Ir al contenido
Avanet

Clasificar de manera segura el cliente Sophos SSL VPN en el inicio automático

El antiguo cliente Sophos SSL VPN para Windows puede iniciarse automáticamente al iniciar sesión en Windows y conectar una configuración específica de OpenVPN. Esto es técnicamente posible, pero no debe confundirse con una recomendación estándar segura. Especialmente crítico es el inicio de sesión automático con un password.txt, ya que el nombre de usuario y la contraseña se almacenan en texto claro en el cliente.

Para nuevas configuraciones de acceso remoto, primero se debe verificar si Sophos Connect, los perfiles SSL-VPN actuales, MFA o Microsoft Entra ID SSO son más adecuados. Esta guía está destinada principalmente a entornos antiguos, clientes especiales o excepciones controladas donde todavía se utiliza el antiguo cliente SSL VPN.

Diferenciar entre inicio automático, conexión automática e inicio de sesión automático

Los tres términos a menudo se confunden, pero implican riesgos diferentes:

FunciónSignificadoRiesgo
Inicio automáticoEl cliente VPN se inicia al iniciar sesión en Windows.bajo a medio
Conexión automáticaEl cliente se inicia directamente con un archivo .ovpn específico.medio
Inicio de sesión automáticoEl nombre de usuario y la contraseña se pasan automáticamente.alto

El inicio automático y la conexión automática pueden ser útiles en ciertos entornos si un dispositivo debe establecer una conexión inmediatamente después de iniciar sesión. El inicio de sesión automático es un caso especial. Una vez que la contraseña se almacena como un archivo en el cliente, la seguridad depende en gran medida del dispositivo Windows, el perfil de usuario, los permisos de archivo, los permisos de VPN y la protección contra robos.

⚠️ El inicio de sesión automático con password.txt almacena las credenciales en texto claro. No debe usarse para cuentas de usuario normales, administradores, dispositivos compartidos o perfiles VPN con amplios permisos.

Cuándo puede ser útil este enfoque

El enfoque de inicio automático puede ser útil como solución de transición si un cliente de Windows debe abrir automáticamente una conexión SSL-VPN conocida después de iniciar sesión y el entorno aún no se ha migrado a Sophos Connect u otro modelo de acceso remoto.

Casos típicos:

  • un cliente de mantenimiento dedicado con permisos limitados
  • un sistema de laboratorio o de prueba
  • un dispositivo especial que necesita una conexión fija después de iniciar sesión
  • un entorno antiguo donde Sophos Connect aún no se ha implementado

Este enfoque no es adecuado para dispositivos utilizados por varias personas, para accesos de administrador privilegiados, para clientes de Windows no cifrados o mal gestionados y para entornos donde se debe aplicar MFA de manera estricta.

Requisitos previos

Antes de implementar, deben estar claros estos puntos:

  • El antiguo cliente Sophos SSL VPN está instalado en Windows.
  • Hay una configuración .ovpn funcional disponible localmente.
  • El usuario de VPN afectado solo tiene los accesos realmente necesarios.
  • El dispositivo Windows está gestionado, cifrado y protegido contra accesos locales no autorizados.
  • Está documentado por qué se necesita la conexión automática o el inicio de sesión automático.
  • Para el uso productivo, existe un plan de reversión.

Si el cliente aún no está instalado, la guía Cliente Sophos SSL VPN en Windows con SFOS puede ser útil. Para versiones actuales del cliente, también es relevante Verificar y actualizar de manera segura la versión del cliente Sophos Connect.

Desactivar la entrada de inicio automático existente

El antiguo cliente SSL VPN a menudo crea una entrada de inicio automático durante la instalación. Si se utiliza una línea de inicio automático propia con parámetros, primero se debe desactivar la entrada existente para evitar que el cliente se inicie dos veces.

Desactivar la entrada de inicio automático del cliente Sophos SSL VPN en el Administrador de tareas de Windows
La entrada de inicio automático existente debe desactivarse antes de agregar un comando de inicio propio con parámetros de OpenVPN.
  1. Abrir el Administrador de tareas.
  2. Cambiar a la pestaña Inicio o Autostart.
  3. Seleccionar SSL VPN Client for Windows.
  4. Desactivar la entrada.

En versiones antiguas de Windows, la carpeta clásica de inicio automático también puede ser relevante. En entornos gestionados, también se debe verificar si un proceso de distribución de software o GPO restaura la entrada más tarde.

Preparar el comando para la conexión automática

Para la conexión automática, se inicia openvpn-gui.exe con la ruta al directorio de configuración y el nombre del archivo .ovpn deseado.

