trueNetLab ⚡️
Sophos Firewall Config Studio V2: Mucho Más Que un Viewer

Sophos Firewall Config Studio V2: Mucho Más Que un Viewer

13 min read
Network Sophos Security

Tabla de contenidos

En febrero, Sophos lanzó Configuration Viewer, una herramienta que por fin hacía un poco menos dolorosa una debilidad importante del ecosistema Sophos Firewall: leer, buscar y comparar configuraciones sin sufrir con XML en bruto. Ya escribí sobre esa herramienta original aquí: Sophos Firewall Configuration Viewer: Audit and Compare Configs .

El 15 de abril de 2026, Sophos dio el siguiente paso. El antiguo Configuration Viewer pasa a llamarse Config Studio V2. Y eso importa, porque el cambio de nombre no es solo cosmético. Sophos ya no lo trata como un simple visor, sino como una herramienta de navegador que ahora también pretende editar.

Y eso es precisamente lo que hace interesante la herramienta. Leer es una cosa. En la práctica de administrar firewalls casi siempre hacen falta tres cosas a la vez: entender, comparar y cambiar con limpieza.

Y justo ahí empieza mi crítica. Por bueno que me parezca el tool en muchos puntos, me cuesta entender que Sophos vuelva a construir estas capacidades fuera del propio firewall y también fuera de Sophos Central o del Firewall Manager. En varios aspectos, esta herramienta paralela ya se siente más moderna y más potente que la propia interfaz del firewall o que la capa de gestión central.

Quien lleve tiempo observando Sophos reconocerá el patrón. Las mejoras visibles de UI llegan muy lentamente. Desde la perspectiva de un admin, pareció que hubo que esperar una eternidad para que los monitores widescreen se manejaran de forma razonable. Al mismo tiempo, la antigua UTM seguía teniendo en algunos puntos un registro de cambios más agradable, donde quedaba más claro qué usuario había modificado qué. Justo esos temas de calidad de vida llevan años atascados, mientras que en cada release aparecen sobre todo funciones que suenan bien en las slides del fabricante o en los informes de analistas.

Si primero quieres ver el resumen oficial de Sophos, aquí está el vídeo:

Qué Es Realmente Config Studio V2

Sophos describe Config Studio V2 como una herramienta basada en navegador para ver, analizar, comparar y ahora también editar configuraciones de firewall. A primera vista suena como una nueva versión con un nuevo nombre. En la práctica, es más que eso.

La dirección oficial es bastante clara:

  • leer una configuración como informe completo
  • comparar dos configuraciones
  • crear una configuración nueva desde cero
  • modificar una configuración existente dentro del tool
  • volver a exportar el resultado como XML, TAR, API o curl

Ese es el punto en el que la herramienta deja de ser un simple apoyo documental para convertirse en un instrumento real de trabajo. Al mismo tiempo, también deja más visible lo que Sophos todavía no ha resuelto bien dentro del firewall y de Central.

El vídeo oficial también deja claro que Config Studio V2 va bastante más allá del antiguo viewer. Sophos muestra, entre otras cosas:

  • crear configuraciones nuevas desde cero
  • importar y editar XML existentes
  • crear reglas de firewall y cambiar su orden
  • detectar shadowing y resolverlo moviendo o borrando reglas
  • aplicar cambios masivos, por ejemplo activar logging en muchas reglas
  • mostrar referencias de objetos
  • detectar objetos duplicados o no utilizados
  • importar objetos en masa desde CSV y otros formatos
  • crear cloud objects desde datos de fabricantes como Microsoft JSON
  • volver a exportar configuraciones como XML o TAR

Eso no son juguetes. Son funciones reales para administradores.

Por Qué Importa en el Día a Día

En teoría, gestionamos cambios de firewall con procesos limpios, tickets, revisión por pares y planes de prueba. En la realidad, muchas veces uno se sienta delante de un export, un diff, un firewall secundario antiguo o un entorno heredado y primero tiene que entender qué se construyó ahí.

Justo ahí se nota la utilidad de Config Studio V2.

Para Auditorías y Revisiones

Si tienes que asumir un Sophos Firewall ajeno, la web UI no suele ser el mejor punto de partida. Vas haciendo clic por NAT, reglas de firewall, objetos, interfaces, VPNs y casos especiales, pierdes el hilo y acabas con capturas y notas en varias pestañas.

