9.5.26

SOPHOS - SSL VPN

🔐🌐 Configuración de SSL VPN Remote Access en Sophos Firewall con Sophos Connect Client

En esta práctica se configura una SSL VPN Remote Access en Sophos Firewall para permitir el acceso remoto seguro a la red corporativa mediante Sophos Connect Client. El objetivo es que un usuario autorizado pueda conectarse desde una ubicación externa y acceder de forma segura a los recursos internos de la empresa a través de un túnel VPN cifrado.

La práctica parte de un escenario empresarial donde existen varias redes internas, como la LAN, la DMZ y recursos que necesitan salida hacia WAN. Para permitir el acceso remoto controlado, se crea un usuario local llamado clockworker, que se asigna al grupo Remote SSL VPN group. Este grupo será utilizado como miembro autorizado dentro de la política SSL VPN.

Además, se definen objetos de red para representar los distintos segmentos internos que el usuario remoto podrá alcanzar una vez conectado. También se configura un rango específico de direcciones IP que Sophos asignará a los clientes VPN, separando claramente a los usuarios remotos del resto de redes corporativas.

La VPN se configurará en modo full tunnel, activando la opción Use as default gateway, lo que significa que todo el tráfico del cliente remoto pasará a través del Sophos Firewall. Finalmente, se crearán reglas de firewall desde la zona VPN hacia LAN, DMZ y WAN, permitiendo tanto el acceso a recursos internos como la navegación a Internet a través del firewall.

El resultado será una solución de acceso remoto centralizada, segura y controlada, preparada para escenarios reales de teletrabajo, administración remota o acceso externo a recursos corporativos.

🧰 Tecnologías empleadas

Sophos Firewall

Sophos Firewall será el componente principal de la práctica. Actuará como punto de terminación de la VPN, firewall de control entre zonas y gateway para el tráfico del usuario remoto.

En este escenario, Sophos no solo protege la red interna frente a tráfico externo, sino que también permite que usuarios autorizados se conecten desde fuera mediante un túnel cifrado. Esto convierte al firewall en un punto central de acceso remoto seguro.

Una de las ventajas de utilizar Sophos para VPN es que permite integrar varios elementos en un único flujo de seguridad: usuarios, grupos, políticas VPN, objetos de red, reglas de firewall, logs y control de tráfico. De esta forma, la conexión remota no queda abierta de forma general, sino que se puede limitar exactamente a los recursos necesarios.

SSL VPN Remote Access

La SSL VPN Remote Access permite que un usuario remoto establezca una conexión cifrada con la red corporativa utilizando un cliente VPN. Esta conexión crea un túnel seguro entre el equipo del usuario y el firewall.

A diferencia de una conexión directa a servicios internos, donde sería necesario exponer puertos hacia Internet, la VPN permite acceder a los recursos internos sin publicarlos directamente. Esto reduce la superficie de exposición y mejora la seguridad.

En esta práctica se utilizará SSL VPN para que el usuario remoto pueda acceder a redes internas como la LAN y la DMZ, siempre bajo las condiciones definidas en Sophos Firewall.

Sophos Connect Client

Sophos Connect Client es la aplicación que se instala en el equipo del usuario remoto para conectarse a la VPN.

El usuario puede descargar o importar la configuración generada desde Sophos Firewall, introducir sus credenciales y establecer el túnel VPN. Una vez conectado, el equipo recibe una dirección IP del rango VPN configurado y comienza a enrutar tráfico según la política aplicada.

Sophos Connect simplifica mucho la experiencia del usuario porque evita configuraciones manuales complejas. Desde el punto de vista administrativo, permite distribuir perfiles VPN controlados y mantener una gestión más centralizada del acceso remoto.

Usuario local `clockworker`

En esta práctica se crea un usuario local llamado clockworker. Este usuario representa a un empleado o administrador remoto que necesita conectarse a la red corporativa.

