políticasrevisar patrones, aclarar contexto del usuario y ajustar la política
Bajaáreas grises individuales sin repeticiónincluir en informes o revisión semanal, no escalar de inmediato
Falso positivositio necesario para el negocio mal clasificadorevisar grupo de URL o ajuste de categoría, no establecer una regla amplia de permitidos

Esta clasificación no debe existir solo en la mente de un administrador. Es útil una breve nota operativa: categorías monitoreadas, destinatarios, tiempo de reacción, ruta de escalación, excepciones permitidas y fecha de revisión. Esto mantiene claro si una alerta solo debe documentarse, corregirse técnicamente o tratarse como un incidente.

Probar y evaluar

Después de cada cambio, no solo se debe guardar, sino también verificar el efecto.

Pasos de verificación útiles:

  1. Abrir Web > Policies > Policy tester.
  2. Probar usuario, URL y política.
  3. En un cliente de prueba, acceder a un sitio web adecuado.
  4. Abrir Log viewer.
  5. Verificar registros de filtrado web, firewall, inspección SSL/TLS y control de aplicaciones.
  6. Verificar en la regla de firewall si el acierto está en la regla esperada.
  7. En alertas instantáneas, verificar la recepción de correo electrónico.
  8. Verificar en Sophos Central o SIEM si los eventos llegan allí.

El probador de políticas es útil, pero no reemplaza un flujo de paquetes real. Si una regla no coincide, una ruta SD-WAN decide de otra manera o TLS/QUIC cambia el camino, a menudo solo se ve en el visor de registros o en la captura de paquetes. Para tales casos, consulte Probar regla de firewall con visor de registros, prueba de políticas y captura de paquetes.

Para la asignación de archivos de registro, consulte Solución de problemas de Sophos Firewall: Servicios y registros. Allí se incluyen awarrenhttp.log, webproxy.log y nSXLd.log para preguntas de web y categorización.

Errores típicos

SíntomaCausa comúnVerificación
La política web no se aplicaLa política no está seleccionada en la regla de firewallVerificar regla de firewall bajo Web filtering
La categoría se permite aunque debería bloquearseUna regla de permitidos amplia está por encima de la regla de bloqueosVerificar orden en políticas web y reglas de firewall
No hay alerta instantáneaLa categoría no está monitoreada o la notificación no está activa por correo electrónicoVerificar Web > Categories y System services > Notifications list
No hay información de usuario en el registroEl usuario no es reconocido o la regla no coincide por usuarioVerificar autenticación, STAS, portal cautivo o usuario sin cliente
HTTPS se permite inesperadamenteNo hay inspección TLS adecuada o acción HTTPSVerificar política web, reglas de inspección SSL/TLS y descifrado
El filtro web parece incompletoQUIC o ruta de tráfico incorrectaVerificar Block QUIC protocol, servicios y visor de registros
Demasiadas alertasCategorías elegidas demasiado ampliasReducir lista de alertas y establecer propietario
Falta dominio en registro/informeCategoría especialmente crítica está anonimizadaVerificar categoría y comportamiento de Sophos

Sophos bloquea sitios web de la categoría actividad criminal altamente objetable de manera predeterminada y oculta el nombre de dominio en registros e informes. Si una entrada en esta área aparece anonimizada, esto puede ser intencional.

Establecer reacción a alertas instantáneas

Una alerta instantánea solo es útil si después está claro qué debe suceder. De lo contrario, se genera tráfico de correo electrónico adicional, pero no una mejor seguridad. Antes de la activación, debe definirse un flujo de reacción simple.

Para cada tipo de categoría monitoreada, al menos debe estar claro:

Pregunta¿Por qué es importante?
¿Quién recibe la alerta?Evita distribuidores sin responsabilidad.
¿Qué tan rápido se debe reaccionar?Separa aciertos críticos de la mera revisión.
¿Qué registros se revisan?El visor de registros, Central Reporting, Syslog o registros de servicios ofrecen diferentes profundidades.
¿Cuándo es un acierto un incidente?No todos los aciertos de categoría son automáticamente un incidente de seguridad.
¿Quién puede aprobar una excepción?Evita reglas rápidas y amplias de permitidos sin evaluación de riesgos.
¿Cuándo se revisa la selección de categorías?Reduce la fatiga de alerta debido a conjuntos de alertas demasiado amplios.