Un informe de configuración bien presentado es mucho más agradable. En lugar de navegar menús, obtienes una vista coherente de reglas, políticas y ajustes. Para auditorías y revisiones, eso aporta valor real.

Para Ventanas de Cambio

La parte de comparación me parece todavía más relevante. En cambios grandes, no quiero solo saber que algo se modificó. Quiero ver claramente qué se añadió, qué se eliminó y qué se cambió.

En migraciones de WAN, reestructuraciones de NAT, cambios de VPN o limpieza de reglas históricas, un diff bien hecho ahorra tiempo real y reduce el riesgo de tocar cosas laterales sin querer.

Para MSPs, Handover y Migraciones

Quien gestiona muchos firewalls o entrega entornos entre equipos conoce el mismo problema. La configuración suele vivir en varios sitios a la vez:

  • en el propio firewall
  • en el ticket
  • en una hoja Excel
  • en algún wiki
  • y en la cabeza de quien montó el entorno hace años

Config Studio V2 ayuda a cerrar un poco esa brecha. No reemplaza una buena documentación, pero sí ofrece una base mucho mejor para handovers y revisiones.

Qué Cambió de Verdad Frente al Antiguo Viewer

El Configuration Viewer original era sobre todo una herramienta de lectura y diff. Ya era útil, porque el XML de Sophos no está hecho para ojos humanos.

Con V2 llega el salto decisivo: editar.

Sophos lo llama claramente configuration editor. Eso significa que ya no solo puedes importar y analizar exportaciones, sino también modificarlas dentro del tool, volver a descargarlas y, si hace falta, reutilizarlas en formato API o curl.

Esa salida en API o curl me parece interesante, no porque ahora todos los administradores vayan a automatizarlo todo de repente, sino porque hace los cambios más reproducibles y más fáciles de documentar o integrar en flujos ya existentes.

Eso es especialmente útil para equipos que quieren introducir cambios de firewall de forma más controlada sin montar de inmediato una plataforma completa de infrastructure as code.

Por eso mismo, el cambio de nombre de Viewer a Studio también se siente un poco como “vamos ampliando esto poco a poco por fuera”. Cuantas más funciones aterricen ahí, más evidente se vuelve la pregunta de por qué no aterrizan directamente en el firewall o en Sophos Central.

Cómo Es el Flujo en la Práctica

La base sigue siendo simple. Config Studio V2 trabaja sobre configuraciones exportadas.

1) Exportar la Configuración

Sophos sigue esperando la Entities.xml de la configuración del firewall. El flujo es:

  1. ir a Backup & firmware > Import export en WebAdmin
  2. exportar una configuración completa o selectiva
  3. descomprimir el API-xxxxxx.tar
  4. subir la Entities.xml a Config Studio

Esto importa porque la comunidad lo detectó enseguida: el input directo no es el TAR, sino la Entities.xml extraída.

2) Leer un Informe o Iniciar una Comparación

Desde ahí, el tool se divide básicamente en dos direcciones:

  • leer y analizar una configuración
  • comparar dos configuraciones

Para muchos admins, solo el primer punto ya es útil. Sobre todo cuando necesitas saber dónde se usa un objeto, qué grupos de reglas existen de verdad o cómo está construida una determinada política.

3) Ahora También: Editar

Con V2 llega la parte nueva: modificar configuraciones, volver a descargarlas y reutilizarlas en XML, API o curl.

Eso no convierte a Config Studio en un sustituto de la UI del firewall. Pero sí lo mueve claramente hacia una especie de banco de trabajo para cambios.

Dónde Le Veo Más Valor

Yo veo cuatro casos de uso especialmente claros.

Preparación de Cambios Grandes

Si antes de una ventana de mantenimiento necesitas entender qué reglas, objetos o relaciones NAT cambian, un informe estructurado con diff antes/después es bastante más agradable que XML puro y navegación por la UI.

Revisión de Reglas Existentes

Muchos entornos Sophos crecen durante años. Quedan objetos viejos, servicios duplicados, reglas NAT históricas y residuos de proyectos. Una herramienta que haga eso más legible ayuda no solo en cambios nuevos, sino también en la limpieza.

