Ir al contenido
Avanet

Administrar Sophos Firewall CAPTCHA para WebAdmin y User Portal

Desde SFOS 18.0 MR3, el Sophos Firewall puede mostrar un CAPTCHA para el inicio de sesión del WebAdmin y para el User Portal. Esta protección se introdujo a raíz de una vulnerabilidad de seguridad y tiene como objetivo dificultar los intentos de inicio de sesión automatizados.

Puede desactivar o reactivar CAPTCHA a través de Device Console. Pero esto sólo debería ocurrir de forma consciente. WebAdmin, User Portal, VPN Portal y SSH forman parte de la superficie de ataque directo del firewall. Si se puede acceder a estos servicios desde redes inseguras, CAPTCHA no debería ser la única medida de protección y no debería eliminarse sin cuidado.

Inicio de sesión de Sophos Firewall WebAdmin con CAPTCHA
Inicio de sesión de Sophos Firewall WebAdmin con CAPTCHA
Portal de usuario de Sophos Firewall Iniciar sesión con CAPTCHA
Portal de usuario de Sophos Firewall Iniciar sesión con CAPTCHA

Clasificación

CAPTCHA no reemplaza un diseño de administración limpio en SFOS. Es un obstáculo adicional ante determinadas páginas de inicio de sesión. Lo que sigue siendo crucial es si estas páginas de inicio de sesión deben ser accesibles desde WAN, VPN, redes de invitados o redes internas amplias.

Qué páginas de inicio de sesión se ven afectadas

Los comandos de la consola del dispositivo en este artículo controlan CAPTCHA para dos páginas de inicio de sesión específicas:

  • Consola WebAdmin: webadminconsole. Inicio de sesión de administrador de interfaz local WebAdmin.
  • User Portal: userportal. Portal de usuario para configuraciones de VPN, OTP y funciones de usuario.

Sophos describe CAPTCHA para administradores en WebAdmin y para usuarios locales o invitados en User Portal cuando acceden a través de interfaces WAN o VPN. Esto no es lo mismo que proteger completamente todos los servicios de acceso remoto. VPN Portal, SSL VPN, IPsec, SSH, DNS, SNMP y otros servicios de firewall locales también deben controlarse mediante Administration > Device access, Local Service ACL, MFA, registro y un concepto limpio de acceso remoto.

Los puertos también ayudan a clasificar el caso: WebAdmin usa 4444 de forma predeterminada, User Portal usa 4443 y VPN Portal usa 443. Desde SFOS 20.0, VPN Portal es un servicio independiente. En actualizaciones, el puerto anterior de User Portal puede pasar a VPN Portal, mientras User Portal se mueve a 4443 o, si no está disponible, a 65040. Antes de probar CAPTCHA, se debe comprobar siempre qué página de inicio de sesión y qué puerto se están abriendo realmente.

El valor predeterminado documentado para los comandos globales y específicos de VPN es enabled. Si un inicio de sesión desde una interfaz LAN no muestra CAPTCHA, no es automáticamente una configuración incorrecta: Sophos no exige CAPTCHA para inicios de sesión desde LAN. En este contexto, los usuarios locales son usuarios de Sophos Firewall, no usuarios de un servidor de autenticación externo como Active Directory.

Según Sophos, CAPTCHA no está disponible en XG 85 y XG 85w. Si un appliance de este tipo no muestra CAPTCHA, no es un caso normal de desactivación, sino una limitación de la plataforma.

Importante: Los intentos fallidos de CAPTCHA no son lo mismo que los inicios de sesión fallidos. Si un CAPTCHA falla antes de iniciar sesión, debe evaluar los bloqueos de inicio de sesión, los registros de autenticación y el acceso al portal por separado.

Para la lógica básica de los servicios de firewall local, Device Access y Local Service ACL en Sophos Firewall es el artículo de conexión más importante. Si no está claro si el acceso se controla mediante reglas de firewall normales o mediante Device Access, la regla Sophos Firewall no se aplica: verifique las causas será de ayuda.

Lo que este artículo no cubre

El artículo solo cubre la configuración global CAPTCHA para la consola WebAdmin y User Portal. Esto no reemplaza el refuerzo del acceso remoto y no es una guía para proteger SSL VPN, IPsec, Sophos Connect o Microsoft Entra ID SSO.

