Sophos Client Firewall: consejos de uso para el administrador

Sophos Client Firewall permite el acceso a la red e Internet de la empresa sólo de determinadas aplicaciones o clases de aplicaciones, y está disponible como parte de Sophos Endpoint Security (según los términos de su licencia).

Sophos Client Firewall bloquea los equipos para proteger la red contra gusanos, hackers e infecciones de virus de ordenadores no protegidos, especialmente en ordenadores que se conectan directamente a Internet.

• La configuración predeterminada del cortafuegos permite sólo las comunicaciones de red básicas, por lo que deberá configurarlo antes de su distribución.
• A continuación se explica cómo realizar una implementación por fases de Sophos Client Firewall en la red. Así, evitará saturar el tráfico de la red durante los pasos iniciales.
• Se recomienda que siga estos consejos.

Este artículo no es un sustituto de la documentación del programa, es sólo un complemento.

• Manual de Sophos Enterprise Console
• Guía de inicio de en red de Sophos Client Firewall
• Guía de actualización en red.

Nota: Sophos Client Firewall no es compatible con sistemas operativos de servidores.

Contenido

1. Requisitos del sistema
2. Política predeterminada de Sophos Client Firewall
3. Planificar la implantación
4. Personalizar las políticas
5. Distribución
6. Mantenimiento
7. Solución de problemas
8. Glosario

1. Requisitos del sistema

• Sophos Client Firewall está disponible para Windows 2000 y posterior, como Windows 2000 Professional y Windows XP, incluidas las versiones de 32 bits de Windows XP en ordenadores de 64 bits.
• Sophos Client Firewall versión 1.0 está diseñada para estaciones de trabajo en redes locales ethernet o conectadas a Internet.
• Sophos Client Firewall requiere Sophos Anti-Virus versión 6 o posterior.

Sophos Client Firewall no es compatible con

• sistemas operativos de servidores (por ejemplo, Windows 2000 Server, Windows 2003)
• variantes de Windows XP 64 bits

Nota:

• Sophos Client Firewall 1.5 es compatible con IPv6.
• Sophos Client Firewall 1.0 no es compatible con IPv6. Sin embargo, no impide el paso de paquetes IPv6.

El usuario que realice la instalación deberá ser capaz de

• crear copias de seguridad y restaurar el sistema
• instalar y configurar software en los ordenadores de la red
• configurar la red en la que se instalará Sophos Client Firewall.

2. Política predeterminada de Sophos Client Firewall

Deberá configurar Sophos Client Firewall según las necesidades de su red. La política predeterminada no funcionará correctamente.

• La política predeterminada de Sophos Client Firewall permite sólo el acceso a funciones de red básicas y al software de Sophos Client Protection.
• No podrá realizar otras acciones como acceder a Internet, enviar mensajes de email o utilizar bases de datos en red.
• Si distribuye el cortafuegos sin configurar (con la política predeterminada) se producirán errores en el funcionamiento de la red.

Un artículo de la base de conocimiento explica la configuración predeterminada de Sophos Client Firewall.

3. Planificar la implementación

Nota: Sophos Client Firewall no puede eliminarse de las estaciones con Enterprise Console. Sin embargo, puede utilizarse para desactivarlo.

Al planificar la implantación de un cortafuegos, tendrá que tener en cuenta:

• en qué ordenadores instalará Sophos Client Firewall
• los sistemas y protocolos que utiliza en su red
• el uso de unidades compartidas remotas
• la necesidad de conexiones remotas.

Elegir y agrupar ordenadores

Decida cuántas políticas cortafuegos deberá crear. Para hacerlo, divida su red en grupos lógicos. Por ejemplo:

• Portátiles
• Estaciones de trabajo
• Ordenadores públicos
• Ordenadores con acceso a base de datos en red
• Ordenadores de los administradores informáticos

Es necesaria una política diferente para cada uno de los grupos anteriores, que cubrirá diferentes aplicaciones e incluirá diferentes restricciones.

• No se recomienda el uso de una sola política cortafuegos. Solo tendría que añadir reglas para uno o dos ordenadores (por ejemplo, el del administrador), pero dichas reglas estarían presentes en toda la red, lo que supone un riesgo para la seguridad.
• Por el contrario, un número excesivo de políticas requerirá un mayor esfuerzo de mantenimiento.

Sistemas y protocolos de red

Tenga en cuenta los servicios necesarios en su red. Por ejemplo:

• DHCP
• DNS
• RIP
• NTP
• GRE

La configuración predeterminada del cortafuegos cuenta con reglas para la mayoría de estos servicios. Sin embargo, tenga en cuenta cuáles debería permitir y cuáles no necesita.

Unidades compartidas remotas

Resulta habitual disponer de unidades compartidas en la red de la empresa, y es posible que desee restringir el acceso a ciertas unidades. El cortafuegos puede configurarse para permitir la conexión sólo a direcciones de red específicas. De esta forma, podrá restringir el acceso a todos los compartimentos de ese ordenador. A continuación, puede configurar la política para grupos individuales para especificar a qué direcciones pueden acceder.

