Aller au contenu
Avanet

Sophos Firewall : activer MFA pour WebAdmin et VPN

Les accès administratifs et les portails Remote Access ne doivent pas être protégés uniquement par un nom d’utilisateur et un mot de passe. Avec Multi-Factor Authentication, ou MFA, la Sophos Firewall exige un second facteur supplémentaire, par exemple un code OTP temporel issu d’une application Authenticator.

Ce guide montre comment planifier, activer et tester MFA de manière judicieuse. Le focus est mis sur WebAdmin, VPN Portal et Remote Access.

Quand MFA est utile

MFA devrait être activé au minimum pour tous les comptes autorisés à accéder aux interfaces administratives ou aux fonctions Remote Access.

Domaines d’utilisation typiques :

  • Connexion au WebAdmin.
  • Connexion au VPN Portal.
  • SSL VPN ou Sophos Connect Remote Access.
  • Accès pour des prestataires externes.
  • Accès pour les administrateurs privilégiés.

MFA réduit le risque lié aux mots de passe volés, mais ne remplace pas une restriction d’accès propre. SSH, WebAdmin et les portails doivent rester accessibles uniquement depuis des réseaux de confiance ou via des accès de management clairement définis.

Restreindre aussi l’accès avec des règles ACL

Avant d’activer MFA, il faut vérifier depuis où WebAdmin, SSH, User Portal et VPN Portal sont accessibles.

Le chemin de menu est System > Administration > Device access.

Il existe deux sections pertinentes :

  • Local service ACL : accès de base par zone, par exemple LAN, VPN ou WAN.
  • Local service ACL exception rule : exceptions ciblées pour des réseaux source, hosts ou accès support précis.

En production, WebAdmin et SSH ne devraient pas être activés globalement pour la zone WAN. Il vaut mieux limiter l’accès à :

  • une IP de management,
  • un réseau admin,
  • un réseau VPN,
  • un host support dédié,
  • ou une exception FQDN/host clairement définie.

Si SSH est nécessaire, l’accès doit être restreint en plus et idéalement utilisé avec une Public Key. Voir : Se connecter à Sophos Firewall via SSH

⚠️ MFA protège contre les identifiants volés, mais pas contre des services inutilement exposés. WebAdmin, SSH et les portails ne doivent jamais être accessibles plus largement que nécessaire.

Prérequis

Avant l’activation, il faut vérifier :

  • L’heure système de la firewall est correcte.
  • Un serveur NTP fonctionnel est configuré.
  • Les utilisateurs existent localement, via AD, LDAP, RADIUS ou un autre service d’authentification pris en charge.
  • Les utilisateurs concernés peuvent se connecter au User Portal ou au service concerné.
  • Au moins un accès administratif de secours est disponible.

⚠️ Il faut être particulièrement prudent avec MFA pour les admins. N’active pas MFA directement pour tous les administrateurs sans avoir testé au préalable un utilisateur de test, un second administrateur et un accès de secours. Une mauvaise configuration MFA peut te bloquer hors du WebAdmin ou du VPN Portal.

Sophos MFA ou MFA externe via RADIUS ?

La Sophos Firewall intègre sa propre solution MFA. Les tokens OTP sont alors gérés directement sur la firewall. C’est rapide à mettre en place et ne nécessite pas d’infrastructure supplémentaire.

Avantages de la MFA native Sophos :

  • Aucune intégration RADIUS ou Identity Provider supplémentaire nécessaire.
  • Déploiement rapide pour les utilisateurs locaux et les petits environnements.
  • Les tokens peuvent être créés et gérés directement sur la firewall.
  • Adapté à WebAdmin, User Portal, VPN Portal, SSL VPN Remote Access et IPsec Remote Access.

Inconvénients :

  • Les utilisateurs doivent éventuellement gérer une application Authenticator ou un token supplémentaire.
  • Le token est séparé de Microsoft 365, Entra ID ou d’autres processus MFA existants.
  • Selon l’écran de login, il n’y a pas de champ OTP dédié.
  • Pour certains portails, les utilisateurs doivent saisir le mot de passe et le token directement l’un après l’autre.