Cuando se trata de acceso remoto, otras cuestiones son más importantes:

SPX Portal y otras funciones del portal o de correo tampoco deben derivarse de estos comandos. Con SPX Portal, CAPTCHA permanece activo y no se puede desactivar mediante estos comandos de consola del dispositivo.

Cuándo no deshabilitar CAPTCHA

CAPTCHA debe permanecer activo si se aplica alguna de estas condiciones:

  • Se puede acceder a WebAdmin desde WAN o desde amplias redes internas.
  • Se puede acceder al User Portal desde Internet.
  • VPN Portal o SSL VPN son de acceso público.
  • MFA no está habilitado constantemente para administradores y usuarios de acceso remoto.
  • Hay muchos intentos fallidos de inicio de sesión en el registro.
  • No existe una red de gestión dedicada.
  • El acceso a WebAdmin o SSH no está restringido a través de Device Access.

CAPTCHA no previene ataques dirigidos y no reemplaza a MFA. Sin embargo, reduce los intentos de inicio de sesión automatizados y el ruido de fondo. Si lo elimina, otros controles deberían hacer clic limpiamente.

Decisión y preparación

¿Dejar activo o desactivar temporalmente?

En la práctica, existen pocas buenas razones para desactivar CAPTCHA. Esta decisión debe tratarse como un pequeño cambio de seguridad.

  • Se puede acceder a WebAdmin o User Portal desde Internet: Deje CAPTCHA activo y verifique disponibilidad, MFA y registros primero.
  • Solo se permite el acceso a la red de administración o al administrador VPN: La desactivación temporal puede estar justificada si está documentada.
  • Problema de accesibilidad con administradores o usuarios individuales: Limitar fuente, dejar activo MFA y excepción de documento.
  • Prueba automatizada en un entorno de laboratorio: sólo de forma aislada, no para portales productivos.
  • Caso de soporte con cambio por tiempo limitado: Guarde el estado de antemano, reactívelo después o documente una excepción deliberada.

Si la justificación es simplemente “más conveniente”, CAPTCHA no debe desactivarse. Es mejor diseñar el acceso a WebAdmin o User Portal de tal manera que los usuarios autorizados tengan menos obstáculos, sin exponer la página de inicio de sesión innecesariamente.

Mejor alternativa: reducir la accesibilidad

A menudo, el problema real no es CAPTCHA, sino una página de inicio de sesión que es demasiado accesible. Si un portal sólo se utiliza ocasionalmente, suele ser más limpio reducir la accesibilidad en lugar de eliminar la protección de inicio de sesión adicional.

Decisiones típicas:

  • Los administradores deben acceder a WebAdmin sin ruido de inicio de sesión público: Permitir únicamente WebAdmin desde la red de administración, administrador VPN o IP de administrador fija.
  • Los usuarios solo necesitan el User Portal para la primera descarga del VPN: Hacer que el portal sea accesible por tiempo limitado o solo desde redes internas/VPN.
  • El apoyo externo necesita acceso a corto plazo: Utilice la regla de excepción temporal Local Service ACL con fecha de revisión.
  • CAPTCHA interrumpe las pruebas de laboratorio automatizadas: sólo se desactiva en un entorno de prueba aislado, no se transfiere a portales productivos.

Este orden es importante: primero reduzca la superficie de ataque y luego decida por CAPTCHA. Si WebAdmin, User Portal o VPN Portal siguen estando ampliamente disponibles, la desactivación debería estar muy bien justificada y además protegida con MFA, registros y revisiones periódicas.

Verificar antes de deshabilitar

Antes de realizar cualquier cambio se deben comprobar estos puntos:

  1. Device Access: ¿Solo se puede acceder a WebAdmin o User Portal desde fuentes confiables?
  2. MFA: ¿Está activo MFA para WebAdmin, VPN Portal y acceso remoto?
  3. Registro: ¿Se verifican los inicios de sesión fallidos y el acceso al portal?
  4. Acceso a SSH: ¿SSH solo se permite temporalmente o desde una red de administración?
  5. Respaldo: ¿Está claro cómo volver a habilitar CAPTCHA si es necesario?
  6. Motivo: ¿Existe realmente un motivo técnico, como accesibilidad, automatización en un laboratorio aislado o un escenario de soporte temporal?