La creación de usuarios locales en Sophos permite controlar quién puede autenticarse en la VPN. No todos los usuarios del firewall deben tener acceso remoto; únicamente aquellos que pertenezcan al grupo autorizado.

Este enfoque permite aplicar una lógica sencilla pero segura:

Solo los usuarios miembros del grupo VPN pueden conectarse mediante SSL VPN.

Grupo `Remote SSL VPN group`

El grupo Remote SSL VPN group se utiliza para agrupar usuarios autorizados a utilizar la VPN.

En lugar de asignar permisos usuario por usuario dentro de la política VPN, Sophos permite trabajar con grupos. Esto facilita la administración, especialmente cuando el número de usuarios crece.

Si en el futuro se necesita permitir acceso VPN a otro empleado, bastaría con añadirlo al grupo correspondiente, manteniendo la política general sin cambios. Esta forma de trabajo es más ordenada, escalable y alineada con buenas prácticas de administración.

Objetos de red

Los objetos de red permiten representar recursos, subredes o hosts dentro de Sophos Firewall de forma lógica y reutilizable.

En lugar de escribir direcciones IP directamente en cada regla, se crean objetos como:

Red LAN.
Red DMZ.
Recursos internos específicos.
Redes necesarias para salida hacia WAN.
Rango de clientes VPN.

Esto mejora mucho la claridad de la configuración. Una regla que utiliza objetos es más fácil de leer, mantener y auditar que una regla llena de direcciones IP.

Además, si una red cambia en el futuro, se puede modificar el objeto correspondiente sin tener que rehacer todas las reglas del firewall.

Full Tunnel

La VPN se configurará en modo full tunnel, activando la opción Use as default gateway.

Esto significa que todo el tráfico del cliente remoto pasa por Sophos Firewall, incluso el tráfico destinado a Internet. Es decir, cuando el usuario remoto navega por la web, esa navegación sale a través de la red corporativa y no directamente desde su conexión local.

Este enfoque tiene varias ventajas:

Permite aplicar políticas de seguridad corporativas al tráfico del usuario remoto.
Centraliza logs y visibilidad en Sophos.
Evita que el usuario use una salida a Internet no controlada mientras está conectado.
Permite aplicar filtrado, inspección o reglas de seguridad.

La alternativa sería un modo split tunnel, donde solo el tráfico hacia redes internas pasa por la VPN. Sin embargo, en esta práctica se utiliza full tunnel para tener mayor control sobre el tráfico del usuario remoto.

Zona VPN

Sophos Firewall organiza el tráfico mediante zonas de seguridad. La zona VPN representa a los usuarios conectados mediante túneles VPN.

Esta zona debe tratarse como un segmento separado. Aunque el usuario esté autenticado, no significa que deba tener acceso ilimitado a toda la infraestructura. Por eso se crean reglas específicas desde la zona VPN hacia LAN, DMZ y WAN.

Esta separación permite aplicar el principio de mínimo privilegio: el usuario remoto solo debe acceder a aquello que realmente necesita.

🎯 Objetivos de la práctica

El objetivo principal de esta práctica es implementar una solución funcional de acceso remoto seguro mediante SSL VPN Remote Access en Sophos Firewall.

Se busca crear un usuario autorizado, asignarlo al grupo VPN correspondiente, definir los recursos internos permitidos, configurar el rango IP para clientes remotos y aplicar reglas de firewall para controlar el acceso hacia LAN, DMZ y WAN.

Además, se pretende comprender cómo funciona una VPN en modo full tunnel, qué implicaciones tiene para el tráfico del cliente y por qué es necesario crear reglas específicas desde la zona VPN hacia el resto de zonas.

Al finalizar, el usuario remoto podrá conectarse con Sophos Connect Client, autenticarse con sus credenciales y acceder a los recursos corporativos permitidos de forma segura.

🧩 Desarrollo de la práctica

👤 Creación del usuario local `clockworker`

El primer paso consiste en crear un usuario local en Sophos Firewall llamado clockworker.

