Sophos Firewall v20 MR1: Nuevas funciones y mejoras

Sophos Firewall v20 MR1 incorpora una serie de nuevas funciones y mejoras que aumentan aún más la seguridad y el rendimiento del cortafuegos. Aquí tienes las novedades más importantes en detalle:

⚠️ Importante para todos los usuarios de RED 15 y RED 50 que aún no hayan actualizado a SD-RED 20 o SD-RED 60. Hace tiempo que en el cortafuegos aparece el mensaje de que las RED son End of Life. Tras esta actualización, los antiguos modelos RED siguen siendo visibles en WebAdmin, pero ya no se conectan al cortafuegos.

Reconocimiento automático de idiomas en el inicio de sesión

El primer cambio puede verse inmediatamente después de arrancar el nuevo firmware Sophos Firewall v20 MR1. Cada uno puede decidir por sí mismo si es bueno o malo, pero por lo que a mí respecta es más bien lo segundo.

El idioma del portal de administración se determina automáticamente en función de la configuración del navegador. Esto también se guarda como una cookie.

Mejora de la seguridad del cortafuegos y del control de acceso

La nueva versión te ofrece un control aún más preciso sobre los servicios accesibles en la WAN. Esto mejora significativamente la seguridad de tu cortafuegos. Lo que no es visible no puede ser atacado.

Las opciones de configuración de la VPN IPsec y la RED son nuevas incorporaciones:

Nuevos servicios en la lista de excepciones ACL Local

Sin embargo, todavía puede haber una gran superficie de ataque detrás de una zona, por lo que es aconsejable definir el acceso de forma aún más precisa en la «Regla de excepción ACL de servicio local».

Se han añadido los siguientes servicios a la lista de excepciones: AD SSO, Portal Cautivo, RADIUS SSO, Autenticación de Clientes, Inalámbrico, SMTP, RED, IPsec y, por último, Chromebook, aunque nunca he visto un Chromebook salvo en YouTube 🤷‍♂️.

Excepciones de control de acceso más flexibles

La nueva versión de Sophos Firewall v20 MR1 mejora significativamente la flexibilidad de las excepciones de control de acceso y añade tres objetos clave.

• Compatibilidad con hosts FQDN: Ahora puedes utilizar nombres de dominio completos (FQDN) en las reglas de excepción. Esto permite un control más preciso del tráfico, controlando el acceso a dominios concretos en función de sus nombres y no sólo de las direcciones IP. Llevaba mucho tiempo esperando esta función (que estaba disponible en el UTM 🤐).

• Grupos de host: La posibilidad de definir y utilizar grupos de host proporciona una mayor flexibilidad en la gestión de las reglas de acceso. Puedes combinar varios hosts en un grupo y luego utilizar este grupo en tus reglas de excepción.

• Direcciones MAC: Además de las direcciones IP, ahora también se pueden incluir direcciones MAC en las excepciones de control de acceso. Esto proporciona un nivel adicional de control, especialmente útil en redes con muchas direcciones IP dinámicas o cambiantes.

Despliegue sin intervención

El despliegue sin intervención es una función avanzada de Sophos Firewall v20 MR1.

En muchos casos, en Avanet sustituimos los cortafuegos existentes 1:1 por otros nuevos, y es importante que esto se haga rápidamente y con el mínimo trastorno. Normalmente preconfiguramos el aparato en nuestra oficina y luego lo enviamos al cliente, donde sólo hay que sustituirlo.

Antes, la Implantación Cero Toques requería una memoria USB para transferir el archivo de configuración al cortafuegos. Sin embargo, esto ya no es necesario con la nueva versión, ya que toda la configuración se puede realizar a través de Sophos Central.

