Portails Sophos : SophosID, accès central, support et pare-feu
Sophos dispose de plusieurs portails qui se confondent facilement au quotidien : SophosID, Sophos Central, Support Portal, pare-feu local WebAdmin, User Portal, VPN Portal, Captive Portal et documentation. Il est important pour les administrateurs de savoir quel portail est destiné à quel usage, quel login est utilisé et quels accès sont critiques pour la sécurité.
Cet aperçu classe les portails Sophos les plus importants. L’article s’adresse en priorité aux administrateurs qui exploitent Sophos Firewall, Sophos Central ou Remote Access et qui ont besoin de savoir rapidement où est effectuée quelle tâche en cas de support.
Aperçu rapide
Les portails les plus importants :
- SophosID : compte Sophos personnel pour se connecter aux services Sophos et accéder aux fonctionnalités d’assistance et de licence.
- Sophos Central : Gestion cloud des produits, utilisateurs, appareils, licences, gestion des pare-feu et rapports.
- Portail de support Sophos : Cas de support, RMA, Sophos KB et communications de support.
- Sophos Firewall WebAdmin : gestion du pare-feu local pour les règles, VPN, NAT, certificats, journaux, firmware et Device Access.
- User Portal : Fonctions utilisateur telles que OTP, quarantaine, téléchargements ou anciennes fonctions d’accès à distance.
- VPN Portal : Accès à distance avec téléchargement Sophos Connect, configurations VPN et accès utilisateur.
- Captive Portal : Connexion utilisateur pour l’accès au réseau, les invités ou les utilisateurs internes via la connexion au navigateur.
- Documents Sophos et notes de version : manuels actuels, notes de version et limitations connues.
Tous les portails ne sont pas pertinents dans tous les environnements. Une installation de pare-feu Sophos pur sans point de terminaison central nécessite un accès différent de celui d’une entreprise avec Sophos Central, MDR, ZTNA et plusieurs pare-feu.
Compte Sophos et portails cloudCes portails se situent en dehors du pare-feu local et concernent les comptes, les licences, la gestion du cloud ou le support. Ils deviennent particulièrement importants lorsqu’il y a plusieurs administrateurs, Sophos Central ou un cas de support en jeu.
SophosID
Le SophosID est le compte Sophos personnel. SophosID est utilisé pour plusieurs services Sophos, tels que les fonctions d’assistance, de compte et de licence, ou l’accès à certains portails Sophos.
Ouvrez SophosID :
Important pour le fonctionnement :
- Les comptes SophosID doivent être personnels et non une connexion d’équipe partagée.
- MFA doit être activé si Sophos le propose pour l’accès correspondant.
- Si vous quittez, les accès personnels doivent être supprimés des contextes Sophos Central, support et licence.
- Les rôles et responsabilités doivent être documentés pour les prestataires de services ou plusieurs administrateurs.
Si un Sophos Firewall doit être transféré vers un autre compte, Transférer Sophos Firewall vers un autre compte Sophos Central vous aidera.
Sophos CentralSophos Central est la plateforme de gestion cloud pour de nombreux produits Sophos actuels. Selon la licence, le point final, le serveur, la messagerie électronique, le sans fil, ZTNA, la gestion du pare-feu, le reporting, MDR/XDR et d’autres fonctions y sont gérés.
Ouvrez Sophos Central :
Autres introductions :
-Produits Sophos Central dans la boutique Avanet -Sophos Central Créer un compte test avec Sophos
Pour Sophos Firewall, Sophos Central est particulièrement pertinent si les pare-feu doivent être enregistrés, gérés de manière centralisée, inventoriés ou inclus dans Central Firewall Reporting. Le processus de connexion est décrit dans Connectez Sophos Firewall à Sophos Central. Activer Central Firewall Reporting convient au reporting.
Points administratifs importants :
- Les administrateurs centraux doivent avoir leurs propres comptes et rôles appropriés.
- Les rôles MFA et administrateur doivent être vérifiés régulièrement.