Este usuario será la identidad que se utilizará para autenticarse en la VPN. En un entorno real, este usuario podría representar a un empleado, un administrador o un técnico externo con permisos controlados.

Crear un usuario específico es importante porque permite asociar actividad, conexiones y logs a una identidad concreta. Si todos los accesos remotos se hicieran con cuentas genéricas, sería muy difícil auditar quién se conectó, cuándo lo hizo y desde dónde.

Por este motivo, una buena práctica es que cada usuario remoto tenga sus propias credenciales individuales.

👥 Asignación al grupo `Remote SSL VPN group`

Una vez creado el usuario, se añade al grupo Remote SSL VPN group.

Este grupo será utilizado por la política SSL VPN para determinar qué usuarios están autorizados a conectarse. La pertenencia al grupo es, por tanto, una condición necesaria para acceder mediante VPN.

Trabajar con grupos permite una gestión más limpia. En lugar de modificar la política VPN cada vez que se añade o elimina un usuario, basta con gestionar la membresía del grupo.

Esto también facilita la revocación de acceso. Si un usuario ya no debe conectarse por VPN, se puede eliminar del grupo sin modificar el resto de la configuración.

🧱 Creación de objetos de red internos

Antes de definir la política SSL VPN, se crean objetos de red para representar los recursos que estarán disponibles para el usuario remoto.

Estos objetos pueden representar la red LAN, la red DMZ, servidores concretos o recursos necesarios para salida hacia WAN. La idea es evitar trabajar directamente con direcciones IP dentro de las reglas y políticas.

Por ejemplo, un objeto puede representar toda la red LAN corporativa, mientras que otro puede representar la red DMZ donde se alojan servidores expuestos o semiexpuestos.

El uso de objetos permite que la política VPN sea más comprensible. En lugar de ver rangos IP sin contexto, el administrador puede ver nombres descriptivos que indican claramente qué recurso se está permitiendo.

🌐 Definición de recursos permitidos en la política SSL VPN

En la política SSL VPN se añaden los recursos internos a los que el usuario remoto podrá acceder una vez conectado.

Este paso es fundamental porque la VPN no debería dar acceso completo por defecto a toda la red. Aunque el usuario esté autenticado, sus permisos deben limitarse a los recursos necesarios.

En esta práctica se permitirán recursos como:

Red LAN.
Red DMZ.
Recursos necesarios para salida hacia WAN.

Esto permitirá que el usuario remoto pueda administrar sistemas internos, acceder a servicios ubicados en la DMZ y navegar por Internet a través del firewall cuando esté conectado.

📡 Configuración del rango de direcciones para clientes VPN

Sophos asignará una dirección IP al cliente VPN cuando se conecte. Para ello, se define un rango específico reservado para usuarios remotos.

Este rango debe ser diferente al de las redes internas existentes para evitar conflictos de direccionamiento. Por ejemplo, si la LAN y la DMZ ya utilizan sus propias redes, la VPN debe utilizar una red separada.

Separar el rango VPN tiene varias ventajas:

Permite identificar fácilmente el tráfico de usuarios remotos.
Facilita la creación de reglas de firewall.
Evita conflictos con redes internas.
Mejora la trazabilidad en logs.

Cuando el usuario clockworker se conecte mediante Sophos Connect, recibirá una IP dentro de este rango VPN.

🔀 Configuración de VPN en modo full tunnel

La VPN se configurará como full tunnel mediante la opción Use as default gateway.

Esto hace que el equipo remoto utilice Sophos Firewall como puerta de enlace principal mientras la VPN está conectada. En la práctica, todo el tráfico del cliente pasa por el túnel, tanto el tráfico hacia recursos internos como el tráfico hacia Internet.

Este modelo proporciona mayor control porque Sophos puede inspeccionar, registrar y filtrar la navegación del usuario remoto. Es especialmente útil cuando la empresa quiere aplicar las mismas políticas de seguridad a usuarios internos y remotos.