Aquí tienes los pasos y las mejoras en detalle:

1. Introduce el número de serie: El número de serie del nuevo cortafuegos se introduce en Sophos Central. Se utiliza para identificar e inicializar el cortafuegos.
2. Establecer configuración básica: Se define una configuración básica que se utiliza cuando se inicia el cortafuegos por primera vez. Esto incluye ajustes importantes como la zona horaria, el nombre de host del cortafuegos y las configuraciones de red para LAN y WAN.
3. Establece una conexión a Internet: Basta con conectar el cortafuegos a la red in situ, que establece automáticamente una conexión con Sophos Central y descarga la configuración predefinida.
4. Activa la gestión del cortafuegos: Tras conectarte a Sophos Central, el cortafuegos se configura automáticamente y está listo para su uso. A continuación, los administradores pueden realizar más ajustes y configuraciones directamente a través de Sophos Central.

Este método reduce considerablemente el tiempo y la complejidad de la instalación. Además, el cortafuegos puede utilizarse en cuanto se conecta a Internet, lo que acelera todo el proceso.

Ventajas de la implantación sin intervención

• Despliegue rápido: Ideal para lugares donde no hay personal informático in situ. El cortafuegos puede configurarse y estar listo para su uso en cuanto se conecta a la red.
• Gestión centralizada: todos los pasos de configuración se realizan a través de Sophos Central, lo que permite una gestión uniforme y coherente.
• Interrupciones mínimas: Como la configuración se define de antemano y se aplica automáticamente, el tiempo de inactividad se reduce al mínimo, lo que es especialmente beneficioso en entornos críticos para la empresa.
• Personalización sencilla: Tras la configuración inicial, se pueden realizar otros ajustes y configuraciones de forma centralizada, sin necesidad de que un técnico esté in situ.

Con Zero-Touch Deployment, Sophos ofrece una solución eficaz para el despliegue y la configuración de cortafuegos que ahorra tiempo y maximiza la disponibilidad de la red.

• KB de Sophos: Añade Sophos Firewall con Zero Touch

Descargar archivos de registro para solucionar problemas

Con Sophos Firewall v20 MR1, ahora es posible descargar archivos de registro individuales directamente desde el cortafuegos. Esta función simplifica la resolución de problemas, pues ya no es necesario acceder al cortafuegos mediante una conexión SSH para obtener los datos necesarios.

La opción Registros de localización de averías se encuentra en la opción Diagnóstico del menú principal. Aquí, los administradores pueden buscar registros específicos y seleccionar varios registros al mismo tiempo. A continuación, Sophos Firewall ofrece un archivo ZIP para descargar que contiene todos los registros seleccionados. Estos archivos pueden abrirse y analizarse en un cliente local.

Cada conexión IPsec de sitio a sitio y cada conexión RED individual recibe su propio registro. Esto permite realizar análisis detallados y específicos sin tener que recurrir a métodos engorrosos. Esto hace que la gestión y el mantenimiento del cortafuegos sean más eficaces y fáciles de usar.

Campos de descripción de los objetos

Todos los objetos de «Anfitrión y Servicios» tienen ahora un campo de descripción. Esto incluye hosts IP, grupos de hosts IP, direcciones MAC y otros objetos de red. La opción de añadir una descripción detallada a cada objeto mejora notablemente la documentación.

Esta función permite almacenar información importante directamente en el cortafuegos. Por ejemplo, al crear un nuevo host IP, puedes añadir una descripción que explique la finalidad y el uso del host. Esto es especialmente útil si varios administradores gestionan el cortafuegos o si se requiere una documentación precisa.

Una descripción también puede contener enlaces a más información, como una base de conocimientos o un documento PDF que proporcione detalles específicos sobre el objeto en cuestión. Esto aumenta la trazabilidad y facilita las tareas administrativas futuras. Esto significa que un puerto de servicio que sólo se utiliza para una aplicación concreta puede recibir directamente información y contexto relevantes, lo que aumenta significativamente la eficacia y claridad en la gestión de la red.

La descripción también se indexa para permitir una búsqueda.

Asistente Generativo AI Firewall

Hoy en día, una empresa deja de ser guay si no menciona la IA. Hace unos años, todavía era blockchain.

Se ha integrado un nuevo Asistente de Sophos generativo basado en IA para ayudarte a gestionar tu cortafuegos. Puedes hacer al asistente cualquier pregunta en un lenguaje sencillo y recibir instrucciones y enlaces a recursos útiles.