- Le statut et les conditions de la licence font partie du processus opérationnel.
- Les modifications via Sophos Central peuvent être rendues plus traçables dans les journaux d’audit des versions actuelles de SFOS.
- S’il existe plusieurs comptes Central, il doit être clair quel locataire contient quels pare-feu et quelles licences.Sophos Central Vérifier les licences convient aux examens de licence. Sophos Central Rôles administratifs est pertinent pour les autorisations dans Central. Pour les structures plus grandes, Qu’est-ce que Sophos Central Entreprise ? est le meilleur début.
Portail d’assistance Sophos
Les dossiers de support et les RMA sont ouverts et gérés dans le Sophos Support Portal. C’est également le point d’entrée de nombreux articles publics de la base de connaissances Sophos.
Portail d’assistance ouvert :
➜Accédez au portail d’assistance Sophos
Pour les cas d’assistance, vous devez clarifier à l’avance :
- Existe-t-il une autorisation de support valide ou une licence appropriée ?
- Quel numéro de série ou ID de locataire central est concerné ?
- Quelle version du micrologiciel, de l’appliance, des journaux et des messages d’erreur sont pertinents ?
- Y a-t-il des captures d’écran, des fenêtres horaires et des étapes reproductibles ?
- Qui peut être contacté en interne pour des questions ?
La procédure pratique se trouve dans Comment ouvrir un ticket d’assistance avec Sophos. Si Sophos nécessite l’accès à un pare-feu, celui-ci doit être configuré de manière contrôlée, puis supprimé à nouveau. Configurer l’accès au support Avanet sur Sophos Firewall convient pour cela.
Portails locaux Sophos Firewall
Les portails suivants fonctionnent sur ou à proximité immédiate de Sophos Firewall. Parce qu’ils sont plus proches du réseau productif, ils doivent être activés, nommés et sécurisés avec un soin particulier.
Local Sophos Firewall Administrateur Web
Le WebAdmin Console est l’interface d’administration locale du Sophos Firewall. L’accès s’effectue généralement via l’adresse IP du pare-feu et le port HTTPS configuré.
Tâches typiques :
- Configurer les règles de pare-feu, NAT et routage
- Gérer le VPN, les certificats et l’authentification
- Vérifier les journaux, Packet Capture et les diagnostics
- Effectuer des mises à jour et des sauvegardes du firmware
- Device Access, accès MFA et administrateur sécurisé
Le WebAdmin Console n’est pas un portail Web normal, mais un accès direct à la gestion du pare-feu. Cet accès ne devrait être possible qu’à partir de réseaux fiables. L’élément de connexion le plus important est Sophos Firewall Accès sécurisé : configurez correctement Device Access.
Sophos Firewall Mise en route convient pour démarrer avec un nouveau pare-feu. Activer MFA pour Sophos Firewall WebAdmin, VPN Portal et l’accès à distance est pertinent pour Admin MFA.
User Portal, VPN Portal et Captive Portal
User Portal et VPN Portal sont souvent confondus. Les deux sont des services locaux de Sophos Firewall, mais ils effectuent des tâches différentes et ne doivent être activés que lorsqu’ils sont réellement nécessaires.Le User Portal est utilisé pour les fonctions utilisateur telles que l’OTP, les téléchargements personnels ou les fonctions VPN héritées en fonction de l’environnement. Le VPN Portal est particulièrement pertinent dans les scénarios d’accès à distance actuels pour Sophos Connect et les téléchargements de configuration VPN.
Une règle empirique judicieuse :
- User Portal : Pour les utilisateurs internes ou connus, tels que OTP, les options personnelles ou les fonctions utilisateur héritées. Erreur typique : le portail reste accessible au public même s’il n’est plus nécessaire.
- VPN Portal : Pour les utilisateurs d’accès à distance, Sophos Connect, profils VPN SSL et configurations d’accès à distance. Erreur typique : les utilisateurs ne voient pas les téléchargements car la stratégie, le groupe ou l’authentification ne correspondent pas.
