1
DOCUMENTACIÓN TÉCNICA
SOPHOS XG
Características y mejoras de SFOS v18
2020
Cra 53 N. 70 - 168 Oficina 202 Pbx 3601450
[Link]
2
� 1. INTRODUCCIÓN.
Documentación Técnica
FIREWALL PERIMETRAL : SOPHOS XG
DATASHEET:[Link]
ew?usp=sharing
Los dispositivos de seguridad perimetral SOPHOS, disponible como UTM y cortafuegos de
próxima generación, ofrecen la seguridad de red de clase empresarial con el firewall de
inspección de estado, VPN e IPS, ofreciendo la Capa Humana controles basados en la
identidad-8 y visibilidad de aplicaciones de capa 7 y controles. Sophos garantiza altos
niveles de seguridad de red, conectividad de red, disponibilidad continua y el acceso
remoto seguro con acceso controlado a la red
A continuación, en el siguiente documento , se detalla toda la configuración realizada en
el dispositivo SOPHOS XG 135 , desde su interfaz, host, grupos , hasta las políticas de
control, entre otras, las cuales quedarán documentadas en este , con el fin de ofrecer una
guía y soporte de la implementación realizada.
Cra 53 N. 70 - 168 Oficina 202 Pbx 3601450
[Link]
3
�2. CARACTERÍSTICAS
● Arquitectura Xstream
La "X" en "Xstream" significa NextGerneation y "Stream" para el nuevo
motor DPI, que es una solución de escaneo basada en transmisión.
Es una nueva característica especial a partir de la version 18 en la que la
arquitectura de procesamiento de paquetes ofrece más rendimiento,
seguridad y más visibilidad para el tráfico encriptado.
Con esto el firewall puede escanear fácilmente el tráfico HTTP porque no
está encriptado. El tráfico HTTPS tiene que romperse primero. Solo entonces
el Firewall puede escanearlo. El problema hasta ahora era que el proxy web
solo podía descifrar el tráfico HTTPS que pasaba por el puerto 443. Si el
tráfico pasaba por otro puerto, por ejemplo [Link]
el Firewall estaba ciego nuevamente.
Con v18 está listo para las últimas tecnologías y puede verificar el tráfico SSL
y TLS 1.3. No importa por qué puertos o protocolos pase el tráfico.
Por un lado, necesita un perfil de descifrado , que a su vez se adjunta a una
regla de inspección SSL / TLS . Esta regla luego define qué tráfico debe
verificarse.
Cra 53 N. 70 - 168 Oficina 202 Pbx 3601450
[Link]
4
�Cra 53 N. 70 - 168 Oficina 202 Pbx 3601450
[Link]
5
�Motor Xstream DPI: Qué es?
El motor DPI es la parte que se encarga de la inspección SSL / TLS. Una vez
que se ha descifrado el tráfico, también lo analiza en busca de reglas de
política web, escaneo de contenido (AV), control de aplicaciones e IPS.
Aquí es importante comprender que el nuevo motor DPI compite con el
proxy web utilizado anteriormente . Por lo tanto, el proxy web o el nuevo
motor DPI se encarga del tráfico HTTP / HTTPS, la política web y el escaneo
de contenido.
Cra 53 N. 70 - 168 Oficina 202 Pbx 3601450
[Link]
6
�Si actualiza de la versión 17.5 a la 18.0, se aplicará la
configuración del Proxy Web. Pero si desea utilizar el motor DPI, primero
debe reconstruirlo. Debe crear una regla de inspección SSL / TLS y desactivar
el proxy web en la configuración del firewall.
Solo hay algunas razones por las que no debe confiar en el nuevo motor DPI.
Sin embargo, hay funciones que ofrece el Proxy Web y el Motor DPI no. Entre
ellos se encuentran SafeSearch para motores de búsqueda o YouTube, así
como Protección de almacenamiento en caché o Pharming . Sin embargo, en
todos los cortafuegos que administramos, podemos prescindir de estas
funciones sin problemas, por lo que usaremos el motor DPI de forma segura.
Xstream Network Flow FastPath
Probablemente conozca el problema de que el Firewall ralentiza un poco el
tráfico. Ciertos procesos se sentirán un poco más lentos. Debido a la nueva
arquitectura hay un llamado FastPath . Esto ayuda al Firewall a externalizar el
tráfico inofensivo directamente al kernel y, por lo tanto, a mantener el
rendimiento extremadamente alto.
Cra 53 N. 70 - 168 Oficina 202 Pbx 3601450
[Link]
7
�El tráfico inicialmente pasa por la pila de Firewall . Aquí se verifica si existe
una regla de Firewall correspondiente y si el tráfico está permitido. Si el IPS
verifica el tráfico, por ejemplo, todavía se ejecuta a través del motor DPI. Si el
motor IPS decide que el tráfico es inofensivo, se transfiere a FastPath y se
enruta directamente a través del núcleo.