Sin embargo, también implica que el firewall gestionará más tráfico, por lo que en entornos reales debe considerarse el rendimiento, el ancho de banda disponible y la cantidad de usuarios conectados simultáneamente.

🔥 Regla de firewall VPN → LAN

Después de configurar la política VPN, se crea una regla de firewall desde la zona VPN hacia la zona LAN.

Esta regla permite que los usuarios conectados por VPN accedan a recursos internos de la red corporativa. Puede utilizarse, por ejemplo, para acceder a servidores internos, recursos compartidos, herramientas de administración o sistemas corporativos.

Es importante que esta regla no sea excesivamente amplia en entornos productivos. Lo recomendable es permitir únicamente los servicios necesarios, como SSH, RDP, HTTPS o aplicaciones específicas.

En el laboratorio se puede permitir un acceso más amplio para validar conectividad, pero siempre entendiendo que una configuración real debe ser más restrictiva.

🔥 Regla de firewall VPN → DMZ

También se crea una regla desde la zona VPN hacia la zona DMZ.

Esta regla permite que el usuario remoto acceda a servicios ubicados en la DMZ. Esto puede ser útil para administrar un servidor web, comprobar servicios publicados o realizar tareas de mantenimiento.

Aunque la DMZ aloja servicios más expuestos, no debe considerarse una zona abierta. El acceso desde VPN hacia DMZ debe estar igualmente controlado.

Esta regla permite validar que el usuario conectado por Sophos Connect puede alcanzar recursos ubicados fuera de la LAN principal, demostrando que la VPN puede dar acceso a varias zonas internas de forma controlada.

🔥 Regla de firewall VPN → WAN

Como la VPN está configurada en modo full tunnel, también es necesario crear una regla que permita tráfico desde la zona VPN hacia WAN.

Sin esta regla, el cliente remoto podría conectarse a la VPN y acceder a recursos internos, pero no tendría salida a Internet a través del firewall.

Esta política permite que la navegación del usuario remoto pase por Sophos. De esta forma, el firewall puede aplicar reglas, registrar tráfico y centralizar la salida hacia Internet.

Este paso es esencial cuando se activa Use as default gateway, ya que Sophos se convierte en la puerta de enlace principal del cliente VPN.

📥 Descarga o importación de configuración en Sophos Connect

Una vez configurada la VPN, el usuario necesita cargar la configuración en Sophos Connect Client.

Dependiendo del entorno, el usuario puede descargar el perfil desde el portal de usuario o recibir un archivo de configuración proporcionado por el administrador.

Este perfil contiene los datos necesarios para que Sophos Connect sepa a qué firewall conectarse y cómo establecer el túnel.

Una vez importado, el usuario solo tendrá que introducir sus credenciales para iniciar la conexión.

🔐 Autenticación del usuario y establecimiento del túnel

El usuario clockworker se autentica con sus credenciales desde Sophos Connect Client.

Si el usuario pertenece al grupo autorizado y las credenciales son correctas, Sophos Firewall permite la conexión y asigna una IP del rango VPN configurado.

A partir de ese momento, se establece el túnel cifrado SSL VPN. El tráfico del cliente remoto viaja de forma segura hasta el firewall, que decide qué conexiones permite según las reglas configuradas.

Este paso confirma que la autenticación, la política SSL VPN y la asignación de direcciones funcionan correctamente.

🧪 Validación de acceso a LAN, DMZ y WAN

Una vez conectado el cliente VPN, se validan los accesos permitidos.

Primero, se comprueba el acceso a recursos de la LAN. Después, se valida la conectividad hacia sistemas ubicados en la DMZ. Finalmente, se verifica que el cliente puede navegar por Internet a través de Sophos Firewall.

Esta validación demuestra que el full tunnel funciona correctamente y que las reglas desde VPN hacia LAN, DMZ y WAN están aplicadas.

