Gérer Sophos Firewall CAPTCHA pour WebAdmin et User Portal
Depuis SFOS 18.0 MR3, le Sophos Firewall peut afficher un CAPTCHA pour la connexion WebAdmin et pour le User Portal. Cette protection a été introduite suite à une faille de sécurité et vise à rendre plus difficiles les tentatives de connexion automatisées.
Vous pouvez désactiver ou réactiver CAPTCHA via Device Console. Mais cela ne devrait se produire que consciemment. WebAdmin, User Portal, VPN Portal et SSH font partie de la surface d’attaque directe du pare-feu. Si ces services sont accessibles à partir de réseaux non sécurisés, CAPTCHA ne doit pas être la seule mesure de protection et ne doit pas être supprimé par négligence.


Classement
CAPTCHA ne remplace pas une conception d’administration propre dans SFOS. C’est un obstacle supplémentaire avant certaines pages de connexion. Ce qui reste crucial est de savoir si ces pages de connexion doivent être accessibles depuis WAN, VPN, des réseaux invités ou de larges réseaux internes.
Quelles pages de connexion sont concernées
Les commandes de la console de l’appareil dans cet article contrôlent CAPTCHA pour deux pages de connexion spécifiques :
- Console WebAdmin:
webadminconsole. Connexion administrateur de l’interface locale WebAdmin. - User Portal:
userportal. Portail utilisateur pour les configurations VPN, OTP et fonctions utilisateur.
Sophos décrit CAPTCHA pour les administrateurs sur WebAdmin et pour les utilisateurs locaux ou invités sur User Portal lors d’un accès via les interfaces WAN ou VPN. Cela n’équivaut pas à sécuriser entièrement tous les services d’accès à distance. VPN Portal, SSL VPN, IPsec, SSH, DNS, SNMP et autres services de pare-feu locaux doivent également être contrôlés via Administration > Device access, Local Service ACL, MFA, la journalisation et un concept d’accès à distance propre.
Les ports aident aussi à clarifier le cas : WebAdmin utilise 4444 par défaut, User Portal utilise 4443 et VPN Portal utilise 443. Depuis SFOS 20.0, VPN Portal est un service séparé. Lors des mises à niveau, l’ancien port du User Portal peut donc être attribué au VPN Portal, tandis que le User Portal passe à 4443 ou, si ce port n’est pas disponible, à 65040. Avant de tester CAPTCHA, il faut donc toujours vérifier quelle page de connexion et quel port sont réellement ouverts.
Le réglage par défaut documenté pour les commandes globales et spécifiques au VPN est enabled. Si une connexion depuis une interface LAN n’affiche pas de CAPTCHA, ce n’est pas automatiquement une mauvaise configuration : Sophos ne demande pas de CAPTCHA pour les connexions depuis le LAN. Dans ce contexte, les utilisateurs locaux sont des utilisateurs Sophos Firewall, pas des utilisateurs issus d’un serveur d’authentification externe comme Active Directory.
Selon Sophos, CAPTCHA n’est pas disponible sur XG 85 et XG 85w. Si une telle appliance n’affiche pas de CAPTCHA, il ne s’agit pas d’une désactivation normale, mais d’une limite de plateforme.
Important : Les tentatives CAPTCHA échouées ne sont pas identiques aux échecs de connexion. Si un CAPTCHA échoue avant que vous ne vous connectiez réellement, vous devez donc évaluer séparément les verrous de connexion, les journaux d’authentification et l’accès au portail.
Pour la logique de base des services de pare-feu locaux, Device Access et Local Service ACL sur Sophos Firewall est l’article de connexion le plus important. S’il n’est pas clair si l’accès est contrôlé via les règles normales de pare-feu ou via Device Access, la règle Sophos Firewall ne s’applique pas : vérifier les causes vous aidera.
Ce que cet article ne couvre pas
L’article couvre uniquement le paramètre global CAPTCHA pour la console WebAdmin et User Portal. Cela ne remplace pas le renforcement de l’accès à distance et ne constitue pas un guide pour sécuriser SSL VPN, IPsec, Sophos Connect ou Microsoft Entra ID SSO.
Lorsqu’il s’agit d’accès à distance, d’autres questions sont plus importantes :
- Configurer et tester SSL VPN: Sophos Firewall SSL VPN Configuration de l’accès à distance.