Acceso remoto a ordenadores

Tendrá que configurar el cortafuegos para permitir el uso de programas de acceso y monitorización remotos.

Compruebe los programas que utiliza para acceder a los ordenadores de la red. Por ejemplo:

• RDC
• VPN cliente/servidor
• SSH/SCP
• Terminal services
• Citrix

Determine las necesidades de acceso y cree las reglas correspondientes.

4. Personalizar las políticas

Para editar una política del cortafuegos

• abra Enterprise Console
• en el panel de políticas, seleccione la política cortafuegos correspondiente (o cree una nueva)
• seleccione 'Ver/editar política'.

Se abrirá el panel de configuración de políticas cortafuegos. Toda la configuración se realiza desde este panel.

Para crear una política, haga clic con el botón derecho del ratón.

Estructurar la configuración

Planifique la política y lo que quiere que haga, antes de modificar y escribir las reglas del cortafuegos.

Reglas globales personalizadas

Para crear una regla global personalizada, abra la ficha Reglas globales y haga clic en 'Añadir'.

Consulte la sección 'Crear reglas globales' en la ayuda de Sophos Client Firewall para obtener más información.

Reglas de aplicaciones

Puede crear las reglas de aplicaciones de forma manual o configurar un ordenador plantilla en modo interactivo para después importar y editar las reglas establecidas en el proceso. Consulte la sección 'Importar y exportar la configuración' del archivo de ayuda de Sophos Client Firewall para obtener más información. Una vez que haya importado una regla para una aplicación, puede seleccionarla al hacer clic en 'Añadir' en la ficha Aplicaciones del cuadro de diálogo Política cortafuegos.

• Reglas preconfiguradas
  Al crear reglas para aplicaciones, puede utilizar las que se incluyen para las aplicaciones más habituales, como navegadores web o programas de correo. También puede utilizar estas reglas como base para la creación de nuevas reglas.
  Para añadir reglas de una predefinida:
  • haga clic en la lista desplegable utilizando el botón 'Personalizar'
  • seleccione 'Predefinidas'
  • seleccione la regla predefinida.
  Puede utilizar una regla predefinida como base para otra y crear las suyas propias para usos posteriores.
  Para más información, consulte la sección 'Importar y exportar la configuración' del archivo de ayuda de Sophos Client Firewall.
• Crear reglas de forma manual
  Para crear reglas de forma manual:
  • haga clic en el botón 'Personalizar'
  • en 'Reglas de aplicaciones', haga clic en 'Añadir'
  • escriba un nombre y modifique la regla.
• Sumas de verificación
  Puede cambiar las sumas de verificación de las aplicaciones en la ficha Sumas de verificación. Al añadir una suma de verificación, el proceso necesitará tanto un nombre de proceso válido como la suma de verificación correcta para que las reglas puedan ejecutarlo.

Configuración

Configure las siguientes opciones en reglas globales y de aplicaciones:

• Entrante o saliente
  Es importante que defina la dirección en que aplicará una regla. Bloquear el tráfico entrante permite evitar la entrada de virus y otros programas maliciosos.
  Al crear una regla en Sophos Client Firewall, puede hacerla aplicable al tráfico entrante, al tráfico saliente o a ambos. En la ficha Aplicaciones
  • seleccione la aplicación que quiere editar
  • haga clic en 'Personalizar'
  • haga clic en 'Añadir'
  • escriba un nombre para la regla
  • seleccione 'Dirección de flujo'
  • en la ventana 'Descripción de la regla', haga clic en el hipervínculo 'Indefinido'
  • seleccione la dirección a la que quiere que afecte la regla (puede seleccionar ambas)
  • haga clic en 'Aceptar'.
    
• Filtrado dinámico
  El filtrado dinámico le permite comprobar el contenido de un paquete de datos para poder averiguar si forma parte de una comunicación existente. Esto ayuda a evitar las amenazas de suplantación de IP.
  
  Todas las reglas deben ejecutar alguna acción al invocarlas. Dicha acción puede ser de permisión o prohibición. El filtrado dinámico de paquetes ofrece la posibilidad de distinguir amenazas de procesos legítimos.

5. Distribución

Se aconseja realizar una distribución por fases de Sophos Client Firewall en la red. Así, evitará saturar el tráfico de la red durante los pasos iniciales.

Pruebas iniciales

Distribuya Sophos Client Firewall primero en un grupo pequeño de ordenadores que pueda controlar fácilmente. Dicho grupo debería ser representativo de los diferentes roles de la red.

Utilice tanto el modo interactivo como no interactivo al ejecutar las instalaciones de prueba. Vea la guía de instalación de Sophos Client Firewall para más detalles.

