Conecte Sophos Firewall a través de SSH
Para muchas tareas de soporte y solución de problemas, necesita acceso al Sophos Firewall a través de SSH. Estos incluyen, por ejemplo, análisis de registros, reinicios de servicios, comandos de diagnóstico especiales o trabajo en el Advanced Shell.
Pero SSH también es un acceso de gestión de alto riesgo. Por lo tanto, el acceso solo debe permitirse desde redes de administración confiables, a través de una regla de excepción específica Local Service ACL o mediante un acceso de soporte claramente definido. Para el fortalecimiento general de los servicios de firewall locales, también es adecuado Configurar Device Access correctamente.
Requisitos
Para una conexión del SSH al Sophos Firewall necesita:
- Acceso administrativo al Sophos Firewall.
- La dirección IP o nombre DNS del firewall.
- Acceso al usuario
admin. - Una fuente de administración confiable, por ejemplo, red de administración, VPN o IP de administración fija.
- En macOS o Linux: la aplicación Terminal preinstalada con SSH.
- En Windows: Terminal de Windows con OpenSSH o PuTTY.
- Se permitió el acceso a SSH bajo Administration > Device access o mediante una Regla de excepción de ACL de servicio local.
- Para cambios planificados en el Advanced Shell: copia de seguridad, ventana de mantenimiento y ruta de reversión clara.
⚠️ SSH solo debe permitirse desde redes confiables. Para entornos productivos, es mejor restringir el acceso a una IP de administración o a una red de administración en lugar de publicar SSH de manera general.
Aclarar de antemano para qué se necesita SSH
No todos los análisis necesitan el Advanced Shell. Antes de iniciar sesión, debe quedar claro qué consola se requiere y qué tan grave es la intervención.
- Enrutamiento, DNS, Ping, comandos simples del sistema: Device Console. Sophos CLI, menos riesgoso que el Advanced Shell.
- Leer archivos de registro,
tail,grep,less: Advanced Shell. Sólo lectura, no modificar ni eliminar archivos. - Verificar el estado del servicio o depurar: Advanced Shell. Solo active específicamente la depuración y desactívela nuevamente.
- Ejecutar comandos desconocidos: Verifique primero o abra un caso de soporte. No intentar en el sistema de producción.
La distinción es importante porque Device Console y Advanced Shell utilizan una sintaxis diferente. Muchos errores ocurren simplemente porque se ingresa un comando correcto en el lugar incorrecto. Hay disponible una descripción general más amplia en Sophos Firewall Solución de problemas: Services y registros.
SSH Permitir acceso en el firewall
Para que sea posible una conexión, el Sophos Firewall debe permitir SSH en la zona apropiada o mediante una regla de excepción Local Service ACL.
- Inicie sesión en el administrador web del Sophos Firewall.
- Abra Administración.
- Seleccione Device access.
- Verifique si SSH está permitido para la zona deseada.
Para redes de administración interna, SSH se puede activar directamente para la zona apropiada, por ejemplo para LAN. Si el acceso se va a restringir de manera más específica, tiene sentido una Regla de excepción de ACL de servicio local.
Device Access controla el acceso al propio firewall. Esto no es lo mismo que una regla de firewall normal que permite el tráfico a través del firewall. Si SSH en Device Access está habilitado de manera demasiado amplia, un cliente alcanzará el servicio SSH local del firewall independientemente de si una regla clásica de LAN a WAN está construida limpiamente.
En el caso de una excepción de ACL, los valores deben establecerse lo más estrictamente posible:
- Zona de origen: la zona desde la que se realiza la administración
- Red de origen/Host: la IP del administrador o la red de administración
- Services: SSH
- Acción: Aceptar

No se debe poder acceder a SSH sin control desde Internet. Si es necesario el acceso externo, solo se debe permitir a través de una IP de origen claramente definida, VPN o acceso de soporte dedicado.
Almacenar clave pública para administrador
Para el acceso a SSH, la autenticación de clave pública es el método preferido. En Sophos Firewall, la clave pública del usuario admin se puede almacenar en Administration > Device access. El inicio de sesión con contraseña puede ser necesario para emergencias, pero no debería seguir siendo el acceso predeterminado más conveniente.
⚠️ Un inicio de sesión SSH en Sophos Firewall solo es posible con el usuario
admin. Otros usuarios de WebAdmin no pueden iniciar sesión a través de SSH.