Para la restricción de acceso, Configurar Device Access correctamente es el artículo central. Para inicios de sesión de administrador y portal, también se debe marcar MFA para Sophos Firewall WebAdmin, VPN Portal y activar acceso remoto.

⚠️ Atención: CAPTCHA no debe desactivarse para que los portales de acceso público sean más convenientes. Primero reduzca la accesibilidad, active MFA y verifique los registros.

Cambio en Device Console

Abrir SSH y Device Console

La configuración CAPTCHA se cambia a través del Device Console. Para ello necesita acceso SSH al firewall.

  1. Permita el acceso a SSH en Administration > Device access solo para una fuente confiable.
  2. Conéctese al usuario admin a través de SSH.
  3. Abra Device Console en la descripción general de la consola.

Las instrucciones Conectar Sophos Firewall a través de SSH describen el acceso seguro al SSH con macOS, Linux y Windows.

Después del cambio, SSH debería limitarse nuevamente al mínimo necesario. Los siguientes comandos system captcha-authentication-global pertenecen a Device Console, no a Advanced Shell. Si los archivos de registro se verifican con tail, grep o less, Advanced Shell es correcto. La distinción se explica en Solución de problemas de Sophos Firewall: Services y registros.

Ver el estado de CAPTCHA

Antes de realizar cualquier cambio, primero se debe verificar el estado actual.

Para la configuración global de WebAdmin:

system captcha-authentication-global show for webadminconsole

Para la configuración global de User Portal:

system captcha-authentication-global show for userportal

El comando muestra si CAPTCHA está activo para la página de inicio de sesión respectiva. El resultado debe documentarse con la fecha, el firewall, el administrador y el motivo para que se pueda rastrear el cambio más adelante.

Si no hay una excepcion deliberada documentada, el estado normal esperado deberia ser enabled.

¿Cambiar globalmente o solo específico de VPN?

Los comandos globales se aplican a la consola WebAdmin y User Portal a través de las interfaces WAN o VPN. Si lo desactiva, también anulará la configuración CAPTCHA específica de VPN.

El punto de partida seguro es por tanto: mantener la configuración global en enabled, comprobar el estado con show y cambiar la configuración específica de VPN solo para un caso VPN claro.

Si el problema sólo afecta a usuarios o administradores que acceden a través de VPN, primero debes comprobar si un cambio específico de VPN es suficiente:

system captcha-authentication-vpn show for webadminconsole
system captcha-authentication-vpn show for userportal

Una desactivación específica de VPN es más limitada que una desactivación global. Sin embargo, aquí también se aplica lo siguiente: documentar el motivo, probar el inicio de sesión real y volver a decidir conscientemente después del caso de soporte si CAPTCHA debe permanecer activo.

Caso especial: túnel IPsec con Remote Subnet Any

En conexiones IPsec site-to-site, CAPTCHA puede aplicarse de forma inesperada si un túnel está configurado con Remote Subnet Any. En ese caso, el firewall puede tratar el acceso a través de esta conexión de forma más amplia de lo previsto. Esto es especialmente relevante cuando administradores o usuarios locales acceden a WebAdmin o User Portal mediante un túnel site-to-site.

Antes de desactivar CAPTCHA, conviene revisar también la configuración IPsec:

  • ¿Existen conexiones IPsec policy-based con Remote Subnet Any?
  • ¿El acceso pasa por un túnel en el que la red remota no está claramente definida?
  • ¿Sería mejor separar o definir con más precisión la red remota?

Una configuración IPsec limpia suele ser la mejor solución frente a desactivar CAPTCHA de forma amplia. Más información sobre las rutas IPsec está disponible en el artículo Crear una ruta IPsec en Sophos Firewall.

Deshabilitar CAPTCHA para WebAdmin

Si CAPTCHA debe desactivarse deliberadamente para el inicio de sesión WebAdmin:

system captcha-authentication-global disable for webadminconsole

Si solo se ven afectados los accesos VPN, considere este comando más limitado:

system captcha-authentication-vpn disable for webadminconsole

Entonces deberías comprobar inmediatamente:

  1. Pruebe el inicio de sesión del WebAdmin desde la red de administración.
  2. WebAdmin Pruebe el inicio de sesión desde redes no autorizadas.
  3. Verifique Log Viewer para ver si hay inicios de sesión fallidos.
  4. Verifique MFA para administradores.