- Captive Portal : Pour les utilisateurs sur le réseau, la connexion au navigateur, les règles basées sur l’utilisateur ou l’accès invité. Erreur typique : il est confondu avec le VPN Portal ou utilisé sans concept clair de déconnexion/session.
Points importants :- Les trois portails sont des zones de connexion et sont donc critiques en matière de sécurité.
- L’accessibilité est contrôlée via Administration > Device access.
- L’accessibilité publique ne doit être effectuée que consciemment et avec une MFA, une journalisation et un contrôle d’accès strict.
- Les anciens portails restent souvent ouverts même si les utilisateurs n’en ont plus besoin après le déploiement.
- Après des modifications apportées au portail VPN, au certificat, au DNS ou aux groupes d’utilisateurs, les profils devront peut-être être réimportés.
Sophos Connect ou SSL VPN : Quelle solution d’accès à distance est adaptée ? convient à la décision d’accès à distance. Sophos Connect Vérifier la version du client et mettre à jour en toute sécurité aide aux mises à jour des clients et à la maintenance des profils.
Si un utilisateur est connecté au VPN Portal mais que les téléchargements de configuration comme .ovpn échouent de manière inattendue, le Sophos Firewall Limite d’ID utilisateur doit également être vérifié en plus des autorisations et du MFA.
Pour les nouveaux environnements VPN SSL, vous devez d’abord vérifier la configuration du pare-feu et les dépendances du portail. Le processus se trouve dans Sophos Firewall SSL VPN Configurer l’accès à distance.
Planifiez les certificats, les FQDN et les noms de portailLes problèmes de portail ressemblent souvent à une erreur de connexion ou de VPN pour les utilisateurs, mais ils commencent par le DNS et les certificats. Si WebAdmin, VPN Portal, User Portal, Captive Portal et WAF s’exécutent sur des noms d’hôte similaires ou sur la même adresse WAN, vous devez délibérément séparer et documenter les noms.
Planification typique :
- WebAdmin : Exemple
admin.example.com. Rendez-le accessible uniquement depuis les réseaux de gestion, utilisez le certificat approprié et activez MFA. - VPN Portal : Exemple
vpn.example.com. Le certificat doit correspondre au profil de téléchargement, Device Access doit être défini délibérément. - User Portal : Exemple
portal.example.com. Ne laissez actif que si les fonctions utilisateur sont vraiment nécessaires. - Captive Portal : Exemple
login.example.com. Testez le certificat, la zone, le délai d’expiration de la session et le comportement de déconnexion. - Application WAF : Exemple
app.example.com. Vérifiez ensemble la règle WAF, le SNI, les domaines et l’hôte backend.
Si le pare-feu lui-même doit obtenir des certificats publics, Sophos Firewall Configurer les certificats Let’s Encrypt convient. Pour les certificats génériques partagés sur plusieurs systèmes, Créer un certificat générique Let’s Encrypt est le meilleur début.La séquence de fonctionnement est importante : Planifiez d’abord le FQDN, le DNS et le certificat, puis limitez l’accès au portail via Administration > Device access et Local Service ACL, puis distribuez des profils d’accès à distance ou des règles WAF. Si un certificat ou un nom de domaine complet de portail est modifié ultérieurement, les profils Sophos Connect, les fichiers .ovpn, les signets et la surveillance doivent généralement également être vérifiés.
Captive Portal classer correctement
Le Captive Portal n’est pas un portail d’accès à distance. Il est utilisé lorsque les utilisateurs du réseau doivent d’abord se connecter au navigateur avant que le pare-feu puisse associer le trafic à une identité d’utilisateur. Cela peut être utile pour les invités, les appareils BYOD ou les environnements sans identification transparente de l’utilisateur.
Applications typiques :
- Les invités ou les appareils BYOD doivent se connecter avant que l’accès à Internet ne soit autorisé.
- Les règles de pare-feu basées sur l’utilisateur doivent prendre effet même si aucun mécanisme STA, SATC ou autre mécanisme transparent n’est disponible.
