Sophos Firewall v21.5: Nuevas funciones para la seguridad de tu red

Introducción

En esta entrada exploramos las novedades más recientes de Sophos Firewall v21.5, que refuerzan la seguridad de tu red y simplifican la administración. Como administrador de TI, apreciarás especialmente la integración de Entra ID Single Sign-On (SSO) para el acceso VPN y NDR Essentials para la detección de amenazas basada en la nube. ¡Vamos a sumergirnos!

Entra ID Single Sign-On: Acceso VPN sin interrupciones (solo para Windows)

¿Qué aporta?

La integración de Entra ID SSO es una auténtica ventaja para las organizaciones que utilizan Microsoft Entra ID (antes Azure AD). Permite a los usuarios iniciar sesión en el portal VPN o en el cliente Sophos Connect (versión 2.4 o superior) con sus credenciales existentes de Entra ID, sin gestionar contraseñas VPN adicionales. Esto ahorra tiempo, reduce la fatiga por contraseñas y mejora la seguridad con soporte para la autenticación multifactor (MFA).

¿Cómo funciona?

Sophos Firewall v21.5 utiliza OAuth 2.0 y OpenID Connect para una autenticación segura basada en tokens. Estos protocolos modernos son más robustos que estándares más antiguos como SAML o Kerberos, ya que reducen el riesgo de robo de contraseñas. El usuario selecciona la opción SSO en el portal VPN o en el cliente Sophos Connect y, si ya ha iniciado sesión en Entra ID, la autenticación se realiza automáticamente. El MFA añade una capa adicional de seguridad, algo especialmente útil en entornos híbridos de Microsoft 365.

Configuración

La configuración de Entra ID SSO en SFOS v21.5 requiere algunos pasos, pero es perfectamente viable si prestas atención a los detalles:

1. Configurar el servidor de autenticación: En la Sophos Firewall, crea un servidor de autenticación con el ID de aplicación de Azure. Encontrarás instrucciones detalladas en la documentación de Sophos (Microsoft Entra ID Server).
2. Registrar las URL de retorno (callback): Añade en Azure las URL del portal VPN y del acceso remoto como URL de retorno para garantizar una comunicación segura.
3. Importar el archivo de aprovisionamiento: Para el cliente Sophos Connect, importa un archivo de aprovisionamiento que incluya el nombre del gateway. Un ejemplo:

[
  {
    "gateway": "vpn.example.com",
    "vpn_portal_port": 443,
    "check_remote_availability": false
  }
]

• gateway: Debe coincidir exactamente con la URL de retorno registrada en Azure; de lo contrario la conexión fallará.
• vpn_portal_port: Puerto HTTPS estándar 443 para una comunicación segura.
• check_remote_availability: Omite la comprobación de disponibilidad del gateway; útil en entornos con conectividad poco fiable.

Migración: Si pasas de una versión anterior de SFOS con Azure AD SSO, Sophos Firewall v21.5 activa el SSO automáticamente, pero debes añadir manualmente la URI de retorno del portal VPN en Azure.

Para una guía visual, consulta el vídeo oficial (Demostración de Entra ID SSO).

Ventajas

• Facilidad de uso: Sin credenciales VPN separadas; ideal para entornos de Microsoft 365.
• Seguridad: La MFA y la autenticación basada en tokens protegen contra el robo de identidad.
• Eficiencia: Menos esfuerzo administrativo con las contraseñas.

Puntos críticos

Por desgracia, Entra ID SSO en SFOS v21.5 solo está disponible para los clientes Sophos Connect basados en Windows. Si tienes usuarios de macOS en tu red, se quedan fuera, un duro revés, sobre todo en entornos mixtos donde los Mac son habituales. Sophos suele ir con retraso en las actualizaciones para macOS y, mientras los usuarios de Windows disfrutan de las ventajas del SSO, los de macOS deben recurrir a configuraciones IPsec nativas o herramientas como Tunnelblick. Esto es engorroso y empeora la experiencia del usuario. Sophos ha mostrado interés en admitir macOS en el futuro, pero hasta que eso ocurra, se trata de una clara desventaja.