Dans les environnements plus grands, une solution MFA externe via RADIUS peut être plus pertinente. MFA est alors par exemple réalisé via Microsoft Entra ID, NPS avec extension MFA ou un autre service MFA compatible RADIUS. Pour les utilisateurs, c’est souvent plus agréable, car ils utilisent la MFA Microsoft 365 déjà connue ou une solution d’entreprise existante.

L’inconvénient d’une solution externe est sa complexité plus élevée. RADIUS, groupes, timeouts, comportement de challenge et fallback doivent être soigneusement planifiés et testés.

Planifier MFA

En production, il est souvent préférable d’activer MFA d’abord pour un petit groupe pilote.

Cette séquence a fait ses preuves :

  1. Préparer un utilisateur de test ou un groupe pilote.
  2. Vérifier NTP et l’heure de la firewall.
  3. Activer MFA pour le périmètre de test.
  4. Tester la connexion avec une application Authenticator.
  5. Ajouter ensuite d’autres groupes d’utilisateurs.

Pour les prestataires, un groupe utilisateur séparé est recommandé. Cela permet d’imposer MFA de manière ciblée et de supprimer l’accès plus facilement par la suite.

Pour les administrateurs, il faut aussi planifier :

  • Qui est le premier admin de test ?
  • Existe-t-il un second admin avec un accès fonctionnel ?
  • L’accès via un réseau de management ou VPN fonctionne-t-il ?
  • Le compte admin par défaut est-il protégé séparément ?
  • La procédure de remplacement d’un token perdu est-elle documentée ?

Activer MFA sur Sophos Firewall

Les paramètres MFA se trouvent sous Configure > Authentication > Multi-factor authentication.

  1. Connecte-toi au WebAdmin de la Sophos Firewall.
  2. Ouvre Configure > Authentication.
  3. Passe à l’onglet Multi-factor authentication.
  4. Dans One-time password (OTP), choisis pour qui MFA doit s’appliquer :
    • No OTP : MFA est désactivé.
    • All users : MFA s’applique à tous les utilisateurs.
    • Specific users and groups : MFA s’applique seulement aux utilisateurs ou groupes sélectionnés.
  5. Active Generate OTP token with next sign-in si les utilisateurs doivent configurer eux-mêmes leur token lors de la prochaine connexion.
  6. Sous Require MFA for, choisis les services pour lesquels MFA est exigé.
  7. Enregistre la configuration avec Apply.
Sophos Firewall - paramètres Multi-factor authentication sous Authentication
Sophos Firewall - Authentication > Multi-factor authentication

Options typiques sous Require MFA for :

  • User portal
  • Web admin console
  • VPN portal
  • SSL VPN remote access
  • IPsec remote access
  • Web application firewall

Selon l’environnement, MFA peut être appliqué différemment à certains services ou groupes d’utilisateurs. Pour les administrateurs, MFA doit être imposé de manière cohérente, mais testé d’abord de façon contrôlée.

MFA pour le default admin

L’utilisateur local par défaut admin est un cas particulier. Sophos indique dans l’écran MFA que MFA pour cet utilisateur ne s’active pas directement dans cet onglet.

Le chemin de menu est System > Administration > Device access.

On peut y activer MFA for default admin. Il ne faut le faire que lorsque :

  • l’heure système est correcte,
  • un second administrateur a été testé,
  • l’accès via un réseau de management de confiance fonctionne,
  • et la procédure d’urgence pour récupérer un accès administratif est claire.

Pour le admin par défaut : ne pas le désactiver, ne pas le laisser accessible sans protection depuis Internet et ne pas l’utiliser comme compte quotidien. Il s’agit d’un compte Break Glass ou d’urgence.

Configurer les tokens pour les utilisateurs

Après l’activation, l’utilisateur doit configurer son second facteur. Si Generate OTP token with next sign-in est actif, l’utilisateur se connecte au User Portal ou au VPN Portal et scanne le QR code avec une application Authenticator.

Applications adaptées, par exemple :

  • Microsoft Authenticator.
  • Google Authenticator.
  • 1Password.
  • Bitwarden.
  • Autres applications Authenticator compatibles TOTP.