Handover a Otros Equipos o Proveedores

No toda persona que revisa una configuración debería necesitar acceso admin al firewall. Un export limpio o un informe puede ser una mejor base.

Cambios Más Reproducibles

La salida por API y curl es para mí la señal más clara de hacia dónde quiere ir Sophos con esto. No solo visibilidad, sino una gestión de cambios algo más estructurada.

Eso es interesante para equipos que quieren estandarizar partes de sus cambios sin meterse todavía de lleno en infrastructure as code.

Lo Que Falta Directamente en SFOS

Aquí empieza mi crítica principal.

Por útil que sea Config Studio V2, muchas de estas funciones serían aún más valiosas si no fueran externas. Si hablamos de ergonomía real para administradores, yo preferiría ver directamente en SFOS cosas como estas:

  • edición masiva de reglas de firewall
  • activar, desactivar o mover varias reglas a la vez
  • clonar por fin reglas NAT de forma decente
  • renombrar objetos en bloque
  • ajustar referencias de hosts, servicios o FQDN con buscar y reemplazar
  • identificar y limpiar objetos no usados
  • detectar y fusionar duplicados
  • ver conflictos de reglas mientras se construyen
  • clonar o mover bloques de reglas
  • ver comparaciones antes/después antes de confirmar cambios
  • importar objetos en masa sin necesitar una herramienta paralela

En entornos grandes, eso mejoraría muchísimo el trabajo diario. En cambio, seguimos con exportar, descomprimir, subir y luego volver atrás. Funciona, pero no es elegante.

Y aquí soy deliberadamente crítico: el vídeo deja bastante claro que Sophos prefiere entregar mejoras útiles de usabilidad en una herramienta de navegador separada en lugar de modernizar de verdad la UI del firewall y Sophos Central. Seguimos esperando cosas tan básicas como una función decente para clonar reglas NAT. Mientras tanto, la detección de conflictos, los cambios masivos, el análisis de objetos y los imports cloud aterrizan en el Studio. Puede que eso sea más rápido de construir y más fácil de whitelistear desde el punto de vista del fabricante. Desde la perspectiva del admin, crea una realidad paralela donde las mejores funciones no viven donde realmente se trabaja.

Por eso Config Studio no se siente solo como una herramienta nueva, sino también como una confirmación. Da la impresión de que Sophos lleva años atascado con la UI del firewall y con Central. Los low-hanging fruits siguen ahí, mientras que una herramienta externa resuelve de repente cosas para las que la plataforma principal ha tenido tiempo de sobra.

Por Qué el Modelo de Export/Import Todavía No Me Convence del Todo

Para revisiones rápidas, el modelo está bien. Para cambios productivos, sigue resultando algo incómodo desde la perspectiva de un administrador.

En cuanto una herramienta trabaja sobre configuraciones exportadas, aparecen riesgos prácticos inmediatos:

  • la configuración exportada puede estar ya desactualizada
  • varios administradores pueden estar trabajando en paralelo mientras el export se queda atrás
  • datos sensibles del firewall terminan como archivos en portátiles o carpetas de proyecto
  • puede haber drift entre análisis, edición y reimportación

Eso no significa que Config Studio V2 sea malo. Significa que el flujo sigue pareciéndose más a un workaround que a una solución nativa realmente limpia.

Para auditorías y planificación encaja. Para el trabajo diario, yo seguiría prefiriendo más de esto directamente dentro del firewall.

Desde seguridad hay además otro punto: Sophos dice que el procesamiento se queda localmente en el navegador. Eso es bueno, y bastante mejor que subir configuraciones completas a un servicio cloud remoto. Pero sigue siendo un modelo de confianza que hay que aceptar conscientemente. No hablamos de archivos inocentes. Suelen contener datos muy sensibles: segmentos de red, objetos, reglas, relaciones NAT, definiciones VPN y otros detalles relevantes para seguridad según el tipo de export.

La parte incómoda no es solo la pregunta de “¿sale algo hacia Sophos o no?”. Es todo el contexto del navegador. Cargas datos sensibles en una aplicación web y tienes que confiar en la aplicación entregada, en el procesamiento local, en el propio navegador, en posibles extensiones, en los cachés locales y en cómo esos archivos exportados se manejan en el sistema del administrador. Aunque técnicamente todo se quede local, sigue siendo una superficie de confianza y de ataque distinta a una función bien integrada en el propio firewall o en la gestión central.

