Aller au contenu
Avanet

Portails Sophos : SophosID, accès central, support et pare-feu

Sophos dispose de plusieurs portails qui se confondent facilement au quotidien : SophosID, Sophos Central, Support Portal, pare-feu local WebAdmin, User Portal, VPN Portal, Captive Portal et documentation. Il est important pour les administrateurs de savoir quel portail est destiné à quel usage, quel login est utilisé et quels accès sont critiques pour la sécurité.

Cet aperçu classe les portails Sophos les plus importants. L’article s’adresse en priorité aux administrateurs qui exploitent Sophos Firewall, Sophos Central ou Remote Access et qui ont besoin de savoir rapidement où est effectuée quelle tâche en cas de support.

Aperçu rapide

Les portails les plus importants :

  • SophosID : compte Sophos personnel pour se connecter aux services Sophos et accéder aux fonctionnalités d’assistance et de licence.
  • Sophos Central : Gestion cloud des produits, utilisateurs, appareils, licences, gestion des pare-feu et rapports.
  • Portail de support Sophos : Cas de support, RMA, Sophos KB et communications de support.
  • Sophos Firewall WebAdmin : gestion du pare-feu local pour les règles, VPN, NAT, certificats, journaux, firmware et Device Access.
  • User Portal : Fonctions utilisateur telles que OTP, quarantaine, téléchargements ou anciennes fonctions d’accès à distance.
  • VPN Portal : Accès à distance avec téléchargement Sophos Connect, configurations VPN et accès utilisateur.
  • Captive Portal : Connexion utilisateur pour l’accès au réseau, les invités ou les utilisateurs internes via la connexion au navigateur.
  • Documents Sophos et notes de version : manuels actuels, notes de version et limitations connues.

Tous les portails ne sont pas pertinents dans tous les environnements. Une installation de pare-feu Sophos pur sans point de terminaison central nécessite un accès différent de celui d’une entreprise avec Sophos Central, MDR, ZTNA et plusieurs pare-feu.

Compte Sophos et portails cloudCes portails se situent en dehors du pare-feu local et concernent les comptes, les licences, la gestion du cloud ou le support. Ils deviennent particulièrement importants lorsqu’il y a plusieurs administrateurs, Sophos Central ou un cas de support en jeu.

SophosID

Le SophosID est le compte Sophos personnel. SophosID est utilisé pour plusieurs services Sophos, tels que les fonctions d’assistance, de compte et de licence, ou l’accès à certains portails Sophos.

Ouvrez SophosID :

SophosID Ouvrir un compte

Important pour le fonctionnement :

  • Les comptes SophosID doivent être personnels et non une connexion d’équipe partagée.
  • MFA doit être activé si Sophos le propose pour l’accès correspondant.
  • Si vous quittez, les accès personnels doivent être supprimés des contextes Sophos Central, support et licence.
  • Les rôles et responsabilités doivent être documentés pour les prestataires de services ou plusieurs administrateurs.

Si un Sophos Firewall doit être transféré vers un autre compte, Transférer Sophos Firewall vers un autre compte Sophos Central vous aidera.

Sophos CentralSophos Central est la plateforme de gestion cloud pour de nombreux produits Sophos actuels. Selon la licence, le point final, le serveur, la messagerie électronique, le sans fil, ZTNA, la gestion du pare-feu, le reporting, MDR/XDR et d’autres fonctions y sont gérés.

Ouvrez Sophos Central :

Appelez Sophos Central

Autres introductions :

-Produits Sophos Central dans la boutique Avanet -Sophos Central Créer un compte test avec Sophos

Pour Sophos Firewall, Sophos Central est particulièrement pertinent si les pare-feu doivent être enregistrés, gérés de manière centralisée, inventoriés ou inclus dans Central Firewall Reporting. Le processus de connexion est décrit dans Connectez Sophos Firewall à Sophos Central. Activer Central Firewall Reporting convient au reporting.

Points administratifs importants :

  • Les administrateurs centraux doivent avoir leurs propres comptes et rôles appropriés.
  • Les rôles MFA et administrateur doivent être vérifiés régulièrement.
  • Le statut et les conditions de la licence font partie du processus opérationnel.
  • Les modifications via Sophos Central peuvent être rendues plus traçables dans les journaux d’audit des versions actuelles de SFOS.
  • S’il existe plusieurs comptes Central, il doit être clair quel locataire contient quels pare-feu et quelles licences.Sophos Central Vérifier les licences convient aux examens de licence. Sophos Central Rôles administratifs est pertinent pour les autorisations dans Central. Pour les structures plus grandes, Qu’est-ce que Sophos Central Entreprise ? est le meilleur début.