También es importante revisar los logs del firewall para confirmar que el tráfico aparece identificado como procedente de la zona VPN.

📊 Revisión de logs y conexiones VPN

Sophos Firewall permite revisar usuarios conectados, sesiones activas y tráfico asociado a la VPN.

Esta visibilidad es fundamental en entornos empresariales. No basta con permitir la conexión; también es necesario poder auditar quién se conectó, cuándo, desde qué dirección y qué recursos intentó alcanzar.

Los logs permiten detectar problemas de autenticación, errores de reglas, bloqueos inesperados o accesos no autorizados.

En una arquitectura segura, la visibilidad es tan importante como la conectividad.

🔍 ¿Por qué es importante esta práctica?

Esta práctica es importante porque el acceso remoto es una necesidad habitual en entornos empresariales, pero también representa un punto crítico de seguridad.

Permitir que usuarios externos accedan a la red corporativa sin un diseño adecuado puede exponer servicios internos, facilitar movimientos laterales o aumentar el riesgo ante credenciales comprometidas.

La SSL VPN permite resolver este problema creando un túnel cifrado y autenticado entre el usuario remoto y Sophos Firewall. Sin embargo, la seguridad no depende solo de activar la VPN. También es necesario definir usuarios, grupos, recursos permitidos, rangos de IP, reglas entre zonas y políticas de salida.

El modo full tunnel añade una capa adicional de control porque obliga al tráfico del usuario remoto a pasar por el firewall, permitiendo aplicar políticas corporativas incluso cuando el usuario está fuera de la oficina.

Esta práctica enseña una base esencial para teletrabajo seguro, administración remota y acceso controlado a recursos internos.

✅ Resultados esperados

Al finalizar la práctica, Sophos Firewall tendrá configurada una SSL VPN Remote Access funcional y segura.

El usuario local clockworker estará creado y será miembro del grupo Remote SSL VPN group. La política SSL VPN incluirá los recursos permitidos necesarios para acceder a la LAN, la DMZ y la salida hacia WAN.

El cliente remoto recibirá una dirección IP del rango VPN configurado y, al estar en modo full tunnel, utilizará Sophos Firewall como puerta de enlace predeterminada.

También quedarán creadas las reglas de firewall necesarias desde la zona VPN hacia LAN, DMZ y WAN, permitiendo acceso a recursos corporativos y navegación a Internet a través del firewall.

El flujo completo conseguido será:

Usuario VPN → Grupo autorizado → Política SSL VPN → Rango VPN → Full Tunnel → Reglas VPN → Acceso seguro a LAN/DMZ/WAN

🏢 Propuesta empresarial

La empresa Clockwork Computer necesita habilitar una solución de acceso remoto seguro para empleados y técnicos que trabajan fuera de la oficina. Actualmente, algunos recursos internos solo son accesibles desde la red corporativa, lo que dificulta tareas de administración, soporte y mantenimiento remoto.

El departamento de IT ha decidido implementar una SSL VPN Remote Access sobre Sophos Firewall, utilizando Sophos Connect Client como herramienta de conexión para los usuarios autorizados.

El objetivo es que los usuarios remotos puedan acceder de forma segura a los recursos internos de la empresa, incluyendo sistemas ubicados en la LAN y servicios alojados en la DMZ. Además, la empresa quiere que el tráfico de navegación del usuario remoto pase también por Sophos Firewall, aplicando un modelo full tunnel para centralizar el control y la visibilidad del tráfico.

📌 Escenario propuesto

Clockwork Computer cuenta con una infraestructura segmentada mediante Sophos Firewall, compuesta por redes internas, una zona DMZ y salida a Internet mediante WAN.

Se debe crear un usuario local llamado:

clockworker

Este usuario deberá pertenecer al grupo:

Remote SSL VPN group

El grupo será utilizado como entidad autorizada dentro de la política SSL VPN.