En comparación, la competencia lo hace mejor: Cisco Secure Client admite SSO con Azure AD en macOS (Cisco Secure Client) y Fortinet ofrece funciones similares para ambas plataformas con FortiClient (Fortinet FortiClient). Sophos debe ponerse al día urgentemente.

Otras debilidades:

• Flexibilidad limitada: El portal VPN, SSL VPN e IPsec deben usar el mismo servidor Entra ID SSO.
• Errores ocasionales: Se han notificado fallos de autenticación al reconectar; se espera que se solucionen en la disponibilidad general (Sophos Connect 2.4).
• Documentación: Las guías podrían ser más detalladas, especialmente para configuraciones híbridas complejas.

NDR Essentials: Detección avanzada de amenazas

¿Qué es?

NDR Essentials es una solución de detección y respuesta de red (NDR) basada en la nube que se integra en Sophos Firewall v21.5 y está disponible sin costo adicional para los clientes de Xstream Protection. Utiliza IA para detectar amenazas como la comunicación de mando y control (C2) o los dominios generados dinámicamente (DGA) en el tráfico cifrado, sin afectar al rendimiento del firewall.

¿Cómo funciona?

SFOS v21.5 extrae metadatos del tráfico TLS cifrado y de las consultas DNS y los envía a la nube Sophos Intellix. Allí, dos motores de IA analizan los datos:

• Encrypted Payload Analysis (EPA): Detecta anomalías en el tráfico cifrado mediante el reconocimiento de patrones, sin necesidad de descifrado.
• Detección de DGA: Identifica dominios generados dinámicamente, utilizados a menudo por el malware para C2.

La arquitectura en la nube descarga de trabajo al firewall y permite actualizaciones continuas de los modelos de IA. Las amenazas detectadas reciben una puntuación de 1 (baja) a 10 (alta) y se registran en el firewall. Actualmente no hay bloqueo automático, lo que reduce los falsos positivos pero podría ser útil en futuras versiones.

NDR Essentials vs. versión completa

NDR Essentials es una versión «Lite» que se centra en el tráfico de gateway (norte-sur). La versión completa de Sophos NDR (Sophos NDR) ofrece una supervisión más amplia, incluido el tráfico interno (este-oeste), y está disponible como appliance virtual o en hardware certificado. Admite hasta 40 Gbps y 120 000 conexiones por segundo, lo que la hace ideal para empresas grandes. Además proporciona visibilidad detallada sobre dispositivos no protegidos, activos IoT y amenazas internas, algo que NDR Essentials no cubre.

Configuración

La activación es sencilla, como suele ser en Sophos.

1. Ve a Active Threat Response > NDR Essentials.
2. Activa la función y selecciona las interfaces (por ejemplo, las interfaces WAN).
3. Define la puntuación mínima de amenaza (recomendado: 9-10).

Las detecciones son visibles en el Control Center, el Log Viewer y Sophos Central. Para pruebas, utiliza el entorno de prueba de Sophos (Sophos Test) para simular comportamientos maliciosos.

Encontrarás instrucciones detalladas en la documentación (NDR Essentials) o en el vídeo de demostración (Demo de NDR Essentials).

Ventajas

• Sin impacto en el rendimiento: El análisis basado en la nube alivia la carga del firewall.
• Sin coste: Incluido para los clientes de Xstream Protection.
• Detección eficaz: Encuentra amenazas en tráfico cifrado sin descifrarlo.

Puntos críticos

NDR Essentials está limitado al hardware XGS y no admite implementaciones virtuales o en la nube, ni tampoco el modo HA Active-Active. Esto reduce sus posibilidades de uso, especialmente para organizaciones con entornos cloud o de alta disponibilidad. Además, el enfoque en el tráfico norte-sur es menos completo que en las soluciones NDR de gama completa.

En comparación, proveedores como Palo Alto Networks ofrecen capacidades NDR completas y análisis de IA integrados; Sophos cubre parte de esa funcionalidad, pero las limitaciones de hardware son una desventaja.

