Sophos XG Firewall v16
Hace unos meses anunciamos la que estaba disponible la beta v16 para su SFOS, el sistema operativo presente en sus nuevos Firewall de la serie XG.
Esta semana se ha producido el lanzamiento de la versión definitiva y trae importantes novedades. La nueva versión del sistema operativo corrige bugs y además incorpora nuevas mejoras.
En los siguientes vídeos podrás conocerlas de primera mano.
Los detalles de la actualización son los siguientes:
Centro de control:
- Widgets mejorados: se han optimizado los distintos widgets para adaptar la información y que sean más accesibles.
- Interfaz de usuario: el panel del lado izquierdo se ha aumentado para mostrar mejor las opciones disponibles y que sea más similar a la consola utilizada en “Sophos Central”. Las opciones aparecen ahora agrupadas por categorías y dentro de estas estructuradas en pestañas. En 2 clics se puede acceder a cualquier opción del dispositivo. La interfaz no obstante está siendo ajustada, por lo que es probable que sufra variaciones.
Cortafuegos, la red y la configuración de dispositivos:
- Nombre de host: Ahora puede asignar un nombre de host personalizado.
- Clonación: Permite una fácil clonación de las reglas del cortafuegos, los objetos y las políticas existentes.
- Política de enrutamiento: permite enrutar el tráfico a una puerta de enlace personalizado basado en origen, destino o servicio de capa-4.
- RED: soporte de túnel VPN site to site RED.
- Filtrado por países: se puede establecer un filtrado por países o por continentes a la hora de crear las reglas del firewall.
- NAT creación de reglas de negocio: Mejora de la DNAT, NAT completa, y la creación de reglas de balanceo de carga del servidor.
- DHCP: soporte para configuración de servidor DHCP y relay DHCP al mismo tiempo.
Autenticación y diagnóstico:
- Autenticación de dos factores: la seguridad de acceso mejorada con soporte para “OATH-TOTP one-time passwords” directamente en el servidor de seguridad, eliminando la necesidad de una solución 2FA separada. Soporte para los protocolos IPSec, SSL VPN, portal del usuario, y el acceso WebAdmin. Recomendamos el uso de la aplicación gratuita “Sophos Authenticator” disponible para las plataformas iOS y Android .
- STAS (Sophos transparente autenticación Suite) IU: configuración STAS ha sido añadido a la interfaz gráfica de usuario que permite una fácil instalación sin necesidad de la CLI.
- Acceso a los logs en tiempo real: Abra el visor de registro en vivo en una ventana independiente. Directamente desde el Centro de Control usando la lupa en la parte superior de cualquier pantalla.
- Mejoras en vivo de logs: Un mejorado visor de registro en vivo que se abre convenientemente en una nueva ventana, con un refresco cada 5 segundos, líneas de registro con códigos de color, y la opción de activar la captura de paquetes.
Protección web y de correo electrónico:
- Rediseñado el modelo de política Web: creación flexible de nuevas directivas de usuario y de grupo y las herramientas de edición en línea. Permiten aplicar herencia y administrar las reglas de una forma más sencilla que permite reducir el número de reglas necesarias en muchas situaciones.
- Advertir a la acción: Una nueva acción de filtrado web, además de bloquear o permitir ahora los usuarios podrán acceder al contenido tras aceptar la advertencia mostrada. Esta opción puede ser ideal en situaciones donde se desea la formación de usuarios, la conciencia y la vigilancia sin prohibir estrictamente el acceso.
- Contenido que no se pueden explorar: Opciones para permitir o bloquear el contenido que no se pueden escanear debido a la encriptación u otros métodos.
- Google Apps de control: Limita el acceso a los dominios de Google Apps seleccionados. Reducie el riesgo de pérdida de datos evitando que los usuarios transfieran documentos a su cuentas personales de Google Apps.
- Creative Commons: Reducir el riesgo de exposición a imágenes inapropiadas mediante la aplicación de filtros del motor de búsqueda de contenido con una licencia Creative Commons.
- listas de URL externos: Importar listas de URL externos que requieren la aplicación de determinados organismos o jurisdicciones.
- Enrutamiento del email por dominio: Ruta de correo entrante al servidor de destino correcto, basado en el dominio de destino.
- Email MTA completo – almacenamiento y reenvío: Habilitar la continuidad del negocio, permitiendo que el firewall almacene los correos cuando los servidores de destino no están disponibles.
- Las nuevas características anti-spam (HELO / RDNS): Se ha añadido la tecnología anti-spam para identificar servidores que no son legítimos para el envío de correo.
- Portal de respuesta cifrado SPX-mail: habilitar los destinatarios de correos electrónicos cifrados SPX generados por el servidor de seguridad para responder de forma segura, utilizando un portal en el firewall para redactar y enviar una respuesta.
Seguridad sincronizado:
- Heartbeat perdido: el firewall detecta cuando un endpoint, previamente sano, está generando tráfico de red sin heartbeat, para automáticamente identificar el sistema y responder. Esto puede indicar que el Antivirus del endpoint ha sido manipulado o deshabilitado.
- Visibilidad de las aplicaciones en tiempo real: Permite al firewall solicitar información del endpoint, para determinar la aplicación responsable de generar tráfico de red sin categorizar. Es muy valioso para obtener una visión de tráfico de red que no es reconocido por otras soluciones de seguridad.
- Heartbeat basado en destino: el firewall limita el acceso a los destinos y los servidores, basado en el estado del heratbeat, reforzando la protección de los sistemas en riesgo hasta que puedan ser limpiados. En combinación con la aplicación periódica de la política del heartbeat, esto puede aislar con eficacia un sistema comprometido por completo – tanto entrantes como salientes.
Despliegue y hardware:
- Soporte de la plataforma Microsoft Azure: Soporte para el despliegue en Microsoft Azure como una máquina virtual pre configurada del mercado Azure Microsoft con pay-as-you-go o traiga su propia concesión de licencias opciones (BYOL).
- Mejoras de alta disponibilidad: soporte de HA para las configuraciones que utilizan interfaces (DHCP / PPPoE) dinámicas.
- Informe de Auditoría de Seguridad mejorada: Mejora de diseño, presentación e información para el cliente del informe de auditoría de seguridad.
- Soporte RED15w: Añade soporte para el 15w RED con conexión inalámbrica integrada.
- Soporte para AP15C: Añade soporte para el punto de acceso de techo 15C de nivel de entrada.
- 4x10G: soporte de módulos de 4 puertos FlexiPort para aparatos 1U Serie XG
Además:
Se han implementado cientos de pequeñas mejoras y se han corregido las vulnerabilidades detectadas.