- Les réseaux individuels nécessitent un mappage utilisateur simple sans intégration complète des points finaux.Captive Portal ne doit pas être considéré comme un substitut à une segmentation propre du réseau. Si un réseau mérite particulièrement d’être protégé, la séparation via des zones, des VLAN et des règles de pare-feu claires restent plus importantes. Les bases sont dans Planifier les zones et interfaces sur Sophos Firewall. Pour une connexion utilisateur classique avec Active Directory, Intégrer Active Directory dans Sophos Firewall convient.
Si Captive Portal doit être utilisé avec Microsoft Entra ID SSO, le processus est différent de celui de VPN Portal ou Sophos Connect. Configurer Microsoft Entra ID SSO pour Sophos Firewall Captive Portal convient pour cela.
Important en fonctionnement :
- Captive Portal nécessite des services de pare-feu locaux accessibles. Device Access et Local Service ACL doivent correspondre à cela.
- Les délais d’expiration des sessions doivent correspondre à l’environnement. Les sessions trop longues diluent l’allocation des utilisateurs, les sessions trop courtes perturbent les utilisateurs.
- La déconnexion, le mappage de groupe et Log Viewer doivent être testés avec de vrais utilisateurs de test.
- Dans les réseaux comportant des systèmes sensibles, Captive Portal n’est généralement pas assez puissant comme contrôle unique.Si Captive Portal n’est pas accessible depuis un réseau, vous ne devez pas modifier au préalable les règles normales du pare-feu. La cause est souvent Administration > Device access, Local Service ACL Exception Rules, DNS, certificat ou mappage de zone incorrect. Device Access et Local Service ACL à Sophos Firewall convient au contrôle d’accès local.
Opérations, documentation et sécurité
En plus d’un portail adéquat, il est crucial que l’accès, la documentation et les processus opérationnels soient vérifiés régulièrement.
Vérifiez spécifiquement la documentation
Pour les détails techniques actuels, les documents Sophos officiels et les notes de version sont plus importants que les anciens articles de blog ou les captures d’écran. Surtout avec les versions SFOS, Sophos Connect, les modifications de licence, la prise en charge de la plate-forme et les limitations connues, vous devez vérifier les informations dépendantes de la version avant d’effectuer une modification productive. Ces sources ne doivent être liées dans l’article lui-même que si l’administrateur a réellement besoin de les ouvrir pour l’étape de travail spécifique.
Lorsqu’il s’agit de sujets relatifs aux micrologiciels, ce n’est pas seulement la disponibilité du téléchargement qui compte. Avant une mise à jour, la plate-forme, le chemin de mise à niveau, la sauvegarde, l’état HA et les bloqueurs connus sont importants. Le processus se trouve dans Vérifiez Sophos Firewall avant la mise à niveau vers SFOS 22 et Mise à jour du micrologiciel Sophos Firewall - Préparation et meilleures pratiques.
Contrôle de sécurité pour l’accès au portail
Les portails sont pratiques, mais chaque connexion constitue une surface d’attaque potentielle. C’est pourquoi vous devriez vérifier régulièrement :
- Quels SophosID et administrateurs centraux existent encore ?
- L’authentification MFA est-elle active pour les administrateurs SophosID, Sophos Central et le pare-feu ?
- WebAdmin, SSH, User Portal, VPN Portal et SSL VPN sont-ils accessibles uniquement là où ils sont nécessaires ?
- Existe-t-il des comptes d’administrateur partagés qui devraient être remplacés ?
- Les échecs de connexion sont-ils vérifiés régulièrement ?
- Les anciens profils VPN, les anciens utilisateurs et les anciens fournisseurs de services sont-ils supprimés ?
- Existe-t-il une nouvelle sauvegarde et un accès de récupération connu ?
Pour les services de pare-feu locaux, Device Access est le point de contrôle central. Sophos Firewall Envoyer le journal système au SIEM est judicieux pour un stockage de journaux plus long ou une surveillance de la sécurité.