Aller au contenu
Avanet

Se connecter à Sophos Firewall via SSH

Sophos Firewall

De nombreuses tâches de support et de dépannage nécessitent un accès SSH à Sophos Firewall. Cela inclut par exemple l’analyse des journaux, le redémarrage de services, certaines commandes de diagnostic ou le travail dans l’Advanced Shell.

Ce guide explique comment préparer l’accès SSH, se connecter au pare-feu et ouvrir la console nécessaire.

Prérequis

Pour une connexion SSH à Sophos Firewall, il faut:

  • Un accès administrateur à Sophos Firewall
  • L’adresse IP ou le nom DNS du pare-feu
  • L’accès à l’utilisateur admin
  • Sur macOS ou Linux: l’application Terminal intégrée avec SSH
  • Sur Windows: Windows Terminal avec OpenSSH ou PuTTY
  • L’accès SSH autorisé sous Administration > Device access

⚠️ SSH ne doit être autorisé que depuis des réseaux de confiance. En production, il est préférable de limiter l’accès à une IP de management ou à un réseau d’administration plutôt que d’autoriser SSH largement.

Autoriser l’accès SSH sur le pare-feu

Pour que la connexion fonctionne, Sophos Firewall doit autoriser SSH sur la zone correspondante ou via une Local Service ACL Exception Rule.

  1. Se connecter au Web Admin de Sophos Firewall.
  2. Ouvrir Administration.
  3. Sélectionner Device access.
  4. Vérifier si SSH est autorisé pour la zone souhaitée.

Pour les réseaux d’administration internes, SSH peut être activé directement pour la zone concernée, par exemple LAN. Si l’accès doit être limité plus précisément, il faut utiliser une Local service ACL exception rule.

Pour une exception ACL, les valeurs doivent être aussi restrictives que possible:

  • Source zone: la zone depuis laquelle l’administration est effectuée
  • Source Network / Host: l’IP d’administration ou le réseau de management
  • Services: SSH
  • Action: Accept
Sophos Firewall Local Service ACL Exception Rule pour l'accès SSH
Exemple de Local Service ACL Exception Rule autorisant l’accès SSH uniquement depuis un objet source défini.

SSH ne doit pas être accessible depuis Internet sans restriction stricte. Si un accès externe est nécessaire, il doit être limité à une IP source définie, à un VPN ou à un accès de support dédié.

Ajouter une clé publique pour admin

Pour les accès SSH, l’authentification par clé publique est la méthode recommandée. Sur Sophos Firewall, la clé publique peut être ajoutée pour l’utilisateur admin sous Administration > Device access.

⚠️ La connexion SSH à Sophos Firewall n’est possible qu’avec l’utilisateur admin. Les autres utilisateurs WebAdmin ne peuvent pas se connecter via SSH.

La clé publique est ajoutée dans Public key authentication for admin:

  1. Ouvrir Administration.
  2. Sélectionner Device access.
  3. Aller à Public key authentication for admin.
  4. Activer Enable authentication.
  5. Ajouter la clé publique sous Authorized keys.
  6. Enregistrer avec Apply.
Sophos Firewall Public Key Authentication pour l'utilisateur admin
Méthode recommandée: activer Public Key Authentication pour l’accès SSH avec l’utilisateur admin.

La clé privée reste toujours sur le poste administrateur et ne doit pas être partagée. Seule la clé publique est enregistrée sur le pare-feu.

Connexion depuis macOS ou Linux

Sur macOS et Linux, un client SSH est généralement déjà installé. La connexion se fait dans Terminal.

Exemple:

ssh admin@192.0.2.1

Remplacer 192.0.2.1 par l’adresse IP ou le nom DNS de Sophos Firewall.

Lors de la première connexion, le client SSH demande si l’empreinte du système cible doit être acceptée. Cette empreinte doit être vérifiée puis confirmée.

Selon la configuration, le mot de passe de l’utilisateur admin est demandé ou la connexion s’effectue avec la clé SSH configurée.

Connexion avec PuTTY

Sous Windows, on peut utiliser Windows Terminal avec OpenSSH ou PuTTY.

Avec PuTTY:

  1. Ouvrir PuTTY.
  2. Saisir l’adresse IP ou le nom DNS de Sophos Firewall dans Host Name.
  3. Définir Port sur 22.
  4. Définir Connection type sur SSH.
  5. Se connecter avec Open.
  6. Vérifier et accepter l’empreinte SSH.
  7. Se connecter avec l’utilisateur admin et utiliser le mot de passe ou la clé SSH selon la configuration.

Après la connexion, le menu de console de Sophos Firewall apparaît.

Ouvrir Device Console ou Advanced Shell

Après une connexion SSH réussie, le pare-feu affiche un menu de console. L’option dépend de la tâche.

Pour de nombreuses commandes SFOS, utiliser:

4. Device Console

Pour des tâches Linux ou système de fichiers plus avancées, ouvrir l’Advanced Shell:

5. Device Management > Advanced Shell

L’Advanced Shell donne un accès très étendu au système. Les commandes ne doivent y être exécutées que si leur effet est clair.

Terminer la connexion

Une fois le travail terminé, fermer proprement la session SSH:

exit

Si l’on se trouve dans un sous-menu, il peut être nécessaire de revenir d’abord au menu principal.

Problèmes fréquents

Connexion refusée

Si la connexion est refusée, SSH n’est généralement pas autorisé sur le pare-feu pour la zone ou la source choisie. Vérifier Administration > Device access.

Timeout de connexion

Un timeout indique souvent que le pare-feu n’est pas joignable via l’adresse IP choisie, qu’une route manque ou qu’un pare-feu en amont bloque l’accès.

Échec de connexion

Si la connexion échoue, vérifier l’utilisateur admin, le mot de passe ou la clé SSH ainsi que les réseaux source autorisés.