Etiquetas

SOPHOS - INSTALACIÓN

🔥🛡️ Instalación y Configuración de Sophos Firewall en Entorno de Laboratorio (Homelab)

En esta práctica se realiza la instalación completa de Sophos Firewall en un entorno de laboratorio tipo homelab, con el objetivo de comprender cómo funciona un firewall de nueva generación desde su despliegue inicial hasta la configuración básica de red.

El enfoque no es únicamente técnico, sino también conceptual: entender cómo se posiciona un firewall en una arquitectura de red, qué problemas resuelve y por qué es un componente crítico en cualquier infraestructura moderna.

Se trabajará con una topología sencilla pero realista, donde el firewall actúa como punto central entre:

  • Internet (WAN) → red no confiable
  • Red interna (LAN) → red controlada

La asignación de interfaces será:

  • Puerto 1 → LAN
  • Puerto 2 → WAN

Esto permite replicar el comportamiento de un entorno empresarial en pequeño formato, sentando las bases para configuraciones más avanzadas.

🧰 Tecnologías empleadas

🛡️ Sophos Firewall (NGFW)

Sophos Firewall es un Next-Generation Firewall (NGFW), lo que significa que no solo filtra tráfico por puertos, como hacían los firewalls tradicionales, sino que analiza el contenido del tráfico y el contexto en el que se produce.

A diferencia de un firewall clásico, que podría permitir tráfico simplemente porque va por el puerto 80 (HTTP), un NGFW como Sophos puede:

  • Detectar si realmente es tráfico web legítimo
  • Identificar aplicaciones concretas (ej. YouTube, Dropbox, etc.)
  • Inspeccionar tráfico cifrado (SSL/TLS)
  • Detectar amenazas dentro del tráfico aparentemente legítimo

Esto lo convierte en una pieza clave en entornos donde las amenazas son cada vez más sofisticadas.

🧱 Arquitectura basada en zonas

Uno de los conceptos más importantes en Sophos es el uso de zonas de seguridad.

Una zona no es simplemente una red, sino un nivel de confianza dentro de la arquitectura. Esto permite aplicar políticas de forma más lógica y estructurada.

Por ejemplo:

  • LAN (zona confiable)
    Representa la red interna, donde están los equipos de usuarios o servidores internos. Se asume que el tráfico aquí es más seguro, aunque no necesariamente confiable al 100%.
  • WAN (zona no confiable)
    Representa Internet. Todo el tráfico que entra desde aquí debe considerarse potencialmente malicioso.
  • DMZ (zona intermedia)
    Se utiliza para servicios expuestos (web, correo, etc.), evitando que un compromiso afecte directamente a la red interna.

Este modelo permite aplicar reglas como:

“Permitir tráfico desde LAN hacia WAN, pero bloquear tráfico directo desde WAN hacia LAN”

🔐 Control de tráfico basado en políticas

El firewall funciona mediante reglas de seguridad, que determinan qué tráfico está permitido o bloqueado.

Cada regla se basa en varios criterios:

  • Origen (IP o red)
  • Destino
  • Servicio o puerto
  • Zona
  • Usuario (en entornos integrados con AD)

Esto permite definir comportamientos como:

  • Permitir navegación web desde la LAN
  • Bloquear acceso a ciertos servicios
  • Restringir tráfico según horarios

Este modelo sigue el principio de:

👉 “Todo está prohibido por defecto, salvo lo que se permita explícitamente”

🧠 Deep Packet Inspection (DPI)

El DPI (Deep Packet Inspection) es una de las capacidades más avanzadas del firewall.

En lugar de mirar solo el encabezado del paquete (IP, puerto), analiza el contenido real del tráfico:

  • Identifica aplicaciones reales aunque usen puertos estándar
  • Detecta patrones maliciosos
  • Inspecciona tráfico cifrado (si se configura SSL inspection)

Esto es especialmente importante hoy en día, donde muchas amenazas se esconden dentro de tráfico aparentemente legítimo.