Le code généré est basé sur le temps. Si l’heure de la firewall ou du smartphone dérive fortement, la connexion échoue.

Si le User Portal est désactivé, les utilisateurs peuvent éventuellement ne pas pouvoir configurer leurs tokens eux-mêmes. Dans ce cas, il faut soit fournir le portail de manière contrôlée, soit préparer les tokens administrativement.

Note importante sur mot de passe et token

Selon le service Sophos, il n’existe pas de champ séparé pour le code OTP. Cela crée régulièrement de la confusion, surtout pour le VPN Portal ou les connexions Remote Access.

Dans ces cas, l’utilisateur doit souvent saisir le mot de passe et le code OTP directement l’un après l’autre.

Exemple :

Mot de passe : MonMotDePasseSecurise
Code OTP : 123456
Saisie :  MonMotDePasseSecurise123456

Il faut le communiquer clairement aux utilisateurs avant le rollout. Sinon, l’utilisateur a l’impression que son mot de passe est incorrect, alors que seul le code OTP manque.

Sophos décrit ce comportement dans sa documentation OTP : OTP token.

Tester la connexion

Teste MFA d’abord avec un utilisateur qui n’est pas le seul administrateur.

Vérifie notamment :

  • Connexion au WebAdmin.
  • Connexion au VPN Portal.
  • Connexion au service Remote Access.
  • Comportement avec un code OTP incorrect.
  • Comportement après expiration d’un code OTP.
  • Accès avec un utilisateur qui n’est pas dans le groupe MFA.
  • Login avec mot de passe et code OTP ajouté.
  • Accès via les règles ACL prévues.

MFA ne doit être déployé sur d’autres groupes qu’après réussite de ces tests.

Erreurs fréquentes

Le code OTP n’est pas accepté

Vérifie l’heure système de la firewall et l’heure du smartphone. TOTP dépend du temps. Un décalage net peut suffire à faire refuser des codes valides.

L’utilisateur ne voit pas de QR code

L’utilisateur doit être autorisé pour MFA et se connecter au bon portail. Vérifie aussi si l’utilisateur est trouvé via la source d’authentification attendue.

Si le User Portal est désactivé, l’utilisateur ne peut peut-être pas configurer le token lui-même. Il faut alors rendre le portail temporairement accessible ou créer le token administrativement.

L’administrateur est bloqué

Utilise l’accès de secours préparé. S’il n’existe pas de fallback, l’accès doit être examiné selon la situation via console, support ou procédures de récupération.

MFA ne s’applique pas au Remote Access

Vérifie si la configuration Remote Access utilise le même groupe d’utilisateurs que celui pour lequel MFA a été activé. L’erreur vient souvent non pas de MFA lui-même, mais de groupes différents dans les règles VPN et d’authentification.

L’utilisateur saisit seulement le mot de passe

Si aucun champ OTP séparé n’est affiché, l’utilisateur doit saisir le mot de passe et le code OTP directement l’un après l’autre. C’est l’un des cas de support les plus fréquents après l’activation de Sophos OTP.

La MFA externe n’est pas fiable

Pour les solutions MFA basées sur RADIUS, les timeouts, le comportement de challenge et les groupes doivent correspondre proprement. Si Push-MFA, Call-MFA ou des réponses challenge sont utilisées, tout le processus de login doit être testé avec le client concerné.

Recommandation

MFA devrait être standard pour les accès administratifs. MFA est particulièrement importante pour WebAdmin, VPN Portal et tous les utilisateurs autorisés au Remote Access.

Pour les petits environnements, la fonction OTP native Sophos suffit souvent. Dans les environnements Microsoft 365 ou Entra ID, une MFA externe via RADIUS peut être plus confortable, car les utilisateurs n’ont pas besoin d’apprendre un second univers MFA.

Quelle que soit la variante MFA : commencer par restreindre l’accès avec des règles ACL, tester prudemment MFA pour les admins, informer les utilisateurs sur mot de passe+token, puis déployer plus largement.

Informations Sophos complémentaires :