No se debe poder acceder a WebAdmin desde ninguna fuente. Si es necesario acceso externo, VPN, Sophos Central Firewall Management, una IP de administrador fija o una regla de excepción Local Service ACL son la mejor base.

Deshabilitar CAPTCHA para User Portal

Si CAPTCHA debe desactivarse deliberadamente para el User Portal:

system captcha-authentication-global disable for userportal

Si solo los usuarios de VPN se ven afectados, considere este comando más específico:

system captcha-authentication-vpn disable for userportal

Solo se debe acceder al User Portal cuando sea realmente necesario, por ejemplo para configuraciones de VPN, tokens OTP o funciones de usuario. En muchos entornos, el portal se requiere una vez para la configuración y luego permanece abierto innecesariamente.

Verificar después del cambio:

  1. Pruebe el inicio de sesión de User Portal con un usuario normal.
  2. Verifique el proceso MFA o OTP, si se usa.
  3. Verifique la accesibilidad desde WAN, VPN, LAN y redes de invitados.
  4. Verifique los inicios de sesión fallidos en Log Viewer.

Si el User Portal debe permanecer accesible públicamente, se deben verificar MFA, contraseñas seguras, registros, fuentes restringidas y, si es necesario, Sophos Firewall Threat Feeds.

Vuelva a habilitar CAPTCHA

Para WebAdmin:

system captcha-authentication-global enable for webadminconsole

Para User Portal:

system captcha-authentication-global enable for userportal

Para configuración específica de VPN:

system captcha-authentication-vpn enable for webadminconsole
system captcha-authentication-vpn enable for userportal

Después de la activación deberías mostrar el estado nuevamente:

system captcha-authentication-global show for webadminconsole
system captcha-authentication-global show for userportal
system captcha-authentication-vpn show for webadminconsole
system captcha-authentication-vpn show for userportal

Si CAPTCHA se desactivó debido a un caso de soporte, se debe reactivar después de cerrar el caso o la desactivación debe documentarse deliberadamente.

Inspección y operación de seguimiento

Inspección de seguimiento después del cambio.

Después de un cambio en CAPTCHA, no debe simplemente ejecutar el comando show. Lo crucial es si solo se puede acceder a la página de inicio de sesión afectada desde las redes previstas y si los eventos de inicio de sesión siguen siendo rastreables.

Control de seguimiento útil:

  1. Verifique el estado de WebAdmin y User Portal con show.
  2. Abra Administration > Device access y verifique las zonas permitidas para WebAdmin, User Portal, SSH, VPN Portal y SSL VPN.
  3. Pruebe WebAdmin o User Portal desde una red permitida.
  4. Pruebe el acceso desde una red no autorizada si esto es posible sin riesgo.
  5. Verifique los eventos de inicio de sesión fallidos y exitosos en Log Viewer.
  6. Controle MFA por separado para administradores y usuarios de acceso remoto.
  7. Elimine o limite estrictamente el acceso SSH después del cambio.

Si la página de inicio de sesión sigue siendo accesible desde WAN, la desactivación debe considerarse especialmente crítica. En este caso, son obligatorios MFA, restricciones de origen estrictas, registro y una revisión periódica. Por lo general, es incluso mejor no hacer que WebAdmin o User Portal sean ampliamente accesibles desde Internet.

También conviene evaluar Administration > Admin and user settings > Login security por separado. Según Sophos, los intentos fallidos de CAPTCHA no activan el bloqueo de inicio de sesión. En cambio, los inicios de sesión realmente fallidos pueden bloquear el acceso a WebAdmin, CLI, VPN Portal y User Portal desde la IP de origen, según la configuración. En Log Viewer debe distinguirse si falla el CAPTCHA o si falla el inicio de sesión real.

Documentar los cambios de forma comprensible

En el caso de cambios relevantes para la seguridad, debería quedar claro más adelante por qué se desactivó CAPTCHA y si el cambio sigue siendo necesario. A menudo es suficiente con una breve entrada en el sistema de cambio o de ticket.

