Configurar acceso de soporte de Avanet en Sophos Firewall
Para casos de soporte, cambios planificados o un análisis conjunto de errores, puede ser útil dar acceso temporal a Avanet a un Sophos Firewall. Sin embargo, este acceso no debe lograrse haciendo que WebAdmin o SSH sean accesibles desde Internet en general. Es mejor un acceso de soporte claramente delimitado con un usuario administrador propio, fuente definida y documentación de la reversión.
Esta guía describe un procedimiento típico para el acceso a través de HTTPS/WebAdmin y opcionalmente SSH. Para los fundamentos generales de los servicios locales de firewall, también es útil Device Access y Local Service ACL en Sophos Firewall. Si se utiliza SSH, también debería conocerse Conectar Sophos Firewall por SSH.
⚠️ Un acceso de soporte es un acceso administrativo al firewall. Debe estar activo solo durante el tiempo necesario, limitarse lo más posible a la fuente de soporte y revisarse o eliminarse después de concluir el caso.
Aclarar antes de configurar
Antes de otorgar acceso, debe estar claro qué acceso se necesita realmente. Para muchas tareas, basta con HTTPS/WebAdmin. SSH solo debe activarse si realmente se necesitan archivos de registro, CLI o Advanced Shell. Además, debe determinarse desde qué fuente se permitirá el acceso, cuándo se eliminará el acceso y si hay una copia de seguridad actual antes de realizar cambios importantes.
Si ya existe una cuenta de administrador o socio general, no debería simplemente crearse otra cuenta permanente. En tales casos, generalmente es mejor revisar el acceso existente, controlar MFA y roles, y solo permitir temporalmente la fuente.
Modelo de seguridad para el acceso de soporte
Un acceso de soporte no debe tratarse como una cuenta permanente normal. Es un acceso operativo que debe ser claro, limitado y fácil de retirar después del caso de soporte.
Variantes posibles:
- Usuario temporal
avanet: útil cuando hay una cita de soporte planificada y el acceso debe retirarse después. - Admin de soporte dedicado: útil si el soporte es regular, pero solo con contraseña fuerte, MFA y fuentes de acceso limitadas.
- Activación temporal de SSH o WebAdmin: útil para una ventana concreta de troubleshooting, pero después debe desactivarse o restringirse de nuevo.
- Acceso mediante Sophos Central o sesión remota: útil cuando no se quiere abrir acceso management entrante directo.
Lo importante es definir antes de la cita el acceso, método de autenticación, restricción de origen y rollback. En cambios sobre firewalls productivos también debe quedar claro quién aprueba el cambio y dónde se documenta. Para trazabilidad, los configuration audit logs y, para cambios mayores, Config Studio son temas útiles.
Definir contraseña, MFA y vía de entrega
El acceso técnico es solo una parte de la preparación del soporte. Igual de importante es cómo se entregan las credenciales y cómo se protege el acceso.
- Usar una contraseña única solo para este firewall y este acceso de soporte.
- No enviar contraseña y todos los detalles de acceso por el mismo canal.
- Activar MFA si la cuenta permanece activa durante más tiempo o permite acceso WebAdmin.
- Documentar si el acceso es temporal o permanente.
- Definir quién desactiva o elimina la cuenta después del caso de soporte.
- Si se requiere SSH, preferir autenticación con public key cuando sea posible.
Para cuentas admin, MFA para Sophos Firewall es el artículo complementario adecuado. Para SSH, el método con public key es preferible cuando encaja con el flujo de soporte.
Añadir usuario avanet
El usuario avanet está destinado al acceso WebAdmin. Esto permite rastrear mejor en el Audit Trail que un cambio se realizó en el contexto de un caso de soporte. El usuario debe tener una contraseña fuerte y solo debe estar activo mientras sea necesario.
- Abrir Authentication en la navegación izquierda.
- Seleccionar Users.
- Hacer clic en Add.

Valores típicos:
- Username:
avanet - Full name:
Avanet - Profile:
Administrator, si Avanet necesita revisar o cambiar completamente el firewall - Password: contraseña única o de soporte fuerte de un gestor de contraseñas
- Email: por ejemplo,
service@avanet.com
Luego guardar con Save o Add.
Si solo se planean tareas muy limitadas, puede ser más adecuado un perfil de administrador más restringido. Sin embargo, para muchos casos de soporte, Avanet necesita temporalmente derechos completos, ya que a menudo se deben revisar conjuntamente la causa, los registros, las reglas, NAT, VPN, enrutamiento y el estado del sistema.
Crear host FQDN para support.avanet.com
Para que la regla ACL no se aplique a fuentes de Internet arbitrarias, primero se crea un objeto host para la fuente de soporte de Avanet.
- Abrir Hosts and services.
- Seleccionar FQDN hosts.

Luego añadir un nuevo objeto FQDN:

- Name:
support.avanet.com - FQDN:
support.avanet.com - Description:
Acceso de soporte de Avanet
Guardar con Save. El firewall resolverá el FQDN a través de DNS y luego usará el objeto como fuente en la regla ACL local.
Configurar regla de excepción de ACL de servicio local
Los accesos a WebAdmin y SSH son servicios locales del firewall. No están a cargo de reglas de firewall normales, sino de Administration > Device access y Local service ACL exception rule.
- Abrir Administration.
- Seleccionar Device access.
- Desplazarse hasta la sección Local service ACL exception rule.
- Hacer clic en Add.