- Préparer Sophos Connect: Configurer Sophos Connect sur Sophos Firewall.
- MFA pour les administrateurs et l’accès à distance: Activer MFA pour Sophos Firewall WebAdmin, VPN Portal et l’accès à distance.
- Limiter l’accès au portail et aux services: Configurer correctement Device Access.
SPX Portal et d’autres fonctions de portail ou de messagerie ne doivent pas non plus être dérivées de ces commandes. Avec le portail SPX, CAPTCHA reste actif et ne peut pas être désactivé à l’aide de ces commandes de console de périphérique.
Quand ne pas désactiver CAPTCHA
CAPTCHA doit rester actif si l’un des éléments suivants s’applique :
- Le WebAdmin est accessible depuis le
WANou depuis de vastes réseaux internes. - User Portal est accessible depuis Internet.
- VPN Portal ou SSL VPN sont accessibles au public.
- MFA n’est pas systématiquement activé pour les administrateurs et les utilisateurs d’accès à distance.
- Il y a de nombreuses tentatives de connexion ayant échoué dans le journal.
- Il n’existe pas de réseau de gestion dédié.
- L’accès à WebAdmin ou SSH n’est pas restreint via Device Access.
CAPTCHA n’empêche pas les attaques ciblées et ne remplace pas MFA. Cependant, cela réduit les tentatives de connexion automatisées et le bruit de fond. Si vous le supprimez, les autres contrôles devraient cliquer proprement.
Décision et préparation
Laisser actif ou désactiver temporairement ?
En pratique, il existe peu de bonnes raisons de désactiver CAPTCHA. Cette décision doit être traitée comme un petit changement de sécurité.
- WebAdmin ou User Portal est accessible depuis Internet: Laissez CAPTCHA actif et vérifiez d’abord la disponibilité, MFA et les journaux.
- Seul le réseau de gestion ou l’administrateur VPN est autorisé à accéder: La désactivation temporaire peut être justifiable si elle est documentée.
- Problème d’accessibilité avec des administrateurs ou des utilisateurs individuels: Limiter la source, laisser MFA actif et documenter l’exception.
- Test automatisé en laboratoire: uniquement de manière isolée, pas pour des portails productifs.
- Cas de support avec modification limitée dans le temps: Enregistrez le statut au préalable, réactivez-le ultérieurement ou documentez une exception délibérée.
Si la justification est simplement “plus pratique”, CAPTCHA ne doit pas être désactivé. Il est préférable de concevoir l’accès à WebAdmin ou User Portal de manière à ce que les utilisateurs autorisés rencontrent moins d’obstacles, sans exposer inutilement la page de connexion de manière large.
Meilleure alternative : réduire l’accessibilité
Souvent, le véritable problème ne vient pas de CAPTCHA, mais plutôt d’une page de connexion trop largement accessible. Si un portail n’est utilisé qu’occasionnellement, il est généralement plus propre de réduire l’accessibilité plutôt que de supprimer une protection de connexion supplémentaire.
Décisions typiques :
- Les administrateurs doivent atteindre WebAdmin sans bruit de connexion publique: Autoriser uniquement WebAdmin à partir du réseau de gestion, de l’administrateur VPN ou de l’adresse IP administrateur fixe.
- Les utilisateurs n’ont besoin que du User Portal pour le premier téléchargement du VPN: Rendre le portail accessible pour une durée limitée ou uniquement depuis les réseaux internes/VPN.
- Le soutien externe a besoin d’un accès à court terme: Utiliser la règle d’exception temporaire Local Service ACL avec date de révision.
- CAPTCHA perturbe les tests automatisés en laboratoire: désactiver uniquement dans un environnement de test isolé, non transféré vers des portails productifs.
Cet ordre est important : réduisez d’abord la surface d’attaque, puis décidez de CAPTCHA. Si WebAdmin, User Portal ou VPN Portal restent largement disponibles, la désactivation doit être très bien justifiée et en outre sécurisée avec MFA, une journalisation et des révisions régulières.
Vérifiez avant de désactiver
Avant d’effectuer des modifications, ces points doivent être vérifiés :
- Device Access : Le WebAdmin ou le User Portal sont-ils accessibles uniquement à partir de sources fiables ?