🛡️ Sistema de Prevención de Intrusiones (IPS)

Sophos incluye un IPS (Intrusion Prevention System) que protege frente a ataques conocidos.

Funciona mediante:

  • Firmas de ataques (similar a antivirus, pero para red)
  • Detección de comportamientos sospechosos

Ejemplos de ataques detectados:

  • Escaneos de puertos
  • Intentos de explotación de vulnerabilidades
  • Ataques de fuerza bruta

Esto añade una capa activa de defensa más allá del simple filtrado.

🌐 Entorno Homelab

El uso de un homelab permite trabajar en un entorno:

  • Controlado
  • Aislado
  • Sin riesgo para sistemas reales

Además, permite simular escenarios como:

  • Redes empresariales
  • Segmentación de red
  • Ataques controlados

Es fundamental para aprender ciberseguridad de forma práctica.

🎯 Objetivos de la práctica

  • Entender qué es un NGFW y cómo funciona.
  • Instalar Sophos Firewall desde cero.
  • Configurar correctamente interfaces de red.
  • Comprender la separación LAN/WAN.
  • Entender el flujo de tráfico en un firewall.
  • Validar conectividad real.
  • Sentar las bases para seguridad perimetral.

🧩 Aspectos clave de la práctica

🧱 Instalación de Sophos Firewall

Durante la instalación se despliega el sistema operativo del firewall, que no es un Linux estándar, sino una distribución optimizada para seguridad.

En este proceso:

  • Se detectan las interfaces de red disponibles
  • Se asigna una IP inicial de gestión
  • Se prepara el acceso vía web

Este paso es equivalente a instalar un firewall físico en una empresa.

🌐 Configuración de interfaces de red

Aquí se define cómo el firewall se conecta al mundo.

Asignación:

  • Puerto 1 → LAN
  • Puerto 2 → WAN

Esto implica:

  • LAN será la red interna (ej. 192.168.x.x)
  • WAN recibirá IP del router o DHCP

Esta separación es crítica porque:

  • Permite controlar qué entra y qué sale
  • Evita acceso directo desde Internet a la red interna

🔐 Definición de zonas de seguridad

Cada interfaz se asigna a una zona:

  • LAN → zona confiable
  • WAN → zona no confiable

Esto permite al firewall entender el contexto del tráfico.

Por ejemplo:

  • Tráfico LAN → WAN suele permitirse
  • Tráfico WAN → LAN suele bloquearse

Sin esta clasificación, no sería posible aplicar políticas coherentes.

🔄 Flujo de tráfico en el firewall

Todo el tráfico sigue un proceso:

  1. Entra por una interfaz
  2. Se identifica su zona (LAN/WAN)
  3. Se compara con reglas
  4. Se aplica inspección (si procede)
  5. Se permite o bloquea

Entender este flujo es clave para diagnosticar problemas de red.

🧪 Validación de conectividad

Una vez configurado, se debe comprobar:

  • Que los equipos en LAN tienen acceso a Internet
  • Que el DNS funciona correctamente
  • Que el tráfico pasa por el firewall

Esto asegura que:

  • La configuración es correcta
  • El firewall está funcionando como gateway

🔍 ¿Por qué es importante esta práctica?

El firewall es el primer punto de defensa de cualquier infraestructura.

Sin un firewall correctamente configurado:

  • La red interna queda expuesta
  • No hay control de tráfico
  • No hay visibilidad

Esta práctica permite entender:

  • Cómo proteger una red desde el perímetro
  • Cómo segmentar correctamente
  • Cómo aplicar políticas de seguridad
  • Cómo funcionan los sistemas reales en empresas

✅ Resultados esperados

  • Sophos Firewall instalado correctamente
  • Interfaces LAN/WAN funcionando
  • Conectividad a Internet operativa
  • Flujo de tráfico comprendido
  • Base sólida para seguridad avanzada

🔗 Enlaces de interés

      ISO - SOPHOS FW    

⚙️ Estructura de red inicial


⚙️ Estructura de red final









Enviar entrada por correo electrónico
Labels:

Comentarios

Publicar un comentario

Entradas populares