Otras funciones en Sophos Firewall v21.5

Mejoras de VPN y escalabilidad

SFOS v21.5 optimiza las funciones VPN:

• Nomenclatura más clara: «Site-to-Site» ahora se denomina «policy-based» y las interfaces de túnel «route-based», reduciendo la confusión.
• Validación del pool de direcciones: Evita conflictos de direcciones en SSL VPN, IPsec, L2TP y PPTP.
• Aplicación estricta de IPsec: Minimiza errores de establecimiento de túnel.
• Mayor capacidad: Hasta 3 000 túneles VPN route-based y 1 000 túneles RED Site-to-Site con 650 dispositivos SD-RED, ideal para redes globales.

Crítica: La documentación sobre la capacidad de túneles podría ser más detallada. Fortinet ofrece guías más completas (Fortinet VPN).

Sophos DNS Protection

Gratis para los clientes de Xstream Protection, con novedades en Sophos Firewall v21.5:

• Widget del Control Center: Vista rápida del estado.
• Mejor solución de problemas: Nuevos registros y notificaciones.
• Configuración guiada: Instrucciones paso a paso.

No obstante, las funciones de registro podrían ser más detalladas. Cisco Umbrella ofrece análisis DNS más completos, aunque de pago (Cisco Umbrella).

Mejoras de administración

Se ha optimizado la interfaz de usuario:

• Columnas de tabla ajustables: Los anchos de columnas (p.ej., SD-WAN, NAT) se pueden ajustar y se guardan.
• Búsqueda avanzada: Búsqueda de texto libre en rutas SD-WAN y reglas ACL; p.ej., «192.168.1.0» o «dominio xyz».
• Configuración por defecto: Ya no hay reglas de firewall predeterminadas; la acción por defecto es «Ninguna», lo que mejora la seguridad aunque supone un reto para los principiantes.
• Nueva tipografía: Mejor legibilidad.

Crítica a la velocidad de la interfaz

A pesar de estas mejoras, la interfaz de SFOS v21.5 sigue siendo lenta, especialmente al guardar reglas de firewall y configuraciones de WAF. Esperaba que Sophos mejorara significativamente el rendimiento, pero la tecnología de la UI se siente como de 2019. Guardar reglas de WAF es desesperante y la capacidad de respuesta no está a la altura de las interfaces web modernas. En comparación, Fortinet y Palo Alto Networks ofrecen UIs más rápidas y fluidas que no frenan el flujo de trabajo (Fortinet FortiGate, Palo Alto NGFW). Sophos debe mejorar aquí cuanto antes para mantenerse competitivo.

Más mejoras técnicas

• Límite de tamaño de archivo en WAF: Configurable hasta 1 GB; útil para empresas de medios.
• Telemetría de seguridad: Monitorización en tiempo real de cambios de archivos del SO mediante validación hash.
• Mejoras DHCP: Soporta prefijos IPv6 de /48 a /64; mejora la compatibilidad con los ISP.
• Path MTU Discovery: Soluciona errores de descifrado TLS con ML-KEM.
• NAT64: Permite tráfico IPv6 a IPv4 en modo proxy, aunque con limitaciones. Cisco ofrece opciones NAT64 más flexibles (Cisco NAT64).

Cambios de licencia

Aunque no es nuevo de Sophos Firewall v21.5, vale la pena mencionar que Sophos ha eliminado las restricciones de RAM para las licencias virtuales, de software y en la nube. Ahora las licencias se limitan por núcleos de CPU, lo que aumenta la flexibilidad en entornos cloud (Actualización de licencia de Sophos).

Palabras finales

Sophos Firewall v21.5 te ofrece, como administrador de TI, herramientas potentes como Entra ID SSO y NDR Essentials que mejoran la seguridad de la red y la gestión de usuarios. Las novedades en VPN, protección DNS y administración convierten a SFOS v21.5 en una actualización sólida, especialmente para las pymes con Xstream Protection. Sin embargo, la falta de soporte para macOS, las limitaciones de hardware de NDR Essentials y la interfaz lenta son puntos débiles que dejan a Sophos por detrás de Cisco, Fortinet o Palo Alto. Te recomiendo probar la versión de acceso anticipado (inscripción EAP) y compartir tus comentarios en la comunidad de Sophos (Sophos Community). ¡Estate atento a más actualizaciones en TrueNetLab!

¡Hasta la próxima,

Joe