• Instale el cortafuegos en los ordenadores de prueba.
• Ejecute los programas y procedimientos habituales en dichos ordenadores.
• Compruebe si existen puntos débiles en la configuración de prueba (por ejemplo, otorgar demasiado acceso a algunos usuarios).
• Anote aplicaciones o procesos que necesitarán acceso a la red.
• Añada dichos programas a la configuración.
• Cree reglas adicionales en los ordenadores necesarios.

No realice la distribución en toda la red hasta que no haya comprobado el correcto funcionamiento de los ordenadores de prueba.

Distribución

Una vez completada la fase de prueba, podrá instalar Sophos Client Firewall en toda su red.

Para evitar la saturación de la red, realice la distribución de forma escalonada.

• Divida la red en grupos.
• Realice la distribución a los grupos por partes.

6. Mantenimiento

Actualizar una aplicación

La suma de verificación de una aplicación puede cambiar al actualizar dicha aplicación, o aplicar un parche de seguridad u otras actualizaciones en el sistema operativo del ordenador. Entonces, deberá actualizar las sumas de verificación de Sophos Client Firewall.

Cuando tenga que actualizar una aplicación, haga lo siguiente:

• Instale la actualización en uno de los ordenadores de prueba.
• Añada la nueva suma de verificación al cortafuegos, sin borrar la antigua.
• Compruebe el correcto funcionamiento del programa.
• Exporte la configuración nueva.

De esta forma podrá distribuir la nueva configuración incluso antes de realizar la actualización del programa en el resto de la red. Con ambas sumas de verificación en su lugar, los ordenadores y el cortafuegos seguirán funcionando durante la actualización.

• Añada la configuración nueva a la configuración o configuraciones existentes en Enterprise Console. Para más información, vea la ayuda de Sophos Client Firewall.

7. Solución de problemas

Si tras instalar el cortafuegos en su red descubre algún problema de funcionamiento o rendimiento, puede desactivarlo o restaurar la política usada anteriormente.

Desactivar el cortafuegos

Puede permitir todo el tráfico a través de la red, o en grupos específicos de ordenadores, si modifica la configuración. Para ello:

• abra el 'Editor de configuración de Sophos Client Firewall' en Enterprise Console, o en el equipo local
• seleccione la ficha General
• seleccione 'Permitir todo el tráfico'.

Restaurar una política anterior

Igual que con cualquier otro programa, es aconsejable que guarde copias de seguridad. Puede exportar la configuración del cortafuegos (en formato '.conf') desde Sophos Client Firewall, o desde Enterprise Console. Consulte la ayuda sobre la importación y exportación de configuraciones de Sophos Client Firewall.

Cree una copia de seguridad antes de realizar cambios en las políticas cortafuegos, por ejemplo antes de

• añadir nuevas aplicaciones en la red
• actualizar una aplicación en la red
• editar la configuración de forma manual.

Si realiza copias de seguridad, podrá volver fácilmente a la configuración anterior si los cambios no funcionan.

Suma de verificación

Número único que identifica a cada aplicación. El cortafuegos utiliza estos números para verificar la autenticidad de las aplicaciones autorizadas.

Grupo

Conjunto de ordenadores administrados definidos en Sophos Enterprise Console.

Modo interactivo

Sophos Client Firewall funciona en dos modos. En modo interactivo, el cortafuegos pide confirmación al usuario antes de bloquear o autorizar aplicaciones o procesos. El modo no interactivo suprime estos avisos.

Suplantación de IP

Técnica utilizada para obtener acceso no autorizado a equipos, en la que el intruso envía mensajes a un equipo con una dirección IP que indica que el mensaje viene de un servidor de confianza. Para realizar la suplantación de IP, el intruso debe utilizar antes diferentes técnicas para encontrar direcciones IP de servidores de confianza y modificar los encabezados de los paquetes para que parezca que vienen de dicho servidor.

Modo no interactivo

Sophos Client Firewall funciona en dos modos. En modo no interactivo, el cortafuegos utiliza las reglas establecidas para gestionar el tráfico. Configure las reglas de forma manual o en modo interactivo, antes de utilizar el modo no interactivo.

Distribución escalonada

Proceso que minimiza los riesgos de la implementación de cambios en una red de producción, realizando una serie de cambios pequeños en secciones de la red de forma controlada.

Política

Conjunto de reglas y configuración que se aplica a grupos de ordenadores definidos en Sophos Enterprise Console.

Distribución

Implementación de un producto o política nuevo o actualizado.

Sophos Client Protection

Sophos Client Protection (SCP) está formado por Sophos Anti-Virus y Sophos Client Firewall.

Sophos Enterprise Console

Sophos Enterprise Console permite implementar y administrar Sophos Client Protection en estaciones desde una ubicación local.

Filtrado dinámico

Tecnología de filtrado que permite comprobar el contenido de un paquete para comprobar que pertenece a una comunicación existente autorizada. El filtrado dinámico ayuda a evitar suplantaciones de IP. También facilita el proceso de filtrado, al no ser necesario que las reglas revisen de nuevo los paquetes.