Portail d’assistance Sophos

Les dossiers de support et les RMA sont ouverts et gérés dans le Sophos Support Portal. C’est également le point d’entrée de nombreux articles publics de la base de connaissances Sophos.

Portail d’assistance ouvert :

Accédez au portail d’assistance Sophos

Pour les cas d’assistance, vous devez clarifier à l’avance :

  • Existe-t-il une autorisation de support valide ou une licence appropriée ?
  • Quel numéro de série ou ID de locataire central est concerné ?
  • Quelle version du micrologiciel, de l’appliance, des journaux et des messages d’erreur sont pertinents ?
  • Y a-t-il des captures d’écran, des fenêtres horaires et des étapes reproductibles ?
  • Qui peut être contacté en interne pour des questions ?

La procédure pratique se trouve dans Comment ouvrir un ticket d’assistance avec Sophos. Si Sophos nécessite l’accès à un pare-feu, celui-ci doit être configuré de manière contrôlée, puis supprimé à nouveau. Configurer l’accès au support Avanet sur Sophos Firewall convient pour cela.

Portails locaux Sophos Firewall

Les portails suivants fonctionnent sur ou à proximité immédiate de Sophos Firewall. Parce qu’ils sont plus proches du réseau productif, ils doivent être activés, nommés et sécurisés avec un soin particulier.

Local Sophos Firewall Administrateur Web

Le WebAdmin Console est l’interface d’administration locale du Sophos Firewall. L’accès s’effectue généralement via l’adresse IP du pare-feu et le port HTTPS configuré.

Tâches typiques :

  • Configurer les règles de pare-feu, NAT et routage
  • Gérer le VPN, les certificats et l’authentification
  • Vérifier les journaux, Packet Capture et les diagnostics
  • Effectuer des mises à jour et des sauvegardes du firmware
  • Device Access, accès MFA et administrateur sécurisé

Le WebAdmin Console n’est pas un portail Web normal, mais un accès direct à la gestion du pare-feu. Cet accès ne devrait être possible qu’à partir de réseaux fiables. L’élément de connexion le plus important est Sophos Firewall Accès sécurisé : configurez correctement Device Access.

Sophos Firewall Mise en route convient pour démarrer avec un nouveau pare-feu. Activer MFA pour Sophos Firewall WebAdmin, VPN Portal et l’accès à distance est pertinent pour Admin MFA.

User Portal, VPN Portal et Captive Portal

User Portal et VPN Portal sont souvent confondus. Les deux sont des services locaux de Sophos Firewall, mais ils effectuent des tâches différentes et ne doivent être activés que lorsqu’ils sont réellement nécessaires.Le User Portal est utilisé pour les fonctions utilisateur telles que l’OTP, les téléchargements personnels ou les fonctions VPN héritées en fonction de l’environnement. Le VPN Portal est particulièrement pertinent dans les scénarios d’accès à distance actuels pour Sophos Connect et les téléchargements de configuration VPN.

Une règle empirique judicieuse :

  • User Portal : Pour les utilisateurs internes ou connus, tels que OTP, les options personnelles ou les fonctions utilisateur héritées. Erreur typique : le portail reste accessible au public même s’il n’est plus nécessaire.
  • VPN Portal : Pour les utilisateurs d’accès à distance, Sophos Connect, profils VPN SSL et configurations d’accès à distance. Erreur typique : les utilisateurs ne voient pas les téléchargements car la stratégie, le groupe ou l’authentification ne correspondent pas.
  • Captive Portal : Pour les utilisateurs sur le réseau, la connexion au navigateur, les règles basées sur l’utilisateur ou l’accès invité. Erreur typique : il est confondu avec le VPN Portal ou utilisé sans concept clair de déconnexion/session.

Points importants :- Les trois portails sont des zones de connexion et sont donc critiques en matière de sécurité.

  • L’accessibilité est contrôlée via Administration > Device access.
  • L’accessibilité publique ne doit être effectuée que consciemment et avec une MFA, une journalisation et un contrôle d’accès strict.
  • Les anciens portails restent souvent ouverts même si les utilisateurs n’en ont plus besoin après le déploiement.
  • Après des modifications apportées au portail VPN, au certificat, au DNS ou aux groupes d’utilisateurs, les profils devront peut-être être réimportés.