Cuando miré este gráfico, quería probar en la práctica cómo funciona
exactamente esto. Si el tráfico está permitido o no, lo sabes muy pronto y
este proceso no tiene que verificarse para cada paquete de esta fuente y
puerto. Pero, ¿cómo sabe el sistema en el motor DPI cuando el tráfico se
puede transferir a FastPath? Si, por ejemplo, el escaneo SSL / TSL está
activado, esto no es posible. De lo contrario, el tráfico ya no se verificaría.
Con IPS o control de aplicaciones, por otro lado, se utilizan listas conocidas y
se puede tomar una decisión sobre si el tráfico es inofensivo o no.
Cra 53 N. 70 - 168 Oficina 202 Pbx 3601450
[Link]
8
�Análisis de inteligencia de amenazas
Si ha licenciado el módulo de Sophos Sandstrom para su cortafuegos, los
archivos en una caja de arena se verificarán para ciertos criterios antes de la
descarga.
Gracias a la inspección SSL / TLS, el cortafuegos puede ver más tráfico y
observar de cerca las descargas web. En el análisis final, sin embargo, la
protección del punto final todavía estaría en su lugar para detener una
amenaza.
Con v18, el análisis de inteligencia de amenazas se agrega a Sandstorm. Al
escanear descargas web o archivos adjuntos de correo electrónico en Sophos
Sandstorm, la inteligencia de amenazas escanea archivos con Machine
Learning . Esto también incluye el análisis de SophosLabs, que es utilizado por
Sophos Intercept X con EDR .
Como se sabe de EDR, se prepara un informe detallado para su análisis. Para
Sophos Firewall con SFOS v18 EAP2, un informe se ve así:
Cra 53 N. 70 - 168 Oficina 202 Pbx 3601450
[Link]
9
�Cra 53 N. 70 - 168 Oficina 202 Pbx 3601450
[Link]
10
�Cra 53 N. 70 - 168 Oficina 202 Pbx 3601450
[Link]
11
�Cra 53 N. 70 - 168 Oficina 202 Pbx 3601450
[Link]
12
�NAT empresarial
Además de la arquitectura xStream, las reglas NAT también experimentaron
un cambio importante. Hasta la versión 17.5 había un elemento de menú
Firewall y aquí se enumeraban todas las reglas de Firewall, reglas NAT y WAF.
En una regla de Firewall, también podría definir la interfaz / IP saliente para
el tráfico.
Cra 53 N. 70 - 168 Oficina 202 Pbx 3601450
[Link]
13
�Cra 53 N. 70 - 168 Oficina 202 Pbx 3601450
[Link]
14
�Como resultado, la actualización de v17.5 a v18 migra las reglas NAT. Esto
parece un poco desordenado al principio, porque para cada regla de Firewall
donde NAT & routingse habilitó, linked NAT Rule se crea una regla . Sin
embargo, estas pocas reglas NAT creadas automáticamente se pueden
reemplazar con relativa rapidez.
Ahora no solo hay una regla de Firewall, que también hace NAT. Hay una
regla NAT y necesita una regla de firewall que permita el tráfico. Pero este
cambio fue necesario, porque ahora NAT en SFOS (Network Address
Translation) se ha vuelto mucho más flexible.
Lo que algunos clientes han estado esperando es, por ejemplo, la posibilidad
de evitar todas las solicitudes de DNS o NTP en servidores públicos o de
Cra 53 N. 70 - 168 Oficina 202 Pbx 3601450
[Link]
15
�reenviarlas a un servidor interno. Por lo tanto, esta es
también la solución para aquellos que aún extrañan el servidor NTP en el XG,
que todavía estaba presente en el UTM.
El tema NAT se explica aquí también en un video:
Gestión de reglas de firewall
De la versión principal a la principal, el manejo de las reglas de Firewall
mejora un poco. Ahora puede seleccionar varias reglas de firewall para
eliminar, habilitar / deshabilitar, agregar a un grupo o desconectar de un
grupo. Además, las reglas de Firewall ahora están numeradas para que sepa
cuántas hay. Sin embargo, la ID de la regla sigue siendo la misma. Firewall
También se ha cambiado el nombre del elemento del menú Rules and
policies.
Ahora se pueden agregar filtros, lo que simplifica enormemente la búsqueda
de reglas específicas. El filtro permanece incluso si cambia a otro elemento
del menú y regresa nuevamente.
