Ir al contenido
Avanet

Conectar a Sophos Firewall por SSH

Sophos Firewall

Muchas tareas de soporte y troubleshooting requieren acceso SSH a Sophos Firewall. Por ejemplo, análisis de logs, reinicio de servicios, comandos de diagnóstico especiales o trabajo en Advanced Shell.

Esta guía explica cómo preparar el acceso SSH, conectarse al firewall y abrir la consola necesaria.

Requisitos

Para una conexión SSH a Sophos Firewall se necesita:

  • Acceso administrativo a Sophos Firewall
  • La dirección IP o el nombre DNS del firewall
  • Acceso al usuario admin
  • En macOS o Linux: la app Terminal integrada con SSH
  • En Windows: Windows Terminal con OpenSSH o PuTTY
  • Acceso SSH permitido en Administration > Device access

⚠️ SSH solo debe permitirse desde redes de confianza. En entornos productivos es mejor limitar el acceso a una IP de gestión o a una red de administración, en lugar de permitir SSH de forma amplia.

Permitir acceso SSH en el firewall

Para que la conexión funcione, Sophos Firewall debe permitir SSH en la zona correspondiente o mediante una Local Service ACL Exception Rule.

  1. Iniciar sesión en Web Admin de Sophos Firewall.
  2. Abrir Administration.
  3. Seleccionar Device access.
  4. Comprobar si SSH está permitido para la zona necesaria.

Para redes internas de administración, SSH puede activarse directamente para la zona correspondiente, por ejemplo LAN. Si el acceso debe limitarse con más precisión, conviene usar una Local service ACL exception rule.

En una excepción ACL, los valores deben ser lo más restrictivos posible:

  • Source zone: la zona desde la que se administra
  • Source Network / Host: la IP de administración o la red de gestión
  • Services: SSH
  • Action: Accept
Sophos Firewall Local Service ACL Exception Rule para acceso SSH
Ejemplo de una Local Service ACL Exception Rule que permite acceso SSH solo desde un objeto de origen definido.

SSH no debe quedar accesible desde Internet sin restricciones estrictas. Si se necesita acceso externo, debe limitarse a una IP de origen definida, VPN o un acceso de soporte dedicado.

Añadir una clave pública para admin

Para accesos SSH, la autenticación con clave pública es el método preferido. En Sophos Firewall, la clave pública se añade para el usuario admin en Administration > Device access.

⚠️ El inicio de sesión SSH en Sophos Firewall solo es posible con el usuario admin. Otros usuarios de WebAdmin no pueden iniciar sesión por SSH.

La clave pública se añade en Public key authentication for admin:

  1. Abrir Administration.
  2. Seleccionar Device access.
  3. Ir a Public key authentication for admin.
  4. Activar Enable authentication.
  5. Añadir la clave pública en Authorized keys.
  6. Guardar con Apply.
Sophos Firewall Public Key Authentication para el usuario admin
Método preferido: activar Public Key Authentication para el acceso SSH con el usuario admin.

La clave privada permanece siempre en el equipo del administrador y no debe compartirse. En el firewall solo se guarda la clave pública.

Conexión desde macOS o Linux

En macOS y Linux normalmente ya hay un cliente SSH instalado. La conexión se realiza desde Terminal.

Ejemplo:

ssh admin@192.0.2.1

Sustituir 192.0.2.1 por la dirección IP o el nombre DNS de Sophos Firewall.

En la primera conexión, el cliente SSH pregunta si se debe aceptar la huella del sistema de destino. Esta huella debe comprobarse y confirmarse.

Según la configuración, se solicita la contraseña del usuario admin o se inicia sesión con la clave SSH configurada.

Conexión con PuTTY

En Windows se puede usar Windows Terminal con OpenSSH o PuTTY.

Con PuTTY:

  1. Abrir PuTTY.
  2. Introducir la dirección IP o el nombre DNS de Sophos Firewall en Host Name.
  3. Definir Port como 22.
  4. Definir Connection type como SSH.
  5. Conectar con Open.
  6. Comprobar y aceptar la huella SSH.
  7. Iniciar sesión como admin y usar la contraseña o la clave SSH según la configuración.

Después del login aparece el menú de consola de Sophos Firewall.

Abrir Device Console o Advanced Shell

Después de iniciar sesión por SSH, el firewall muestra un menú de consola. La opción depende de la tarea.

Para muchos comandos SFOS se usa:

4. Device Console

Para tareas Linux o de sistema de archivos más avanzadas, abrir Advanced Shell:

5. Device Management > Advanced Shell

Advanced Shell ofrece acceso muy amplio al sistema. Solo se deben ejecutar comandos si está claro qué efecto tienen.

Finalizar la conexión

Cuando el trabajo haya terminado, cerrar la sesión SSH correctamente:

exit

Si se está en un submenú, puede ser necesario volver primero al menú principal.

Problemas frecuentes

Conexión rechazada

Si la conexión se rechaza, normalmente SSH no está permitido en el firewall para la zona o el origen elegido. Comprobar Administration > Device access.

Timeout de conexión

Un timeout suele indicar que el firewall no es accesible mediante la IP elegida, falta una ruta o un firewall intermedio bloquea el acceso.

Falla el inicio de sesión

Si el login falla, comprobar el usuario admin, la contraseña o clave SSH y las redes de origen permitidas.