Sophos Connect ou SSL VPN : Quelle solution d’accès à distance est adaptée ? convient à la décision d’accès à distance. Sophos Connect Vérifier la version du client et mettre à jour en toute sécurité aide aux mises à jour des clients et à la maintenance des profils.

Si un utilisateur est connecté au VPN Portal mais que les téléchargements de configuration comme .ovpn échouent de manière inattendue, le Sophos Firewall Limite d’ID utilisateur doit également être vérifié en plus des autorisations et du MFA.

Pour les nouveaux environnements VPN SSL, vous devez d’abord vérifier la configuration du pare-feu et les dépendances du portail. Le processus se trouve dans Sophos Firewall SSL VPN Configurer l’accès à distance.

Planifiez les certificats, les FQDN et les noms de portailLes problèmes de portail ressemblent souvent à une erreur de connexion ou de VPN pour les utilisateurs, mais ils commencent par le DNS et les certificats. Si WebAdmin, VPN Portal, User Portal, Captive Portal et WAF s’exécutent sur des noms d’hôte similaires ou sur la même adresse WAN, vous devez délibérément séparer et documenter les noms.

Planification typique :

  • WebAdmin : Exemple admin.example.com. Rendez-le accessible uniquement depuis les réseaux de gestion, utilisez le certificat approprié et activez MFA.
  • VPN Portal : Exemple vpn.example.com. Le certificat doit correspondre au profil de téléchargement, Device Access doit être défini délibérément.
  • User Portal : Exemple portal.example.com. Ne laissez actif que si les fonctions utilisateur sont vraiment nécessaires.
  • Captive Portal : Exemple login.example.com. Testez le certificat, la zone, le délai d’expiration de la session et le comportement de déconnexion.
  • Application WAF : Exemple app.example.com. Vérifiez ensemble la règle WAF, le SNI, les domaines et l’hôte backend.

Si le pare-feu lui-même doit obtenir des certificats publics, Sophos Firewall Configurer les certificats Let’s Encrypt convient. Pour les certificats génériques partagés sur plusieurs systèmes, Créer un certificat générique Let’s Encrypt est le meilleur début.La séquence de fonctionnement est importante : Planifiez d’abord le FQDN, le DNS et le certificat, puis limitez l’accès au portail via Administration > Device access et Local Service ACL, puis distribuez des profils d’accès à distance ou des règles WAF. Si un certificat ou un nom de domaine complet de portail est modifié ultérieurement, les profils Sophos Connect, les fichiers .ovpn, les signets et la surveillance doivent généralement également être vérifiés.

Captive Portal classer correctement

Le Captive Portal n’est pas un portail d’accès à distance. Il est utilisé lorsque les utilisateurs du réseau doivent d’abord se connecter au navigateur avant que le pare-feu puisse associer le trafic à une identité d’utilisateur. Cela peut être utile pour les invités, les appareils BYOD ou les environnements sans identification transparente de l’utilisateur.

Applications typiques :

  • Les invités ou les appareils BYOD doivent se connecter avant que l’accès à Internet ne soit autorisé.
  • Les règles de pare-feu basées sur l’utilisateur doivent prendre effet même si aucun mécanisme STA, SATC ou autre mécanisme transparent n’est disponible.
  • Les réseaux individuels nécessitent un mappage utilisateur simple sans intégration complète des points finaux.Captive Portal ne doit pas être considéré comme un substitut à une segmentation propre du réseau. Si un réseau mérite particulièrement d’être protégé, la séparation via des zones, des VLAN et des règles de pare-feu claires restent plus importantes. Les bases sont dans Planifier les zones et interfaces sur Sophos Firewall. Pour une connexion utilisateur classique avec Active Directory, Intégrer Active Directory dans Sophos Firewall convient.

Si Captive Portal doit être utilisé avec Microsoft Entra ID SSO, le processus est différent de celui de VPN Portal ou Sophos Connect. Configurer Microsoft Entra ID SSO pour Sophos Firewall Captive Portal convient pour cela.

Important en fonctionnement :

  • Captive Portal nécessite des services de pare-feu locaux accessibles. Device Access et Local Service ACL doivent correspondre à cela.
  • Les délais d’expiration des sessions doivent correspondre à l’environnement. Les sessions trop longues diluent l’allocation des utilisateurs, les sessions trop courtes perturbent les utilisateurs.
  • La déconnexion, le mappage de groupe et Log Viewer doivent être testés avec de vrais utilisateurs de test.
  • Dans les réseaux comportant des systèmes sensibles, Captive Portal n’est généralement pas assez puissant comme contrôle unique.Si Captive Portal n’est pas accessible depuis un réseau, vous ne devez pas modifier au préalable les règles normales du pare-feu. La cause est souvent Administration > Device access, Local Service ACL Exception Rules, DNS, certificat ou mappage de zone incorrect. Device Access et Local Service ACL à Sophos Firewall convient au contrôle d’accès local.

