Collegare Sophos Firewall tramite SSH
Per molte attività di supporto e risoluzione dei problemi è necessario accedere a Sophos Firewall tramite SSH. Questi includono, ad esempio, analisi dei registri, riavvio del servizio, comandi diagnostici speciali o interventi sullo Advanced Shell.
Ma SSH è anche un accesso gestionale ad alto rischio. L’accesso dovrebbe quindi essere consentito solo da reti amministrative affidabili, tramite una regola di eccezione Local Service ACL mirata o tramite un accesso di supporto chiaramente definito. Per il rafforzamento generale dei servizi firewall locali, è adatto anche Configura correttamente Device Access.
Requisiti
Per una connessione SSH a Sophos Firewall è necessario:
- Accesso amministrativo allo Sophos Firewall.
- L’indirizzo IP o il nome DNS del firewall.
- Accesso all’utente
admin. - Una fonte amministrativa attendibile, ad esempio rete di gestione, VPN o IP amministrativo fisso.
- Su macOS o Linux: l’app Terminale preinstallata con SSH.
- Su Windows: Terminale Windows con OpenSSH o PuTTY.
- Accesso SSH consentito in Administration > Device access o tramite una regola di eccezione ACL del servizio locale.
- Per modifiche pianificate nello Advanced Shell: backup, finestra di manutenzione e percorso di ripristino chiaro.
⚠️ SSH dovrebbe essere consentito solo da reti attendibili. Per gli ambienti produttivi, è meglio limitare l’accesso a un IP di gestione o a una rete amministrativa piuttosto che rilasciare SSH in generale.
Chiarire in anticipo a cosa serve SSH
Non tutte le analisi necessitano dello Advanced Shell. Prima di accedere, dovrebbe essere chiaro quale console è necessaria e quanto grave è l’intervento.
- Routing, DNS, Ping, semplici comandi di sistema: Device Console. Sophos CLI, meno rischiosa della Advanced Shell.
- Leggi file di registro,
tail,grep,less: Advanced Shell. Sola lettura, non modificare o eliminare file. - Controlla lo stato del servizio o esegui il debug: Advanced Shell. Attivare solo specificatamente il debug e disattivarlo di nuovo.
- Esegui comandi sconosciuti: Controlla prima o apri un caso di supporto. Non provare nel sistema di produzione.
La distinzione è importante perché Device Console e Advanced Shell utilizzano una sintassi diversa. Molti errori si verificano semplicemente perché il comando corretto viene inserito nel posto sbagliato. Una panoramica più ampia è disponibile in Risoluzione dei problemi Sophos Firewall: Services e registri.
SSH Consenti l’accesso al firewall
Affinché una connessione sia possibile, Sophos Firewall deve consentire SSH nella zona appropriata o tramite una regola di eccezione Local Service ACL.
- Accedere al Web Admin dello Sophos Firewall.
- Apri Amministrazione.
- Selezionare Device access.
- Verificare se SSH è consentito per la zona desiderata.
Per le reti di amministrazione interna, SSH può essere attivato direttamente per la zona appropriata, ad esempio per LAN. Se l’accesso deve essere limitato in modo più specifico, è sensata una regola di eccezione ACL del servizio locale.
Device Access controlla l’accesso al firewall stesso. Questa non è la stessa cosa di una normale regola del firewall che consente il traffico attraverso il firewall. Se SSH in Device Access è abilitato in modo troppo ampio, un client raggiungerà il servizio SSH locale del firewall indipendentemente dal fatto che una regola classica da LAN a WAN sia costruita in modo pulito.
Nel caso di un’eccezione ACL, i valori dovrebbero essere impostati nel modo più restrittivo possibile:
- Zona sorgente: la zona da cui avviene la somministrazione
- Rete di origine/Host: l’IP dell’amministratore o la rete di gestione
- Services: SSH
- Azione: Accetta

SSH non dovrebbe essere accessibile senza controllo da Internet. Se è necessario un accesso esterno, questo dovrebbe essere consentito solo tramite un IP di origine chiaramente definito, VPN o un accesso di supporto dedicato.
Memorizza la chiave pubblica per l’amministratore
Per l’accesso SSH, l’autenticazione con chiave pubblica è il metodo preferito. Su Sophos Firewall, la chiave pubblica per l’utente admin può essere memorizzata in Administration > Device access. L’accesso tramite password potrebbe essere necessario in caso di emergenza, ma non dovrebbe rimanere l’accesso predefinito più conveniente.
⚠️ L’accesso SSH allo Sophos Firewall è possibile solo con l’utente
admin. Gli altri utenti WebAdmin non possono accedere tramite SSH.