- MFA : Le MFA est-il actif pour WebAdmin, VPN Portal et l’accès à distance ?
- Journalisation : Les échecs de connexion et l’accès au portail sont-ils vérifiés ?
- Accès SSH : Le SSH est-il autorisé uniquement temporairement ou à partir d’un réseau de gestion ?
- Retour : Est-il clair comment réactiver CAPTCHA si nécessaire ?
- Raison : Existe-t-il vraiment une raison technique, telle que l’accessibilité, l’automatisation dans un laboratoire isolé ou un scénario de support temporaire ?
Pour la restriction d’accès, Configurer correctement Device Access est l’article central. Pour les connexions administrateur et portail, MFA pour Sophos Firewall WebAdmin, VPN Portal et activer l’accès à distance doit également être coché.
⚠️ Attention : CAPTCHA ne doit pas être désactivé pour rendre les portails accessibles au public plus pratiques. Réduisez d’abord l’accessibilité, activez MFA et vérifiez les journaux.
Changement dans Device Console
Ouvrez SSH et Device Console
Le paramètre CAPTCHA est modifié via le Device Console. Pour cela, vous avez besoin d’un accès SSH au pare-feu.
- Autorisez l’accès à SSH sous Administration > Device access uniquement pour une source fiable.
- Connectez-vous à l’utilisateur
adminvia SSH. - Ouvrez Device Console dans la présentation de la console.
Les instructions Connecter Sophos Firewall via SSH décrivent l’accès sécurisé au SSH avec macOS, Linux et Windows.
Après le changement, SSH doit être à nouveau limité au minimum nécessaire. Les commandes system captcha-authentication-global suivantes appartiennent au Device Console, pas au Advanced Shell. Si les fichiers journaux sont vérifiés avec tail, grep ou less, le Advanced Shell est correct. La distinction est expliquée dans Dépannage Sophos Firewall : Services et journaux.
Afficher l’état de CAPTCHA
Avant d’apporter des modifications, l’état actuel doit d’abord être vérifié.
Pour le réglage global de WebAdmin :
system captcha-authentication-global show for webadminconsole
Pour le réglage global de User Portal :
system captcha-authentication-global show for userportal
La commande indique si CAPTCHA est actif pour la page de connexion correspondante. Le résultat doit être documenté avec la date, le pare-feu, l’administrateur et la raison afin que le changement puisse être retracé ultérieurement.
Si aucune exception volontaire n’est documentée, l’état normal attendu doit être enabled.
Changement global ou simplement spécifique au VPN ?
Les commandes globales s’appliquent à la console WebAdmin et au User Portal via les interfaces WAN ou VPN. Si vous le désactivez, vous remplacerez également le paramètre CAPTCHA spécifique au VPN.
Le point de départ le plus sûr est donc le suivant : laisser le réglage global sur enabled, vérifier l’état avec show et ne modifier le réglage spécifique au VPN que pour un cas VPN clairement identifié.
Si le problème concerne uniquement les utilisateurs ou les administrateurs qui accèdent via VPN, vous devez d’abord vérifier si une modification spécifique à VPN est suffisante :
system captcha-authentication-vpn show for webadminconsole
system captcha-authentication-vpn show for userportal
Une désactivation spécifique au VPN est plus étroite qu’une désactivation globale. Néanmoins, ce qui suit s’applique également ici : documentez la raison, testez la connexion réelle et décidez à nouveau consciemment après le cas d’assistance si CAPTCHA doit rester actif.
Cas particulier : tunnel IPsec avec Remote Subnet Any
Pour les connexions IPsec site à site, CAPTCHA peut intervenir de manière inattendue lorsqu’un tunnel est configuré avec Remote Subnet Any. Dans ce cas, la firewall peut traiter l’accès via cette connexion plus largement que prévu. C’est particulièrement important lorsque des administrateurs ou des utilisateurs locaux accèdent à WebAdmin ou au User Portal via un tunnel site à site.
Avant de modifier CAPTCHA dans de tels environnements, il faut vérifier :
- Existe-t-il des connexions IPsec policy-based avec Remote Subnet
Any? - L’accès à WebAdmin ou au User Portal passe-t-il par un tunnel site à site ?