Opérations, documentation et sécurité

En plus d’un portail adéquat, il est crucial que l’accès, la documentation et les processus opérationnels soient vérifiés régulièrement.

Vérifiez spécifiquement la documentation

Pour les détails techniques actuels, les documents Sophos officiels et les notes de version sont plus importants que les anciens articles de blog ou les captures d’écran. Surtout avec les versions SFOS, Sophos Connect, les modifications de licence, la prise en charge de la plate-forme et les limitations connues, vous devez vérifier les informations dépendantes de la version avant d’effectuer une modification productive. Ces sources ne doivent être liées dans l’article lui-même que si l’administrateur a réellement besoin de les ouvrir pour l’étape de travail spécifique.

Lorsqu’il s’agit de sujets relatifs aux micrologiciels, ce n’est pas seulement la disponibilité du téléchargement qui compte. Avant une mise à jour, la plate-forme, le chemin de mise à niveau, la sauvegarde, l’état HA et les bloqueurs connus sont importants. Le processus se trouve dans Vérifiez Sophos Firewall avant la mise à niveau vers SFOS 22 et Mise à jour du micrologiciel Sophos Firewall - Préparation et meilleures pratiques.

Contrôle de sécurité pour l’accès au portail

Les portails sont pratiques, mais chaque connexion constitue une surface d’attaque potentielle. C’est pourquoi vous devriez vérifier régulièrement :

  • Quels SophosID et administrateurs centraux existent encore ?
  • L’authentification MFA est-elle active pour les administrateurs SophosID, Sophos Central et le pare-feu ?
  • WebAdmin, SSH, User Portal, VPN Portal et SSL VPN sont-ils accessibles uniquement là où ils sont nécessaires ?
  • Existe-t-il des comptes d’administrateur partagés qui devraient être remplacés ?
  • Les échecs de connexion sont-ils vérifiés régulièrement ?
  • Les anciens profils VPN, les anciens utilisateurs et les anciens fournisseurs de services sont-ils supprimés ?
  • Existe-t-il une nouvelle sauvegarde et un accès de récupération connu ?

Pour les services de pare-feu locaux, Device Access est le point de contrôle central. Sophos Firewall Envoyer le journal système au SIEM est judicieux pour un stockage de journaux plus long ou une surveillance de la sécurité.

FAQ

SophosID est-il identique à Sophos Central ?

N° SophosID est le compte personnel ou l’identité des services Sophos. Sophos Central est la plateforme de gestion cloud où sont gérés les produits, les appareils, les utilisateurs, les licences et les fonctions de sécurité.

De quel portail avez-vous besoin pour un Sophos Firewall ?

Pour un fonctionnement local, vous avez besoin du pare-feu WebAdmin Console. SophosID, Sophos Central et le portail d’assistance peuvent également être pertinents pour l’enregistrement, l’octroi de licences, l’assistance, la gestion centrale ou le reporting.

Où ouvrir un ticket d’assistance Sophos ?

Les tickets d’assistance sont ouverts sur le portail d’assistance Sophos. Le numéro de série, l’état de la licence, la version du micrologiciel, la description de l’erreur, les journaux et les fenêtres horaires doivent être collectés au préalable.

Le User Portal ou le VPN Portal doivent-ils être accessibles depuis Internet ?

Seulement quand c’est vraiment nécessaire. Si un portail est accessible au public, MFA, Device Access, les règles d’exception ACL, la journalisation et les contrôles réguliers doivent être correctement mis en œuvre.

Captive Portal est-il une alternative à VPN Portal ?

Non. Captive Portal est destiné aux utilisateurs du réseau local qui se connectent via un navigateur afin que le pare-feu puisse associer le trafic à une identité utilisateur. VPN Portal et Remote Access, quant à eux, permettent un accès externe aux ressources internes.

Où pouvez-vous trouver les notes de version actuelles de Sophos Firewall ?

Les notes de version actuelles se trouvent dans la documentation officielle de Sophos. Lorsque vous planifiez une mise à niveau, vous devez également consulter les articles de la base de connaissances Avanet existants sur le micrologiciel, la sauvegarde, la haute disponibilité et l’accès à distance.