Importante: solo l’amministratore predefinito può modificare l’autenticazione della chiave pubblica per SSH, ovvero aggiungere o rimuovere chiavi. Per le operazioni, ciò significa: le modifiche chiave appartengono a un processo amministrativo documentato e non devono essere trattate come una scorciatoia di supporto spontanea.
La chiave pubblica viene aggiunta nell’area Autenticazione chiave pubblica per amministratore:
- Apri Amministrazione.
- Selezionare Device access.
- Scorrere fino all’area Autenticazione chiave pubblica per amministratore.
- Attiva Abilita autenticazione.
- Aggiungi la chiave pubblica in Authorized keys.
- Salva con Applica.

La chiave privata rimane sempre sul client di amministrazione e non può essere condivisa. Solo la chiave pubblica viene archiviata nel firewall.
Se più amministratori utilizzano SSH, la stessa chiave privata non deve essere condivisa. È meglio avere client di amministrazione separati, chiavi pubbliche documentate e una revisione di quali chiavi siano ancora necessarie. In caso di cambiamenti nel personale o nei fornitori di servizi, è necessario controllare l’area Authorized keys.
Tipi di chiavi SSH supportati
Non tutti i moderni tipi di chiave SSH sono ugualmente adatti per Sophos Firewall. Prima dell’implementazione, dovresti verificare se il tipo di chiave è supportato.
- RSA: Utilizzare almeno 2048 bit.
- DSA: Almeno 2048 bit, se necessario per motivi di compatibilità.
- ECDSA: Supporta; ED25519 non è accettato per questo scopo.
- ED25519: Per SSH Public Key Authentication non utilizzare su Sophos Firewall.
Per l’accesso di nuovi amministratori, una chiave RSA gestita correttamente o una chiave ECDSA supportata è solitamente più pragmatica di un tipo di chiave moderna che il firewall o uno strumento SSH meno recente non accetta.
Connettiti a macOS o Linux
Un client SSH è solitamente già presente su macOS e Linux. La connessione viene stabilita nel terminale.
Esempio:
ssh admin@192.0.2.1
192.0.2.1 viene sostituito dall’indirizzo IP o dal nome DNS del proprio Sophos Firewall.
Quando viene stabilita la connessione per la prima volta, il client SSH chiede se l’impronta digitale del sistema di destinazione deve essere accettata. Questa impronta digitale deve essere controllata e quindi confermata. Se dopo una reimmagine, una sostituzione dell’hardware o una modifica dell’IP viene visualizzato un avviso relativo a una chiave host modificata, la nuova impronta digitale non deve essere accettata ciecamente. Per prima cosa controlla se lo stesso firewall è stato effettivamente sostituito, reinstallato o spostato su un nuovo IP. Solo allora sarà possibile eliminare la vecchia voce in ~/.ssh/known_hosts e accettare la nuova impronta digitale.
A seconda della configurazione, viene quindi richiesta la password dell’utente admin oppure il login viene effettuato utilizzando la chiave SSH memorizzata.
Se è necessario utilizzare una chiave privata specifica:
ssh -i ~/.ssh/sophos-admin-key admin@192.0.2.1
Per gli accessi ricorrenti è necessario documentare il percorso della chiave, l’IP di origine consentito e lo scopo. La voce known_hosts non deve essere copiata nei ticket o nelle cronologie delle chat; Per gli avvisi chiave dell’host, la cronologia delle modifiche è più importante di una rapida soluzione alternativa.
Connettiti a PuTTY
In Windows puoi utilizzare Windows Terminal con OpenSSH o utilizzare PuTTY.
Con Windows Terminal, la creazione di una connessione funziona in modo simile a macOS o Linux:
ssh admin@192.0.2.1
Per PuTTY:
- Aprire PuTTY.
- Immettere l’indirizzo IP o il nome DNS dello Sophos Firewall in Nome host.
- Impostare Porta su
22. - Impostare Tipo di connessione su SSH.
- Connettiti con Apri.
- Controlla e conferma l’impronta digitale SSH.
- Accedere come utente
admine utilizzare la password o la chiave SSH a seconda della configurazione.
Dopo aver effettuato l’accesso, viene visualizzato il menu della console Sophos Firewall.
Se PuTTY viene utilizzato con una chiave privata, la chiave deve corrispondere alla chiave pubblica archiviata nel firewall. Dopo un cambio di personale o di fornitore di servizi, non va cambiata solo la password; anche le vecchie chiavi pubbliche devono essere rimosse da Authorized keys.
Apri Device Console o Advanced Shell
Dopo aver effettuato con successo l’accesso tramite SSH, il firewall visualizza un menu della console. L’opzione che scegli dipende da cosa vuoi fare.