Importante: Solo el administrador predeterminado puede cambiar la autenticación de clave pública para SSH, es decir, agregar o eliminar claves. Para las operaciones, esto significa: Los cambios clave pertenecen a un proceso de administración documentado y no deben tratarse como un atajo de soporte espontáneo.
La clave pública se agrega en el área Autenticación de clave pública para administrador:
- Abra Administración.
- Seleccione Device access.
- Desplácese hasta el área Autenticación de clave pública para administrador.
- Active Habilitar autenticación.
- Agregue la clave pública en Authorized keys.
- Guarde con Aplicar.

La clave privada siempre permanece en el cliente administrador y no se puede compartir. Sólo la clave pública se almacena en el firewall.
Si varios administradores usan SSH, no se debe compartir la misma clave privada. Es mejor tener clientes de administración separados, claves públicas documentadas y una revisión de qué claves aún son necesarias. Después de cambios de personal o proveedores de servicios, se debe verificar el área Authorized keys.
Tipos de claves SSH compatibles
No todos los tipos de llaves SSH modernos son igualmente adecuados para Sophos Firewall. Antes de implementar, debe verificar si el tipo de clave es compatible.
- RSA: Utilice al menos 2048 bits.
- DSA: Al menos 2048 bits, si es necesario por motivos de compatibilidad.
- ECDSA: Soportes; ED25519 no se acepta para este propósito.
- ED25519: Para SSH Public Key Authentication no utilizar en Sophos Firewall.
Para el acceso de administrador nuevo, una clave RSA o ECDSA compatible administrada adecuadamente suele ser más pragmática que un tipo de clave moderna que el firewall o una herramienta SSH más antigua no acepta.
Conéctate a macOS o Linux
Por lo general, ya hay un cliente SSH presente en macOS y Linux. La conexión se establece en el terminal.
Ejemplo:
ssh admin@192.0.2.1
192.0.2.1 se reemplaza por la dirección IP o nombre DNS de su propio Sophos Firewall.
Cuando se establece la conexión por primera vez, el cliente SSH pregunta si se debe aceptar la huella digital del sistema de destino. Esta huella digital debe verificarse y luego confirmarse. Si aparece una advertencia sobre una clave de host modificada después de una nueva imagen, un reemplazo de hardware o un cambio de IP, la nueva huella digital no debe aceptarse ciegamente. Primero verifique si el mismo firewall realmente ha sido reemplazado, reinstalado o movido a una nueva IP. Sólo entonces se podrá limpiar la entrada anterior en ~/.ssh/known_hosts y aceptar la nueva huella digital.
Dependiendo de la configuración, a continuación se solicita la contraseña del usuario admin o se realiza el inicio de sesión mediante la clave SSH almacenada.
Si se debe utilizar una clave privada específica:
ssh -i ~/.ssh/sophos-admin-key admin@192.0.2.1
Para el acceso recurrente, se debe documentar la ruta clave, la IP de origen permitida y el propósito. La entrada known_hosts no debe copiarse en tickets o historiales de chat; Para las advertencias de claves de host, el historial de cambios es más importante que una solución rápida.
Conéctese a PuTTY
En Windows, puede usar Windows Terminal con OpenSSH o usar PuTTY.
Con Windows Terminal, establecer una conexión funciona de manera similar a macOS o Linux:
ssh admin@192.0.2.1
Para PuTTY:
- Abra PuTTY.
- Ingrese la dirección IP o el nombre DNS del Sophos Firewall en Nombre de host.
- Establezca Puerto en
22. - Establezca Tipo de conexión en SSH.
- Conéctese con Abrir.
- Verifique y confirme la huella digital SSH.
- Inicie sesión como usuario
adminy use la contraseña o la clave SSH según la configuración.
Después de iniciar sesión, aparece el menú de la consola Sophos Firewall.
Si se utiliza PuTTY con una clave privada, la clave debe coincidir con la clave pública almacenada en el firewall. Después de un cambio de personal o de proveedor de servicios, no sólo se debe cambiar la contraseña; Las claves públicas antiguas también deben eliminarse de Authorized keys.
Abrir Device Console o Advanced Shell
Después de iniciar sesión correctamente a través de SSH, el firewall muestra un menú de consola. La opción que elijas dependerá de lo que quieras hacer.