Esquema:

"C:\Program Files (x86)\Sophos\Sophos SSL VPN Client\bin\openvpn-gui.exe" --config_dir "C:\Program Files (x86)\Sophos\Sophos SSL VPN Client\config\" --connect profilname.ovpn

Dependiendo de la instalación de Windows y del cliente, las rutas pueden variar:

ComponenteRuta típica
openvpn-gui.exe en Windows de 64 bitsC:\Program Files (x86)\Sophos\Sophos SSL VPN Client\bin\openvpn-gui.exe
openvpn-gui.exe en Windows de 32 bitsC:\Program Files\Sophos\Sophos SSL VPN Client\bin\openvpn-gui.exe
Directorio de configuración en Windows de 64 bitsC:\Program Files (x86)\Sophos\Sophos SSL VPN Client\config\
Directorio de configuración en Windows de 32 bitsC:\Program Files\Sophos\Sophos SSL VPN Client\config\
Directorio de configuración del cliente Sophos SSL VPN con perfil OpenVPN
El comando de inicio debe apuntar al directorio de configuración correcto y al archivo OVPN correcto.

Ejemplo:

"C:\Program Files (x86)\Sophos\Sophos SSL VPN Client\bin\openvpn-gui.exe" --config_dir "C:\Program Files (x86)\Sophos\Sophos SSL VPN Client\config\" --connect avanet@example-firewall.ovpn

Es importante el nombre exacto del archivo .ovpn. Si hay espacios o caracteres especiales en el nombre del archivo, el comando debe probarse con especial cuidado. En muchos entornos, un nombre de perfil corto sin espacios es más fácil de mantener.

Crear entrada de inicio automático en el registro

La entrada se puede agregar en Run bajo el usuario actual de Windows. Esto hace que el cliente se inicie al iniciar sesión este usuario, no a nivel del sistema antes de cada inicio de sesión de usuario.

Crear entrada de inicio automático del cliente Sophos SSL VPN en el registro de Windows
Una entrada HKCU-Run inicia el cliente al iniciar sesión del usuario actual de Windows.
  1. Abrir el Editor del registro.
  2. Navegar a esta ruta:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
  1. Crear un nuevo Valor de cadena en la columna derecha.
  2. Asignar un nombre único, por ejemplo, sophos-ssl-vpn.
  3. Insertar el comando openvpn-gui.exe preparado como valor.
  4. Cerrar sesión y volver a iniciar sesión en Windows.
  5. Verificar si el cliente se inicia y selecciona la conexión deseada.

Si solo se necesita el inicio automático y la conexión automática, se debe detener aquí. En este estado, el usuario aún debe ingresar la contraseña de VPN. Desde el punto de vista de la seguridad, esta suele ser la mejor opción.

Usar el inicio de sesión automático solo como excepción

El inicio de sesión automático en el antiguo cliente basado en OpenVPN se controla mediante la línea auth-user-pass en el archivo .ovpn. Si se especifica un archivo allí, el cliente lee el nombre de usuario y la contraseña de ese archivo.

Ejemplo en el archivo .ovpn:

auth-user-pass password.txt

El archivo password.txt se encuentra en la misma carpeta que el archivo .ovpn y contiene dos líneas:

supportuser
MuySecretaContraseña

Este método es técnicamente simple, pero débil en términos de seguridad. Quien tenga acceso al archivo tiene las credenciales de acceso VPN. Por lo tanto, esta variante solo debe usarse si el riesgo se acepta y limita conscientemente.

Controles mínimos para una excepción:

  • usuario de VPN propio solo para este propósito
  • sin credenciales de administrador o administrador compartido
  • política de VPN y reglas de firewall fuertemente limitadas
  • sin acceso a redes de gestión, controladores de dominio o sistemas de respaldo, a menos que sea absolutamente necesario
  • dispositivo Windows con BitLocker o cifrado comparable
  • sin usuarios estándar locales con acceso al archivo
  • fecha de vencimiento o revisión documentada para la excepción

Configurar el inicio de sesión automático

Si se necesita el inicio de sesión automático a pesar del riesgo, el cambio debe documentarse y probarse adecuadamente.

  1. Iniciar el editor como administrador.
  2. Abrir el archivo .ovpn utilizado en el directorio de configuración de Sophos SSL VPN.
  3. Buscar la línea auth-user-pass.
  4. Cambiar la línea a auth-user-pass password.txt.
  5. Crear un archivo password.txt en la misma carpeta.
  6. Ingresar el nombre de usuario en la primera línea.
  7. Ingresar la contraseña en la segunda línea.
  8. Guardar el archivo.
  9. Verificar los permisos del archivo y eliminar accesos innecesarios.
  10. Volver a iniciar sesión en Windows y probar la conexión VPN.

Después de la prueba, se debe verificar si el usuario de VPN solo alcanza los objetivos previstos. Si el perfil permite redes internas demasiado amplias, un atajo de comodidad puede convertirse rápidamente en un acceso de seguridad innecesariamente grande.