Un flujo pragmático se ve así:

  1. Registrar alerta con usuario, IP de origen, categoría, URL o dominio y momento.
  2. Verificar en el visor de registros qué regla de firewall y política web se aplicaron.
  3. Si está disponible, usar Central Reporting o SIEM para la contextualización temporal.
  4. Determinar si es un caso aislado, un patrón repetido o un falso positivo.
  5. En caso de clasificación incorrecta, trabajar solo con grupo de URL o ajuste de categoría.
  6. En caso de patrón sospechoso, evaluar contexto del usuario, estado del endpoint y otros registros de seguridad.
  7. Documentar decisión: ignorar, observar, bloquear, excepción, incidente.

Para análisis técnico detallado, consulte Solución de problemas de Sophos Firewall: Servicios y registros, Activar Central Firewall Reporting y Enviar Syslog de Sophos Firewall a SIEM. Si no está claro si se ha alcanzado la regla de firewall correcta, consulte Probar regla de firewall con visor de registros, prueba de políticas y captura de paquetes.

Recomendación operativa

Para entornos productivos, es útil un modelo de tres etapas:

  1. Bloquear: Bloquear malware, phishing, fraude, Command-and-Control, anonimato y otras categorías claramente riesgosas.
  2. Monitorear: Configurar alertas instantáneas para pocas categorías sensibles.
  3. Evaluar: Revisar regularmente informes web, Central Reporting o SIEM.

La frontera más importante es organizativa: una alerta necesita un destinatario, un tiempo de reacción y una decisión sobre qué hacer con los aciertos. De lo contrario, las alertas instantáneas solo generan ruido adicional en el correo electrónico.

Lista de verificación

  • Licencia de Protección web verificada.
  • Regla de firewall relevante identificada.
  • Política web creada o ajustada.
  • Política web seleccionada en la regla de firewall.
  • Log firewall traffic activado en la regla.
  • Block QUIC protocol decidido conscientemente.
  • Inspección TLS planificada conscientemente o no utilizada conscientemente.
  • Categorías críticas definidas.
  • Alertas instantáneas activadas solo para pocas categorías claras.
  • System services > Notifications list > Web - Instant alerts activado por correo electrónico.
  • Prueba realizada con el probador de políticas.
  • Prueba realizada con tráfico real del cliente.
  • Visor de registros verificado.
  • Central Reporting o Syslog verificado, si se espera evaluación centralizada.
  • Propietario y ruta de reacción para alertas documentados.

Preguntas frecuentes

¿Cuál es la diferencia entre categoría web y grupo de URL?

Una categoría web asigna dominios, URLs o palabras clave a una categoría y puede usarse en políticas web, informes y alertas instantáneas. Un grupo de URL es una lista de dominios explícita, especialmente adecuada para listas de permitidos o bloqueados concretas.

¿Por qué no se aplica una política web?

A menudo, la política web no está seleccionada en la regla de firewall adecuada, la regla no coincide o una regla más general está por encima. Además, la asignación de usuarios, servicios, QUIC o inspección TLS pueden cambiar el efecto esperado.

¿Son las alertas instantáneas verdaderas alarmas en tiempo real?

No al segundo. Las notificaciones por correo electrónico para categorías monitoreadas se envían en lotes cada cinco minutos. Para muchos casos operativos, esto es lo suficientemente rápido, pero no reemplaza un SIEM o monitoreo SOC.

¿Deberían configurarse alertas instantáneas para todas las categorías riesgosas?

No. Demasiadas alertas generan ruido. Es mejor una selección pequeña con responsabilidad clara, por ejemplo, categorías especialmente sensibles o con alto valor de investigación.

¿Se necesita inspección TLS para categorías web?

No siempre. Muchas categorías funcionan mediante evaluación de URL o dominio. Para rutas completas de URL, contenidos, descargas y ciertas funciones de protección, la inspección TLS puede ser crucial. Su implementación debe planificarse y probarse.