Vai al contenuto
Avanet

Connettersi a Sophos Firewall tramite SSH

Sophos Firewall

Molte attività di supporto e troubleshooting richiedono accesso SSH a Sophos Firewall. Ad esempio analisi dei log, riavvio di servizi, comandi diagnostici specifici o lavoro nella Advanced Shell.

Questa guida spiega come preparare l’accesso SSH, connettersi al firewall e aprire la console necessaria.

Requisiti

Per una connessione SSH a Sophos Firewall servono:

  • Accesso amministrativo a Sophos Firewall
  • L’indirizzo IP o il nome DNS del firewall
  • Accesso all’utente admin
  • Su macOS o Linux: l’app Terminale integrata con SSH
  • Su Windows: Windows Terminal con OpenSSH o PuTTY
  • Accesso SSH consentito in Administration > Device access

⚠️ SSH deve essere consentito solo da reti fidate. In ambienti produttivi è meglio limitare l’accesso a un IP di management o a una rete admin, invece di abilitare SSH in modo ampio.

Consentire l’accesso SSH sul firewall

Perché la connessione funzioni, Sophos Firewall deve consentire SSH sulla zona corretta o tramite una Local Service ACL Exception Rule.

  1. Accedere al Web Admin di Sophos Firewall.
  2. Aprire Administration.
  3. Selezionare Device access.
  4. Verificare se SSH è consentito per la zona desiderata.

Per reti di amministrazione interne, SSH può essere abilitato direttamente per la zona interessata, ad esempio LAN. Se l’accesso deve essere limitato in modo più preciso, è utile una Local service ACL exception rule.

Per un’eccezione ACL, i valori devono essere il più restrittivi possibile:

  • Source zone: la zona da cui si amministra
  • Source Network / Host: l’IP admin o la rete di management
  • Services: SSH
  • Action: Accept
Sophos Firewall Local Service ACL Exception Rule per accesso SSH
Esempio di Local Service ACL Exception Rule che consente accesso SSH solo da un oggetto sorgente definito.

SSH non deve essere raggiungibile da Internet senza restrizioni strette. Se serve accesso esterno, deve essere consentito solo da un IP sorgente definito, tramite VPN o tramite un accesso di supporto dedicato.

Aggiungere una chiave pubblica per admin

Per gli accessi SSH, l’autenticazione con chiave pubblica è il metodo preferito. Su Sophos Firewall, la chiave pubblica può essere aggiunta per l’utente admin in Administration > Device access.

⚠️ Il login SSH a Sophos Firewall è possibile solo con l’utente admin. Altri utenti WebAdmin non possono accedere tramite SSH.

La chiave pubblica viene aggiunta in Public key authentication for admin:

  1. Aprire Administration.
  2. Selezionare Device access.
  3. Scorrere fino a Public key authentication for admin.
  4. Attivare Enable authentication.
  5. Aggiungere la chiave pubblica in Authorized keys.
  6. Salvare con Apply.
Sophos Firewall Public Key Authentication per l'utente admin
Metodo preferito: attivare Public Key Authentication per l’accesso SSH con l’utente admin.

La chiave privata resta sempre sul client dell’amministratore e non deve essere condivisa. Sul firewall viene salvata solo la chiave pubblica.

Connessione da macOS o Linux

Su macOS e Linux un client SSH è normalmente già presente. La connessione viene effettuata dal Terminale.

Esempio:

ssh admin@192.0.2.1

Sostituire 192.0.2.1 con l’indirizzo IP o il nome DNS di Sophos Firewall.

Al primo collegamento, il client SSH chiede se accettare il fingerprint del sistema di destinazione. Il fingerprint deve essere verificato e poi confermato.

A seconda della configurazione, viene richiesta la password dell’utente admin oppure il login avviene tramite la chiave SSH configurata.

Connessione con PuTTY

Su Windows è possibile usare Windows Terminal con OpenSSH oppure PuTTY.

Con PuTTY:

  1. Aprire PuTTY.
  2. Inserire l’indirizzo IP o il nome DNS di Sophos Firewall in Host Name.
  3. Impostare Port su 22.
  4. Impostare Connection type su SSH.
  5. Connettersi con Open.
  6. Verificare e accettare il fingerprint SSH.
  7. Accedere come admin e usare password o chiave SSH in base alla configurazione.

Dopo il login appare il menu console di Sophos Firewall.

Aprire Device Console o Advanced Shell

Dopo il login SSH, il firewall mostra un menu console. L’opzione dipende dall’attività.

Per molti comandi SFOS si usa:

4. Device Console

Per attività Linux o filesystem più profonde, aprire Advanced Shell:

5. Device Management > Advanced Shell

Advanced Shell offre accesso molto esteso al sistema. I comandi devono essere eseguiti solo se è chiaro cosa producono.

Terminare la connessione

Quando il lavoro è completato, chiudere correttamente la sessione SSH:

exit

Se ci si trova in un sottomenu, può essere necessario tornare prima al menu principale.

Problemi frequenti

Connessione rifiutata

Se la connessione viene rifiutata, di solito SSH non è consentito sul firewall per la zona o sorgente scelta. Verificare Administration > Device access.

Timeout della connessione

Un timeout spesso indica che il firewall non è raggiungibile tramite l’IP scelto, manca una route o un firewall a monte blocca l’accesso.

Login non riuscito

Se il login fallisce, verificare l’utente admin, la password o chiave SSH e le reti sorgente consentite.