Por eso una integración más profunda en SFOS o en Sophos Central sería la vía mucho más limpia. No solo por comodidad, sino también porque roles, aprobaciones, auditabilidad y tratamiento de datos sensibles podrían quedarse agrupados en un solo lugar.

Hay otro punto más que sale del vídeo: no todos los componentes de configuración están soportados todavía de forma completa. El propio tool lo avisa al importar. Las partes no soportadas se pueden eliminar o mantener, pero entonces no se muestran del todo dentro del Studio. Eso es comprensible en una fase temprana, pero también muestra que esto aún no sustituye por completo a la superficie administrativa real.

Dónde Sigue Teniendo Límites

La herramienta todavía no es perfecta. Estos puntos siguen faltando o no están del todo limpios hoy:

Las Linked NAT Rules Pueden Verse como Any

En el hilo oficial de feedback, Sophos explica que las linked NAT rules pueden aparecer como Any en origen o destino en algunos casos. No parece un bug visual clásico, sino una limitación a la hora de deducir con fiabilidad la información a partir del XML exportado.

Eso importa, porque análisis posteriores como la detección de reglas que se pisan pueden resultar engañosos si la representación base no es exacta.

Los Backups .backup de Sophos Central Aún No Son un Input Limpio

Otra pregunta de la comunidad fue si los backups cifrados de Sophos Central con extensión .backup llegarán a estar soportados. Por ahora no lo están, porque Config Studio gira alrededor de Entities.xml y esos backups cifrados no se pueden usar directamente.

Para MSPs, eso sería obviamente muy útil. Ahora mismo sigue siendo más un deseo que una realidad.

Seguirán Existiendo Edge Cases

Ya en los primeros días tras el release aparecieron indicios de comportamientos especiales en algunos casos límite. Eso no es raro en una herramienta joven, y precisamente por eso yo la usaría así:

Utilizar Config Studio V2 como una herramienta fuerte de análisis y preparación, pero seguir validando casos críticos contra la UI real del firewall y contra tráfico real.

Conclusión

Sophos Firewall Config Studio V2 es una de esas herramientas que, a primera vista, parecen menos espectaculares de lo que realmente son en la práctica.

No es una función de seguridad en sentido estricto. No bloquea ataques ni parchea vulnerabilidades. Pero reduce fricción justo en el área donde nacen muchos errores: entender y cambiar configuraciones de firewall.

Y eso tiene valor real.

El antiguo Viewer ya era útil. Con V2 se convierte en algo mucho más serio para auditorías, migraciones, limpieza de reglas y cambios grandes. No como única verdad, pero sí como una superficie de trabajo realmente útil alrededor de Entities.xml.

Al mismo tiempo, el valor del tool deja todavía más claro qué funciones Sophos debería acercar mucho más al firewall y a Sophos Central. El mejor ejemplo para mí es la detección de reglas que se pisan. No es un extra bonito. Es exactamente el tipo de ayuda que uno quiere ver mientras construye y ordena reglas.

Mi conclusión real va más allá de esta herramienta concreta: Config Studio se siente como la confirmación de que Sophos ha dependido demasiado tiempo de workarounds en lugar de hacer verdadero trabajo de producto alrededor de la UI del firewall y de Central. Con las herramientas agentic de hoy es posible crear rápido una utilidad externa y lanzarla a los administradores como solución práctica. Pero eso no debería convertirse en la respuesta permanente. Un workaround sigue siendo un workaround, aunque se vea bonito.

Hasta la próxima,
Joe

Sources

Related Posts

Sophos Firewall v22 MR1: ¿Actualizar ahora o esperar?

Sophos Firewall v22 MR1: ¿Actualizar ahora o esperar?

Sophos Firewall: Sin CVEs, pero plagado de bugs (v21.5 a v22)

Sophos Firewall: Sin CVEs, pero plagado de bugs (v21.5 a v22)

Anthropic Mythos y Project Glasswing: lo que viene para la ciberseguridad

Anthropic Mythos y Project Glasswing: lo que viene para la ciberseguridad

© 2026 trueNetLab

Buscar