Per molti comandi SFOS usi:
4. Device Console
Per attività più approfondite su Linux o file system, utilizzare Advanced Shell tramite:
5. Device Management > Advanced Shell
Lo Advanced Shell offre un accesso molto ampio al sistema. I comandi dovrebbero essere eseguiti lì solo se è chiaro cosa fanno.
- Device Console:
ping,dnslookup,traceroute,show, Opzioni di sistema o di percorso. - Advanced Shell: Leggi
/log,tail -f,grep,less,service -S, registri di debug.
Per l’analisi dei registri, i nomi dei servizi e i modelli di errore tipici, Risoluzione dei problemi Sophos Firewall: Services e registri è un punto di partenza migliore rispetto alla memorizzazione di singoli comandi.
Termina la connessione
Una volta completato il lavoro, la sessione SSH dovrebbe uscire in modo pulito:
exit
Se ci si trova in un sottomenu, potrebbe essere necessario tornare prima al menu principale e poi terminare la sessione.
Se SSH è stato attivato solo temporaneamente per un caso di supporto, la versione dovrà essere rimossa o disattivata. Ciò è particolarmente vero per le eccezioni ACL che provengono da indirizzi IP di origine esterna o dall’accesso del fornitore di servizi.
Dopo gli interventi profondi è opportuno verificare anche:- Il debug è di nuovo disabilitato?
- È stata rimossa o disabilitata una regola di eccezione ACL temporanea?
- Non sono stati lasciati inutilmente file temporanei, dump di supporto o registrazioni sul firewall?
- Gli estratti di log, l’ora, il comando e il risultato sono documentati nel ticket o nella modifica?
- La chiave SSH è stata utilizzata solo per l’accesso pianificato di amministrazione o supporto?
Problemi comuni
La connessione è stata rifiutata
Se la connessione viene rifiutata, SSH solitamente non è consentito sul firewall per la zona o la sorgente selezionata. In questo caso, è necessario selezionare Administration > Device access. Controlla inoltre se una regola di eccezione ACL consente l’origine o se una versione di accesso al dispositivo più ampia è stata deliberatamente rimossa.
La connessione è scaduta
Un timeout spesso indica che il firewall non può essere raggiunto tramite l’indirizzo IP selezionato, manca un percorso o un firewall upstream blocca l’accesso.
L’accesso non è riuscito
Se l’accesso fallisce, è necessario verificare l’utente admin, la password o la chiave SSH e le reti di origine consentite. Messaggi tipici come Permission denied (publickey,password) indicano una password errata, una chiave privata errata o una configurazione della chiave pubblica mancante.
Se l’accesso con chiave pubblica fallisce, controllare inoltre il tipo di chiave, la lunghezza della chiave, la chiave privata errata, il formato della chiave PuTTY e la voce in Authorized keys. Un servizio SSH correttamente consentito non aiuta se la chiave non corrisponde alla chiave pubblica memorizzata.
Viene visualizzato l’avviso relativo alla chiave host
Un avviso relativo alla chiave host potrebbe essere innocuo se un firewall è stato reinstallato o sostituito. L’avviso può anche indicare un sistema di destinazione errato o uno scambio di indirizzi IP. Pertanto, controlla prima il firewall, l’indirizzo IP, il DNS e la cronologia delle modifiche. Solo allora la vecchia voce known_hosts dovrebbe essere rimossa.
È stata aperta la console sbagliata
Se un comando non viene riconosciuto, spesso è aperta la console sbagliata. Comandi come system ... spesso appartengono a Device Console. File system e comandi di registro come tail, grep, less o service -S appartengono a Advanced Shell.
Lista di controllo operativa
- Consenti SSH solo da fonti amministrative attendibili.
- Se possibile, utilizzare la regola di eccezione Local Service ACL invece del rilascio di zona ampia.
- Preferire Public Key Authentication per
admin. - Utilizza il tipo di chiave e la lunghezza della chiave del documento supportati.
- Non condividere chiavi private.
- Controlla l’impronta digitale SSH al primo accesso.
- Gestire consapevolmente gli avvisi relativi alla chiave host dopo la reimmagine o la sostituzione dell’hardware.
- Non confondere Device Console e Advanced Shell.
- Apportare modifiche allo Advanced Shell solo con uno scopo chiaro.
- Rimuovere le versioni temporanee SSH dopo i casi di supporto.
- Eliminare le vecchie chiavi pubbliche dopo aver cambiato personale o fornitore di servizi.
Domande frequenti
Quale utente viene utilizzato per SSH su Sophos Firewall?
admin su Sophos Firewall. Gli utenti normali di WebAdmin, anche con diritti di amministratore, non accedono come propri utenti SSH.