La regla debe establecerse lo más estrictamente posible:

- Rule name:
Avanet Support - Rule position: acorde a la estructura ACL existente, a menudo
Bottom - IP version:
IPv4, o adicionalmente IPv6, si se necesita expresamente - Source zone: Zona desde la que llega el acceso de soporte, a menudo
WAN - Source Network / Host: Objeto FQDN
support.avanet.com - Destination host:
Anyo específicamente la dirección del firewall, según el entorno - Services:
HTTPS;SSHsolo si realmente se necesita - Action:
Accept
Luego guardar y verificar la posición de la regla. Si hay una regla de rechazo o excepción más amplia por encima, la nueva regla puede ser ineficaz.
⚠️
Anycomo fuente no es una buena autorización de soporte para WebAdmin o SSH. Si la fuente no está clara, primero se debe aclarar con Avanet qué fuente de soporte se utilizará. Una autorización amplia aumenta inmediatamente la superficie de ataque del firewall.
Opcional: Registrar clave pública SSH
SSH solo se necesita si es necesario un análisis a través de Device Console, archivos de registro o Advanced Shell. Para muchos casos de soporte, WebAdmin es suficiente.

Es importante la distinción: el usuario avanet creado anteriormente es un usuario de WebAdmin. El acceso SSH a Sophos Firewall generalmente se realiza con el usuario admin. Por lo tanto, la clave pública SSH se registra en la sección Public key authentication for admin.
- Abrir Administration.
- Seleccionar Device access.
- Desplazarse hasta la sección Public key authentication for admin.
- Activar Enable authentication, si la autenticación por clave pública aún no está activa.
- Añadir la clave pública proporcionada por Avanet en Authorized keys.
- Guardar.
Ejemplo de clave pública de Avanet:
ssh-rsa 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
La clave privada no se almacena en el firewall y nunca debe compartirse por correo electrónico o chat. En el firewall, solo la clave pública debe estar en el campo para claves autorizadas.
Probar acceso
Después de guardar, el acceso no debe considerarse completado sin más. Es útil realizar una breve prueba de funcionamiento:
- Probar el acceso WebAdmin a través de la fuente de soporte de Avanet acordada.
- Verificar el inicio de sesión con el usuario
avanet. - Si se necesita SSH: probar la conexión con
adminy la clave pública. - En el Log viewer y, si es necesario, en el Audit Trail verificar si el inicio de sesión y los cambios posteriores son rastreables.
- Documentar cuándo se desactivará o eliminará el acceso.
Si el acceso no funciona, primero verificar la fuente y la regla ACL. Luego controlar la resolución DNS del objeto FQDN, la posición de la regla, Device Access, dispositivos NAT previos y el enrutamiento.
Revertir acceso después del caso de soporte
Después de concluir el caso de soporte, el acceso no debe permanecer inalterado de forma permanente. Según el acuerdo, hay tres variantes limpias:
- Desactivar usuario: Si se prevé soporte adicional más adelante, pero actualmente no se necesita acceso.
- Desactivar regla ACL: Si se desea mantener la cuenta, pero no debe haber acceso externo posible.
- Eliminar usuario y regla ACL: Si el acceso solo se necesitó una vez.
Además, se debe verificar si se puede eliminar una clave pública SSH. Si se realizaron cambios en el firewall, Backup y Restore en Sophos Firewall, Audit Trail Logs y, en caso de cambios en las reglas, Config Studio son útiles para la revisión.
Lista de verificación
- Usuario
avanetcreado con contraseña fuerte. - Perfil de administrador elegido y documentado conscientemente.
- Host FQDN
support.avanet.comcreado. - Regla de excepción de ACL de servicio local limitada a la fuente de soporte de Avanet.
- Solo servicios necesarios permitidos: HTTPS, SSH solo si es necesario.
- Clave pública SSH registrada solo en la sección Public key authentication for admin.
- Acceso probado y documentado en el ticket.
- Reversión o desactivación planificada después de la conclusión.
Preguntas frecuentes
¿Es necesario activar SSH para el acceso de soporte de Avanet?
¿Puede Avanet iniciar sesión por SSH con el usuario avanet?
avanet está destinado a WebAdmin. El acceso SSH a Sophos Firewall generalmente se realiza con el usuario admin; por lo tanto, la clave pública se registra en Public key authentication for admin.¿Qué sucede si cambia la dirección IP detrás de support.avanet.com?
¿Debería la fuente de la ACL de servicio local estar en Any?
Any como fuente es demasiado amplio. Es mejor un objeto FQDN, host o red para la fuente de soporte concreta.¿Qué servicios deben liberarse para el acceso de soporte?
HTTPS es suficiente para WebAdmin. SSH solo debe añadirse si es necesario para el análisis. No se deben liberar otros servicios de forma preventiva.