Cra 53 N. 70 - 168 Oficina 202 Pbx 3601450
[Link]
16
�Cra 53 N. 70 - 168 Oficina 202 Pbx 3601450
[Link]
17
�Una característica realmente solicitada finalmente está
disponible. El contador de cuánto tráfico procesó una regla de firewall se
puede restablecer a cero.
Cuando crea una nueva regla de Firewall, ahora puede deshabilitar la regla de
inmediato.
Cra 53 N. 70 - 168 Oficina 202 Pbx 3601450
[Link]
18
�Ahora es posible definir exclusiones en una regla de
firewall. Esto es extremadamente útil para evitar inflar toda la construcción
de reglas innecesariamente.
Visor de registro
Nuevas mejoras en el visor de registro de la v18
Al hacer clic en una entrada en el Visor de registros, puede establecer un
filtro, definir excepciones SSL / TSL o cambiar las pautas de IPS, Control de
aplicaciones o Filtro web.
Cra 53 N. 70 - 168 Oficina 202 Pbx 3601450
[Link]
19
�Alertas y Notificaciones
En Administration> Notifications settings -- solo puede activar dos opciones
para una notificación por correo electrónico:
● Túnel IPsec arriba / abajo
● Notificaciones de alerta por correo electrónico
Si un RED no estaba disponible o si un usuario ingresó la contraseña
incorrecta con demasiada frecuencia, no había posibilidad de ser notificado al
respecto.
En v18 puede encontrar la lista en el menú en System Services> Notification
list. De ahora en adelante, hay 36 acciones disponibles, sobre las cuales
puede ser notificado por correo electrónico o SNMP.
Cra 53 N. 70 - 168 Oficina 202 Pbx 3601450
[Link]
20
�Monitoreo de flujo
Actualmente no se ve mucho en el Firewall sobre las conexiones en vivo y los
datos tampoco son en tiempo real. Además, en mi opinión, no es realmente
atractivo. Con v18 ahora hay una gran vista que muestra las IP activas, los
usuarios y las aplicaciones con el uso de ancho de banda correspondiente en
tiempo real. Las conexiones también se pueden bloquear o priorizar.
No puedo probar esta función yo mismo, porque solo se terminó con EAP3.
¡Pero lo que he visto hasta ahora está muy bien implementado.
Enrutamiento de políticas SD-WAN
Antes de contarles más sobre el enrutamiento de políticas SD-WAN, primero
una pista de que el elemento del menú ha cambiado de nombre en v18:
● v17.5: Enrutamiento> Enrutamiento de políticas
● v18.0: Enrutamiento> Enrutamiento de políticas SD-WAN
Pero aparte de eso, ahora puede crear una ruta basada en más criterios. Por
ejemplo, si desea enrutar un usuario, grupo o aplicación utilizando una
interfaz diferente, puede hacerlo ahora. Muchas aplicaciones son conocidas
gracias a la Seguridad Sincronizada y al Control de Aplicaciones Sincronizadas
.
Protección de correo electrónico: DKIM y BATV
Las dos soluciones siguientes ahora también son compatibles con la lucha
contra el spam:
● DKIM (correo identificado de DomainKeys)
Cra 53 N. 70 - 168 Oficina 202 Pbx 3601450
[Link]
21
� ● BATV (Validación de etiqueta de dirección de
rebote)
Soporte DDNS
● Ya no es necesario definir con qué frecuencia se debe actualizar la IP
de WAN. El valor ahora se fija en 5 minutos.
● El servicio de Sophos, que había causado algunos problemas en el
pasado, ha sido reemplazado por una solución de código abierto.
● El número de proveedores de DDNS se ha duplicado de 5 a 10. Recién
agregado: DNS-O-Static, FreeDNS, Google DNS, Namecheap, No-IP
Pequeñas mejoras
● Mejoras de alta disponibilidad (HA) : los dispositivos ahora se pueden
conectar a un clúster de manera más rápida y fácil. El firmware
también se puede revertir.
● Soporte SNMPv3 : Mejor seguridad en comparación con SNMPv1 y
SNMPv2, si se pudiera hablar de "seguridad" en las dos primeras
versiones.
● Cambio de nombre de las interfaces : las interfaces se llamaron
anteriormente Puerto1, Puerto2, etc., y esto no se pudo cambiar. En
v18 esto ahora es posible. IPsec, IPS, redes inalámbricas, etc. todavía
no se pueden adaptar.
● Actualizaciones de la base de datos de GeoIP : la base de datos de IP
del país ahora se puede actualizar por separado de las actualizaciones
de firmware.
● Actualización de VMware Tools : VMware Tools ahora está
preinstalado en la versión v10.3.10 y también se admite Site Recovery
Manager (SRM).
Cra 53 N. 70 - 168 Oficina 202 Pbx 3601450
[Link]
22