- Ce tunnel est-il vraiment le bon chemin de management ou seulement un héritage historique ?
- Une route IPsec ciblée pour certains hôtes ou réseaux distants suffit-elle ?
- Un réseau de management dédié ou un VPN admin serait-il plus propre ?
Si seuls certains hôtes ou réseaux distants sont concernés, une route IPsec ciblée est souvent plus propre qu’une désactivation globale de CAPTCHA. La procédure est décrite dans Créer une route IPsec sur Sophos Firewall. Une correction de routage ne remplace toutefois pas la vérification de Device Access, MFA et Log Viewer.
Désactiver CAPTCHA pour WebAdmin
Si CAPTCHA doit être délibérément désactivé pour la connexion WebAdmin :
system captcha-authentication-global disable for webadminconsole
Si seuls les accès VPN sont concernés, envisagez plutôt cette commande plus étroite :
system captcha-authentication-vpn disable for webadminconsole
Vous devez alors immédiatement vérifier :
- Testez la connexion au WebAdmin à partir du réseau de gestion.
- WebAdmin Testez la connexion à partir de réseaux non autorisés.
- Vérifiez Log Viewer pour les échecs de connexion.
- Vérifiez MFA pour les administrateurs.
WebAdmin ne doit être accessible à partir d’aucune source. Si un accès externe est nécessaire, VPN, Sophos Central Firewall Management, une adresse IP d’administrateur fixe ou une règle d’exception Local Service ACL constituent la meilleure base.
Désactiver CAPTCHA pour User Portal
Si CAPTCHA doit être délibérément désactivé pour le User Portal :
system captcha-authentication-global disable for userportal
Si seuls les utilisateurs VPN sont concernés, envisagez plutôt cette commande plus restreinte :
system captcha-authentication-vpn disable for userportal
Le User Portal ne doit être accessible que lorsqu’il est vraiment nécessaire, par exemple pour les configurations VPN, les jetons OTP ou les fonctions utilisateur. Dans de nombreux environnements, le portail est requis une seule fois pour la configuration, puis reste ouvert inutilement.
Vérifiez après changement :
- Testez la connexion au User Portal avec un utilisateur normal.
- Vérifiez le processus MFA ou OTP s’il est utilisé.
- Vérifiez l’accessibilité depuis
WAN, VPN, LAN et les réseaux invités. - Vérifiez les échecs de connexion dans Log Viewer.
Si le User Portal doit rester accessible au public, MFA, les mots de passe forts, la journalisation, les sources restreintes et, si nécessaire, les Flux de menaces Sophos Firewall doivent être vérifiés.
Réactiver CAPTCHA
Pour WebAdmin :
system captcha-authentication-global enable for webadminconsole
Pour User Portal :
system captcha-authentication-global enable for userportal
Pour le paramètre spécifique VPN :
system captcha-authentication-vpn enable for webadminconsole
system captcha-authentication-vpn enable for userportal
Après l’activation, vous devriez afficher à nouveau le statut :
system captcha-authentication-global show for webadminconsole
system captcha-authentication-global show for userportal
system captcha-authentication-vpn show for webadminconsole
system captcha-authentication-vpn show for userportal
Si CAPTCHA a été désactivé en raison d’un cas de support, il doit être réactivé après la clôture du cas ou la désactivation doit être délibérément documentée.
Inspection et fonctionnement de suivi
Inspection de suivi après le changement
Après une modification CAPTCHA, vous ne devez pas simplement exécuter la commande show. Ce qui est crucial est de savoir si la page de connexion concernée n’est toujours accessible qu’à partir des réseaux prévus et si les événements de connexion restent traçables.
Vérification de suivi utile :
- Vérifiez l’état des WebAdmin et User Portal avec
show. - Ouvrez Administration > Device access et vérifiez les zones autorisées pour WebAdmin, User Portal, SSH, VPN Portal et SSL VPN.
- Testez WebAdmin ou User Portal à partir d’un réseau autorisé.
- Testez l’accès à partir d’un réseau non autorisé si cela est possible sans risque.
- Vérifiez les événements de connexion ayant échoué et réussi dans Log Viewer.
- Contrôlez le MFA séparément pour les administrateurs et les utilisateurs d’accès à distance.