También será necesario definir objetos de red para representar los recursos internos permitidos, incluyendo la LAN, la DMZ y los destinos necesarios para permitir navegación hacia Internet mediante el firewall.

🎯 Requisitos técnicos solicitados por la empresa

La empresa solicita implementar las siguientes tareas:

Crear un usuario local llamado clockworker en Sophos Firewall.
Añadir el usuario clockworker al grupo Remote SSL VPN group.
Crear o verificar los objetos de red correspondientes a:
- Red LAN.
- Red DMZ.
- Recursos necesarios para salida hacia WAN.
- Rango asignado a clientes VPN.
Configurar la política SSL VPN Remote Access incluyendo como miembros autorizados a los usuarios del grupo Remote SSL VPN group.
Añadir en la política SSL VPN los recursos permitidos a los que el usuario remoto podrá acceder.
Definir el rango de direcciones IP que Sophos asignará a los clientes VPN.
Configurar la VPN en modo full tunnel, activando Use as default gateway.
Crear una regla de firewall desde la zona VPN hacia LAN para permitir acceso a recursos corporativos internos.
Crear una regla de firewall desde la zona VPN hacia DMZ para permitir acceso a servicios alojados en la zona desmilitarizada.
Crear una regla de firewall desde la zona VPN hacia WAN para permitir navegación a Internet a través del firewall.
Descargar o importar la configuración en Sophos Connect Client.
Autenticarse con el usuario clockworker y validar el establecimiento del túnel VPN.
Comprobar que el cliente remoto puede acceder a los recursos permitidos y navegar a Internet usando Sophos Firewall como puerta de enlace.
Revisar logs y conexiones activas para verificar la trazabilidad del acceso remoto.

🔐 Justificación técnica y de seguridad

Clockwork Computer necesita proporcionar acceso remoto, pero no quiere exponer directamente servicios internos a Internet. La SSL VPN permite resolver esta necesidad creando un túnel cifrado entre el usuario y Sophos Firewall.

El uso de usuarios y grupos permite controlar qué personas pueden conectarse. La definición de recursos permitidos evita que la VPN otorgue acceso completo a toda la infraestructura. Las reglas entre zonas permiten aplicar el principio de mínimo privilegio incluso después de que el usuario se haya autenticado correctamente.

El modo full tunnel permite que el tráfico del usuario remoto pase por Sophos Firewall, lo que proporciona mayor visibilidad y control. Esto permite aplicar políticas corporativas de seguridad, registrar conexiones y evitar que el usuario navegue directamente desde redes externas no controladas mientras está conectado a la VPN.

🧪 Validación esperada

Al finalizar la práctica, Clockwork Computer deberá comprobar que:

El usuario clockworker puede autenticarse correctamente.
El usuario recibe una IP del rango VPN configurado.
El túnel VPN se establece mediante Sophos Connect Client.
El cliente remoto puede acceder a recursos de la LAN.
El cliente remoto puede acceder a recursos de la DMZ.
El cliente remoto puede navegar por Internet a través de Sophos Firewall.
Los logs del firewall muestran tráfico procedente de la zona VPN.
Las reglas creadas permiten únicamente los flujos definidos.

✅ Resultado empresarial esperado

Como resultado final, Clockwork Computer dispondrá de una solución de acceso remoto seguro basada en SSL VPN.

Los usuarios autorizados podrán conectarse desde ubicaciones externas mediante Sophos Connect Client, autenticarse con sus credenciales y acceder a los recursos corporativos permitidos.

El tráfico quedará centralizado a través de Sophos Firewall gracias al modo full tunnel, permitiendo aplicar controles de seguridad, registrar actividad y mantener visibilidad sobre el acceso remoto.

Esta práctica representa un caso empresarial real donde se evalúa la capacidad de diseñar, configurar y validar una solución VPN segura, controlada y alineada con buenas prácticas de segmentación y acceso remoto.