Documentar:

  • Estado inicial para WebAdmin y User Portal.
  • Razón del cambio.
  • Firewall afectado y versión SFOS.
  • Tiempos, administración de ejecución y desmantelamiento planificado.
  • Qué restricciones de acceso y controles MFA están activos durante este tiempo.
  • Resultado de la inspección de seguimiento en el Log Viewer.

Si varios administradores trabajan en el firewall, el Seguro de auditoría Sophos Firewall también es útil. Sophos Firewall Solución de problemas: Services y registros es adecuado para iniciar sesión y solucionar problemas de servicio.

Medidas de protección recomendadas

Si CAPTCHA está deshabilitado, al menos estos controles deben estar implementados:

  • Solo se puede acceder a WebAdmin desde la red de administración, el administrador VPN o la IP de administrador fija.
  • SSH solo se permite cuando es necesario y solo de fuentes confiables.
  • MFA activo para administradores.
  • User Portal sólo accesible donde sea necesario.
  • VPN Portal y SSL VPN asegurados con MFA y registro.
  • Los inicios de sesión fallidos se revisan periódicamente.
  • Los portales externos se reducen mediante Device Access, Local Service ACL, bloqueo de países o feeds de amenazas.

Para servicios de acceso público, Sophos Firewall: Bloquear países e IP maliciosas también es adecuado. Para una verificación de seguridad más amplia, Sophos Firewall Use Health Check correctamente ayuda.

Errores típicos y solución de problemas

  • Deshabilite CAPTCHA porque es inconveniente: Las interfaces de inicio de sesión son más fácilmente atacadas automáticamente. Limite el acceso y habilite MFA.
  • Dejar WebAdmin accesible desde WAN: superficie de ataque de gestión directa. Utilice IP de administración, VPN o administración central.
  • Dejar User Portal permanentemente abierto: objetivo innecesario para bots y fuerza bruta. Hacer que el portal sólo sea accesible cuando sea necesario.
  • SSH dejar abierto después del cambio: El acceso CLI permanece expuesto. SSH restringir o deshabilitar nuevamente.
  • No documentar estado: examen posterior será difícil. antes y después de la ejecución show.
  • consola incorrecta utilizada: El comando no se reconoce. en la selección del menú SSH abra Device Console.
  • VPN Portal confundido con User Portal: falsa expectativa del comportamiento de CAPTCHA. Verifique la página de inicio de sesión afectada y el servicio de acceso al dispositivo por separado.
  • User Portal comparte puerto con SSL VPN: CAPTCHA no aparece como se esperaba para User Portal o se está probando el servicio incorrecto. planificar portal único y puertos VPN y probar con usuario real.
  • El cambio permanece activo después del caso de soporte: La protección se reduce permanentemente. Documentar el tiempo de desmontaje y revisión en el ticket.

Preguntas frecuentes

¿Es peligroso desactivar CAPTCHA en Sophos Firewall?

Depende de la accesibilidad. En una red de gestión aislada, el riesgo es significativamente menor que con WebAdmin o User Portal de acceso público. Sin MFA y restricción de acceso, CAPTCHA debería permanecer activo.

¿CAPTCHA reemplaza a MFA?

No. CAPTCHA complica los intentos de inicio de sesión automatizados. MFA proporciona protección adicional contra contraseñas robadas o adivinadas. MFA es más importante para el acceso de administrador y el acceso remoto.

¿Se puede cambiar CAPTCHA solo para WebAdmin o solo para Portal de usuario?

Sí. Los comandos de la consola del dispositivo diferencian entre webadminconsole y userportal.

¿CAPTCHA también se aplica al Portal VPN o VPN SSL?

Los comandos descritos aquí se aplican a la consola WebAdmin y User Portal. VPN Portal, SSL VPN, IPsec y SSH deben protegerse por separado mediante Device Access, Local Service ACL, MFA, registro y configuración de acceso remoto.

¿Debería desactivarse SSH después del cambio?

Cuando ya no se necesita SSH, se debe eliminar el acceso o al menos limitarlo a una red de administración.

¿De dónde viene la función CAPTCHA?

La función se introdujo con SFOS 18.0 MR3. El artículo de lanzamiento local de Avanet SFOS v18.0 MR3 - Nuevas características documenta la introducción y el comando de la consola del dispositivo en ese momento.