Saque el máximo partido de XG Firewall v18

ProductsXG Firewall

Arquitectura de Xstream, motor DPI e inspección TLS.

22 Jul 2020 Por

Hemos empezado a desplegarXG Firewall v18 MR1 a nivel global, ofreciendo nuevos niveles de visibilidad, protección y rendimiento a sus clientes. Cuando la notificación de la última actualización del firmware aparezca en la consola, animamos encarecidamente a todos los usuarios a beneficiarse del fácil proceso de actualización con solo unos clics. Si aún no lo ha hecho, ahora es el momento de actualizar los dispositivos XG Firewall de sus clientes a la v18.

Como XG Firewall v18 incorpora una gran cantidad de fantásticas funciones, durante las próximas semanas nuestra serie en el blog destacará las funciones más importantes, como la nueva arquitectura de Xstream, la nueva protección contra amenazas de día cero y la administración y generación de informes de Sophos Central. Además, le explicaremos cómo usted y sus clientes pueden sacar el máximo provecho de ellas.

 

Arquitectura de Xstream

Una de las funciones más destacadas de la v18 es la nueva arquitectura de Xstream que incluye un motor DPI de transmisión y la inspección TLS 1.3 para el tráfico cifrado.

¿En qué se diferencia de la solución web basada en proxy heredada en cuanto a la arquitectura? En pocas palabras, el nuevo motor DPI de Xstream está específicamente diseñado para lograr un rendimiento óptimo y una gestión de conexiones eficiente. Utiliza un único motor de transmisión que inspecciona el tráfico entre un host de la red y un servidor o servicio externo. Esto proporciona toda la protección esencial de una sola pasada:

  • Escaneado de archivos y malware web
  • Prevención de intrusiones (IPS) o intentos de explotar las vulnerabilidades de la red
  • Identificación y control de aplicaciones

Al escanear las transmisiones de archivos a medida que se descargan de los servidores web, puede pasar el contenido al usuario final mientras retiene solo la última parte del archivo para completar el análisis antes de bloquear la descarga o permitir que pasen los últimos paquetes. No es necesario que retenga todo el archivo mientras se está escaneando.

Y es RÁPIDO.  ¿Cómo de rápido? Muchos clientes y partners de XG Firewall sostienen que el nuevo motor DPI y la inspección TLS son entre dos y tres veces más rápidos que antes.

A diferencia del motor DPI de Xstream, la protección heredada de XG Firewall utiliza diferentes motores para diferentes trabajos. Hay un proxy web para inspeccionar y filtrar el contenido web, un motor IPS y una solución de control de aplicaciones. En lugar de escanear las transmisiones a medida que fluye el tráfico, el proxy web funciona como un repetidor entre el cliente y el servidor externo. Esto tiene una ventaja cuando es necesario hacer modificaciones en el encabezado de los paquetes para admitir funciones como SafeSearch, restricciones de YouTube o restricciones de dominio de Google, ya que solo el proxy web heredado puede admitir estas funciones, pero en todos los demás casos, solo significa que gestiona más conexiones y trabaja más.

 

Saque el máximo partido del nuevo motor DPI de Xstream y la inspección TLS

Al actualizar XG Firewall a la v18, todas las reglas de firewall existentes utilizarán el proxy web heredado de forma predeterminada, para garantizar una compatibilidad de actualización perfecta. Si no se requieren funciones como SafeSearch, restricciones de YouTube o restricciones de dominio de Google, las reglas de firewall deben cambiarse para usar el nuevo motor DPI de Xstream. Solo hay que cambiar una opción de configuración:

Este ajuste determina si el firewall usa el proxy web heredado (marcado) o el nuevo motor DPI de Xstream (desmarcado).

Al cambiar muchas reglas de firewall al nuevo motor DPI de Xstream, verá aumentar el rendimiento enormemente.

Beneficiarse del nuevo motor de inspección TLS con soporte para TLS 1.3 también es sencillo de configurar: básicamente requiere marcar una casilla en el firewall para activarlo y luego crear una regla en la nueva pestaña Reglas de inspección SSL/TLS, tal como se muestra a continuación.

Como con cualquier solución de inspección TLS, el certificado de CA del dispositivo deberá desplegarse en los hosts de la red para admitir la inspección del firewall. Recomendamos usar el asistente incorporado en las herramientas de administración de directivas de grupo de Microsoft Active Directory para que este paso sea rápido y sencillo.

Las reglas TLS definen el tráfico TLS que descifrar y el perfil de descifrado asociado gobierna cómo gestionar el descifrado así como el protocolo y la imposición de cifrado. Las reglas están estructuradas y funcionan de forma idéntica a como funcionan las reglas de firewall en una jerarquía descendente.

Recomendamos empezar gradualmente con el cifrado TLS, con un subentorno de red limitado o unos pocos sistemas de prueba. Esto le permitirá adquirir experiencia con la nueva solución de inspección TLS y explorar las nuevas reglas, el registro, la generación de informes y las opciones de gestión de errores. No todas las aplicaciones y servidores admiten plena y adecuadamente la inspección TLS, por lo que hay que supervisar el centro de control para comprobar si hay errores y utilizar las prácticas herramientas integradas para excluir los sitios o servicios problemáticos.

Una vez que se haya familiarizado con el motor DPI y la inspección TLS, recomendamos aplicarlo más ampliamente en las redes de sus clientes. Sin embargo, dado que el volumen de tráfico cifrado ahora supone más del 80 % de todo el tráfico de Internet, hay que tener en cuenta que la inspección TLS consume muchos recursos debido a la naturaleza de los algoritmos de descifrado/cifrado. Si el dispositivo XG Firewall de un cliente tiene unos cuantos años y ya funciona a plena carga, puede ser momento de actualizar el hardware o de obtener un nuevo modelo de mayor rendimiento. Ahora, activar la inspección TLS en la mayor parte del tráfico de Internet es una protección esencial contra las amenazas y ransomware más recientes, ya que cada vez más hackers utilizan el cifrado TLS para entrar en las redes y permanecer ocultos.

Para obtener más información, los siguientes recursos están disponibles para ayudarle a sacar el máximo partido de las nuevas funciones de XG Firewall v18:

Vender XG Firewall

En el portal para partners de Sophos, le ofrecemos una gran cantidad de recursos de ventas. Para filtrar la lista de recursos, seleccione una categoría para reducir los resultados. Y no olvide comprobar si hay alguna promoción de ventas disponible para su región. Vale la pena comprobarlo de vez en cuando para asegurarse de que no se está perdiendo una gran oportunidad.

Acerca del autor

Chris McCormack is a network security specialist at Sophos where he has been focused on firewall and network protection since joining Sophos in 2008. When not evangelizing Sophos network security products, Chris specializes in providing advice and insight into the latest threats and network protection technologies and strategies.