- Supprimez ou limitez strictement l’accès SSH après la modification.
Si la page de connexion reste accessible depuis WAN, la désactivation doit être considérée de manière particulièrement critique. Dans ce cas, MFA, restrictions de source strictes, journalisation et examen régulier sont obligatoires. Il est généralement préférable de ne pas rendre WebAdmin ou User Portal largement accessibles depuis Internet.
Il faut aussi évaluer séparément Administration > Admin and user settings > Login security. Selon Sophos, les échecs de CAPTCHA ne déclenchent pas le blocage des connexions. En revanche, de vrais échecs d’authentification peuvent, selon le réglage, bloquer l’accès à WebAdmin, CLI, VPN Portal et User Portal depuis l’adresse IP source. Dans Log Viewer, il faut donc distinguer un CAPTCHA échoué d’une authentification réellement échouée.
Documenter les modifications de manière compréhensible
En cas de modifications liées à la sécurité, il devrait être clair ultérieurement pourquoi CAPTCHA a été désactivé et si la modification est toujours nécessaire. Une brève entrée dans le système de change ou de ticket suffit souvent.
Documenter:
- État initial pour WebAdmin et User Portal.
- Raison du changement.
- Pare-feu concerné et version SFOS.
- Temps, administration d’exécution et démontage prévu.
- Quelles restrictions d’accès et contrôles MFA sont actifs pendant cette période.
- Résultat de l’inspection de suivi dans le Log Viewer.
Si plusieurs administrateurs travaillent sur le pare-feu, la Piste d’audit Sophos Firewall est également utile. Dépannage Sophos Firewall : Services et journaux convient au dépannage de connexion et de service.
Mesures de protection recommandées
Si CAPTCHA est désactivé, au moins ces contrôles doivent être en place :
- WebAdmin n’est accessible qu’à partir du réseau de gestion, de l’administrateur VPN ou de l’adresse IP administrateur fixe.
- SSH autorisé uniquement en cas de besoin et uniquement à partir de sources fiables.
- MFA actif pour les administrateurs.
- User Portal accessible uniquement là où cela est nécessaire.
- VPN Portal et SSL VPN sécurisés avec MFA et journalisation.
- Les connexions échouées sont vérifiées régulièrement.
- Les portails externes sont réduits par Device Access, Local Service ACL, le blocage de pays ou les flux de menaces.
Pour les services accessibles au public, Sophos Firewall : Bloquer les pays et les adresses IP malveillantes convient également. Pour un contrôle de sécurité plus large, Sophos Firewall Utiliser correctement Health Check est utile.
Erreurs typiques et dépannage
- Désactivez CAPTCHA car cela n’est pas pratique: Les interfaces de connexion sont plus facilement attaquées automatiquement. Limiter l’accès et activer MFA.
- Laisser WebAdmin accessible depuis WAN: surface d’attaque de gestion directe. Utilisez Management IP, VPN ou Central Management.
- Laisser le User Portal ouvert en permanence: cible inutile pour les robots et la force brute. Rendre le portail accessible uniquement en cas de besoin.
- SSH laisser ouvert après changement: L’accès CLI reste exposé. SSH restreindre ou désactiver à nouveau.
- Ne pas documenter le statut: l’examen ultérieur sera difficile. avant et après l’exécution
show. - mauvaise console utilisée: La commande n’est pas reconnue. dans la sélection de menu SSH, ouvrez le Device Console.
- VPN Portal confondu avec User Portal: fausse attente du comportement CAPTCHA. Vérifiez séparément la page de connexion concernée et le service d’accès à l’appareil.
- User Portal partage le port avec SSL VPN: CAPTCHA n’apparaît pas comme prévu pour le User Portal ou le mauvais service est en cours de test. planifier un portail unique et des ports VPN et tester avec un utilisateur réel.
- Le changement reste actif après le cas de support: La protection est définitivement réduite. Documenter le temps de démontage et le réviser dans le ticket.
Questions fréquemment posées
Est-il dangereux de désactiver CAPTCHA sur Sophos Firewall ?
Le CAPTCHA remplace-t-il le MFA ?
Pouvez-vous modifier le CAPTCHA uniquement pour WebAdmin ou uniquement pour le portail utilisateur ?
webadminconsole et userportal.