No está mal para ser una primera versión, pero creo que imaginamos que la IA es algo distinto a una búsqueda ligeramente mejor…

Actualización de OpenVPN a v2.6.0

El componente OpenVPN de Sophos Firewall se ha actualizado a la versión 2.6.0. Esto mejora la seguridad y el rendimiento de la VPN SSL. Las VPN SSL sitio a sitio con versiones anteriores ya no son compatibles. Se recomienda actualizar a la v20.0 MR1 o utilizar soluciones VPN alternativas como IPsec.

Además, la última versión de Sophos Connect Client (v2.3) puede descargarse a través del VPN Portal:

• Instalar Sophos Connect SSL VPN Client (Windows) – SFOS
• Sophos Community: Lanzamiento de la actualización Sophos Connect 2.3
• Sophos Commuinity: Noticias y notas de la versión de Sophos Connect

Notas importantes sobre la compatibilidad con VPN SSL

Al actualizar a OpenVPN 2.6.0 en esta versión, los túneles VPN SSL ya no se establecen con los siguientes clientes y versiones de cortafuegos:

• SFOS v18.5 y versiones anteriores: Ya no se pueden establecer VPN SSL de sitio a sitio. Se recomienda actualizar todos los cortafuegos pertinentes a la v20.0 MR1 o utilizar IPsec de sitio a sitio o túneles RED.
• Cliente SSL VPN antiguo: los túneles SSL VPN de Acceso Remoto ya no se establecen con el Cliente SSL VPN antiguo. Utiliza el Cliente Sophos Connect o clientes de terceros, como el Cliente OpenVPN.
• SO UTM9: ya no se pueden establecer VPN SSL de sitio a sitio entre el SO UTM9 y SFOS v20.0 MR1. Se recomienda migrar estos dispositivos a la v20.0 MR1 o utilizar IPsec de sitio a sitio o túneles RED.

Mejoras en SD-WAN y VPN

La nueva versión de Sophos Firewall v20 MR1 aporta importantes mejoras SD-WAN y VPN que mejoran significativamente tanto la fiabilidad como el rendimiento.

• Interrupciones de tráfico minimizadas: Se ha cuadruplicado la disponibilidad de las pasarelas durante la conmutación por error de HA y los reinicios de dispositivos. Esto significa que si falla una pasarela o se reinicia un dispositivo, las interrupciones en el tráfico de datos se minimizan significativamente, lo que se traduce en una conexión de red más estable.
• Nuevo cliente OpenVPN 3.0: El nuevo cliente OpenVPN 3.0 para la VPN SSL de Acceso Remoto ya está disponible para su descarga a través del VPN Portal. Este cliente ofrece funciones de seguridad mejoradas y una mayor compatibilidad con distintos sistemas operativos, lo que simplifica la configuración y gestión de las conexiones VPN y mejora la experiencia del usuario.
• Compatibilidad con IPsec Fase-1 IKEv2: Se ha añadido compatibilidad con los cifrados GCM y Suite-B, lo que mejora la interoperabilidad y el rendimiento de los datos en las conexiones IPsec. Estos modernos métodos de encriptación garantizan una transmisión de datos más segura y eficaz entre los dispositivos de la red.
• Mejoras en DHCP Busybox: El tiempo de arrendamiento por defecto para DHCP se ha fijado en 30 segundos para eliminar los problemas de conectividad WAN. Unos tiempos de arrendamiento más cortos significan que las direcciones IP se asignan y renuevan más rápidamente, lo que da lugar a una conexión de red más estable y fiable, especialmente en entornos con conexiones que cambian con frecuencia.

Instalar Sophos Firewall v20 MR1

Se necesita una licencia de Soporte Mejorado para instalar la última versión del firmware, a menos que el cortafuegos se acabe de comprar y todavía tenga una licencia de evaluación: Las actualizaciones de Sophos Firewall dejarán de ser gratuitas

Esta guía describe cómo instalar la última versión en tu cortafuegos y descargar la imagen: Actualización del firmware en Sophos Firewall (Actualización del firmware)

Puedes encontrar más información sobre la versión en la Comunidad de Sophos – Ya está disponible Sophos Firewall OS v20 MR1