Para muchos comandos SFOS utiliza:
4. Device Console
Para tareas más profundas de Linux o sistemas de archivos, utilice Advanced Shell a través de:
5. Device Management > Advanced Shell
El Advanced Shell ofrece un acceso muy amplio al sistema. Los comandos sólo deben ejecutarse allí si está claro lo que hacen.
- Device Console:
ping,dnslookup,traceroute,show, Opciones de enrutamiento u sistema. - Advanced Shell: Leer
/log,tail -f,grep,less,service -S, registros de depuración.
Para el análisis de registros, nombres de servicios y patrones de error típicos, Solución de problemas Sophos Firewall: Services y registros es un mejor punto de partida que memorizar comandos individuales.
Terminar la conexión
Cuando se complete el trabajo, la sesión SSH debería cerrarse limpiamente:
exit
Si se encuentra en un submenú, puede que sea necesario volver primero al menú principal y luego finalizar la sesión.
Si SSH solo se activó temporalmente para un caso de soporte, la versión debe eliminarse o desactivarse. Esto es especialmente cierto para las excepciones de ACL que provienen de direcciones IP de origen externo o del acceso de un proveedor de servicios.
Después de intervenciones profundas, también se debe comprobar lo siguiente:- ¿La depuración está deshabilitada nuevamente?
- ¿Se ha eliminado o deshabilitado una regla de excepción de ACL temporal?
- ¿No se dejaron archivos temporales, volcados de soporte o grabaciones innecesarias en el firewall?
- ¿Están documentados los extractos del registro, la hora, el comando y el resultado en el ticket o cambio?
- ¿Se usó la clave SSH solo para acceso programado de administrador o soporte?
Problemas comunes
Se rechaza la conexión
Si se rechaza la conexión, normalmente no se permite SSH en el firewall para la zona o fuente seleccionada. En este caso, se debe marcar Administration > Device access. Además, verifique si una regla de excepción de ACL permite la fuente o si se eliminó deliberadamente una versión más amplia de acceso al dispositivo.
Se agota el tiempo de conexión
Un tiempo de espera a menudo indica que no se puede acceder al firewall a través de la dirección IP seleccionada, que falta una ruta o que un firewall ascendente está bloqueando el acceso.
El inicio de sesión falla
Si el inicio de sesión falla, se debe verificar el usuario admin, la contraseña o la clave SSH y las redes de origen permitidas. Los mensajes típicos como Permission denied (publickey,password) indican una contraseña incorrecta, una clave privada incorrecta o falta una configuración de clave pública.
Si falla el inicio de sesión con clave pública, verifique además el tipo de clave, la longitud de la clave, la clave privada incorrecta, el formato de clave PuTTY y la entrada en Authorized keys. Un servicio SSH correctamente permitido no ayuda si la clave no coincide con la clave pública almacenada.
Aparece una advertencia de clave de host
Una advertencia de clave de host puede ser inofensiva si se ha reinstalado o reemplazado un firewall. La advertencia también puede indicar un sistema de destino incorrecto o una confusión de direcciones IP. Por lo tanto, primero verifique el firewall, la dirección IP, el DNS y el historial de cambios. Sólo entonces se debe eliminar la antigua entrada known_hosts.
Se abrió una consola incorrecta
Si no se reconoce un comando, a menudo se abre la consola equivocada. Comandos como system ... suelen pertenecer al Device Console. Los comandos de registro y sistema de archivos como tail, grep, less o service -S pertenecen al Advanced Shell.
Lista de verificación operativa
- Permitir únicamente SSH de fuentes administrativas confiables.
- Si es posible, utilice la regla de excepción Local Service ACL en lugar de la liberación de zona amplia.
- Prefiera Public Key Authentication a
admin. - Utilice el tipo de clave admitido y la longitud de la clave del documento.
- No compartir claves privadas.
- Verifique la huella digital SSH en el primer inicio de sesión.
- Maneje conscientemente las advertencias de la clave del host después de una nueva imagen o reemplazo de hardware.
- No confundir Device Console y Advanced Shell.
- Realizar cambios en el Advanced Shell únicamente con un propósito claro.
- Eliminar versiones temporales de SSH después de casos de soporte.
- Eliminar claves públicas antiguas después de cambiar de personal o proveedores de servicios.
Preguntas frecuentes
¿Qué usuario se utiliza para SSH en Sophos Firewall?
admin en Sophos Firewall. Los usuarios normales de WebAdmin, incluso con derechos administrativos, no inician sesión como sus propios usuarios de SSH.