Validación después de la configuración

Después de la configuración, no basta con mirar solo el símbolo verde de VPN. Es importante verificar si se ha establecido exactamente la conexión esperada y si los permisos son correctos.

Verificar:

  • ¿El cliente se inicia solo una vez?
  • ¿Se utiliza el archivo .ovpn correcto?
  • ¿La conexión se establece solo después de iniciar sesión en Windows?
  • ¿Funcionan la resolución DNS y los sistemas de destino internos?
  • ¿La regla de acceso remoto esperada se aplica en el firewall?
  • ¿Son visibles en el Log Viewer los eventos de usuario y VPN esperados?
  • ¿El usuario de VPN solo puede acceder a las redes necesarias?

Para problemas de conexión después de un inicio de sesión exitoso, ayudan Probar regla de firewall con Log Viewer, Policy Test y Packet Capture y Solución de problemas de Sophos Firewall: Servicios y registros. Si solo algunas aplicaciones se bloquean a través de VPN, también se debe verificar MTU y MSS en problemas de VPN.

Errores típicos

SíntomaCausa probableVerificación
El cliente no se iniciaRuta del registro o comando incorrectoVerificar entrada Run y rutas
El cliente se inicia dos vecesEntrada de inicio automático antigua aún activaVerificar Administrador de tareas y carpeta de inicio automático
No se encuentra el perfilNombre de archivo incorrecto o config_dir incorrectoComparar nombre de .ovpn exactamente
Se sigue solicitando la contraseñaauth-user-pass password.txt no está en el archivo OVPN activoVerificar perfil utilizado y ruta del archivo
El inicio de sesión funciona, pero los objetivos internos no son accesiblesLa política de VPN, regla de firewall, DNS o enrutamiento no son correctosVerificar Log Viewer, regla de firewall y DNS
El inicio de sesión automático no funciona después de cambiar la contraseñapassword.txt contiene la contraseña antiguaActualizar archivo de contraseña o eliminar inicio de sesión automático

Reversión

Si ya no se necesita el inicio de sesión automático, debe eliminarse por completo.

  1. Eliminar o desactivar la entrada del registro en HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run.
  2. Cambiar auth-user-pass password.txt a auth-user-pass en el archivo .ovpn.
  3. Eliminar password.txt.
  4. Cambiar la contraseña de VPN del usuario afectado.
  5. Verificar en el firewall si el usuario o la regla aún son necesarios.

Si las credenciales se almacenaron en texto claro durante mucho tiempo, no solo se debe eliminar el archivo. La contraseña debe cambiarse y el acceso debe verificarse en los registros.

Lista de verificación

  • Inicio automático sin inicio de sesión automático verificado.
  • Evaluado un mejor modelo de acceso remoto como Sophos Connect, MFA o Entra ID SSO.
  • Usuario de VPN dedicado utilizado si es necesario el inicio de sesión automático.
  • Reglas de VPN y firewall limitadas al mínimo.
  • password.txt no utilizado para cuentas de administrador o compartidas.
  • Dispositivo Windows está cifrado y gestionado.
  • Log Viewer muestra los eventos de VPN esperados.
  • Reversión y fecha de revisión documentadas.

Preguntas frecuentes

¿Es seguro el inicio de sesión automático con el cliente Sophos SSL VPN?

No, no como estándar. El inicio de sesión automático con password.txt almacena el nombre de usuario y la contraseña en texto claro. Esto puede aceptarse en casos especiales muy limitados, pero no debe usarse para accesos de usuario o administrador normales.

¿Se puede iniciar automáticamente el cliente Sophos SSL VPN sin guardar la contraseña?

Sí. El cliente puede iniciarse automáticamente y --connect con una configuración específica. Luego, el usuario debe seguir ingresando la contraseña.

¿Cuál es la mejor alternativa al inicio de sesión automático?

Para nuevas configuraciones, se debe considerar Sophos Connect, perfiles SSL-VPN actuales, MFA, Entra ID SSO o, según la arquitectura, ZTNA. La variante adecuada depende del sistema operativo, la autenticación, los grupos de usuarios y los requisitos de seguridad.

¿Se debe usar password.txt con una cuenta de usuario normal?

Solo si se acepta conscientemente el riesgo. Es mejor una cuenta dedicada con derechos mínimos, reglas de firewall claramente limitadas y una fecha de vencimiento documentada.

¿Por qué el cliente se conecta automáticamente pero los sistemas internos no son accesibles?

Entonces, el inicio de sesión VPN no es el problema real. A menudo faltan reglas de firewall adecuadas, configuraciones de DNS, rutas o permisos en la política de acceso remoto.