Vai al contenuto
Avanet

Gestisci Sophos Firewall CAPTCHA per WebAdmin e User Portal

A partire da SFOS 18.0 MR3, Sophos Firewall può visualizzare un CAPTCHA per l’accesso WebAdmin e per User Portal. Questa protezione è stata introdotta a seguito di una vulnerabilità della sicurezza e ha lo scopo di rendere più difficili i tentativi di accesso automatizzati.

È possibile disattivare o riattivare CAPTCHA tramite Device Console. Ma questo dovrebbe avvenire solo consapevolmente. WebAdmin, User Portal, VPN Portal e SSH fanno parte della superficie di attacco diretto del firewall. Se questi servizi sono accessibili da reti non sicure, CAPTCHA non dovrebbe essere l’unica misura di protezione e non dovrebbe essere rimosso incautamente.

Accesso a Sophos Firewall WebAdmin con CAPTCHA
Accesso a Sophos Firewall WebAdmin con CAPTCHA
Portale utenti di Sophos Firewall Accesso con CAPTCHA
Portale utenti di Sophos Firewall Accesso con CAPTCHA

Classificazione

CAPTCHA non sostituisce un design amministrativo pulito in SFOS. È un ulteriore ostacolo prima di alcune pagine di accesso. Ciò che rimane cruciale è se queste pagine di accesso devono essere accessibili da WAN, VPN, reti ospiti o reti interne estese.

Quali pagine di accesso sono interessate

I comandi della console del dispositivo in questo articolo controllano CAPTCHA per due pagine di accesso specifiche:

  • WebAdmin Consolle: webadminconsole. WebAdmin accesso amministratore interfaccia locale.
  • User Portal: userportal. Portale utente per configurazioni VPN, OTP e funzioni utente.

Sophos descrive CAPTCHA per gli amministratori su WebAdmin e per gli utenti locali o ospiti su User Portal quando accedono tramite le interfacce WAN o VPN. Ciò non equivale a proteggere completamente tutti i servizi di accesso remoto. VPN Portal, SSL VPN, IPsec, SSH, DNS, SNMP e altri servizi firewall locali devono essere controllati anche tramite Administration > Device access, Local Service ACL, MFA, registrazione e un concetto di accesso remoto pulito.

Anche le porte aiutano a inquadrare il caso: WebAdmin usa 4444 per impostazione predefinita, User Portal usa 4443 e VPN Portal usa 443. Da SFOS 20.0, VPN Portal è un servizio separato. Durante gli upgrade, la porta precedente di User Portal può quindi passare a VPN Portal, mentre User Portal viene spostato su 4443 o, se non disponibile, su 65040. Prima di testare CAPTCHA, bisogna quindi verificare sempre quale pagina di accesso e quale porta vengono effettivamente aperte.

Il valore predefinito documentato per i comandi globali e specifici per VPN è enabled. Se un accesso da un’interfaccia LAN non mostra CAPTCHA, non si tratta automaticamente di una configurazione errata: Sophos non richiede CAPTCHA per gli accessi dalla LAN. In questo contesto, gli utenti locali sono utenti Sophos Firewall, non utenti provenienti da un server di autenticazione esterno come Active Directory.

Secondo Sophos, CAPTCHA non è disponibile su XG 85 e XG 85w. Se un’appliance di questo tipo non mostra CAPTCHA, non è un normale caso di disattivazione, ma un limite della piattaforma.

Importante: i tentativi CAPTCHA non riusciti non sono la stessa cosa degli accessi non riusciti. Se un CAPTCHA fallisce prima dell’effettivo login, dovresti quindi valutare separatamente i blocchi di login, i log di autenticazione e l’accesso al portale.

Per la logica di base dei servizi firewall locali, Device Access e Local Service ACL su Sophos Firewall è l’articolo di connessione più importante. Se non è chiaro se l’accesso è controllato tramite le normali regole del firewall o tramite Device Access, la regola Sophos Firewall non si applica: verificare le cause aiuterà.

Cosa non tratta questo articolo

L’articolo copre solo l’impostazione globale CAPTCHA per la console WebAdmin e User Portal. Ciò non sostituisce la protezione avanzata dell’accesso remoto e non costituisce una guida per proteggere SSL VPN, IPsec, Sophos Connect o Microsoft Entra ID SSO.

Quando si tratta di accesso remoto, altre domande sono più importanti:

Anche SPX Portal e altre funzioni del portale o della posta non devono essere derivate da questi comandi. Con SPX Portal, CAPTCHA rimane attivo e non può essere disattivato utilizzando questi comandi della console del dispositivo.

Quando non disabilitare CAPTCHA

CAPTCHA dovrebbe rimanere attivo se si applica una di queste condizioni:

  • WebAdmin è raggiungibile da WAN o da ampie reti interne.
  • User Portal è accessibile da Internet.
  • VPN Portal o SSL VPN sono accessibili al pubblico.
  • MFA non è abilitato in modo coerente per amministratori e utenti con accesso remoto.
  • Nel registro sono presenti molti tentativi di accesso non riusciti.
  • Non esiste una rete di gestione dedicata.
  • L’accesso a WebAdmin o SSH non è limitato tramite Device Access.

CAPTCHA non impedisce attacchi mirati e non sostituisce MFA. Tuttavia, riduce i tentativi di accesso automatizzati e il rumore di fondo. Se lo rimuovi, gli altri controlli dovrebbero fare clic in modo pulito.

Decisione e preparazione

Lasciare attivo o disattivare temporaneamente?

In pratica, ci sono alcuni buoni motivi per disattivare CAPTCHA. Questa decisione dovrebbe essere trattata come una piccola modifica alla sicurezza.

  • WebAdmin o User Portal è accessibile da Internet: Lascia CAPTCHA attivo e verifica prima la disponibilità, MFA e i registri.
  • Solo la rete di gestione o l’amministratore VPN possono accedere: La disattivazione temporanea può essere giustificabile se documentata.
  • Problema di accessibilità con singoli amministratori o utenti: Limita sorgente, lascia MFA attivo e documenta l’eccezione.
  • Test automatizzato in un ambiente di laboratorio: solo isolatamente, non per portali produttivi.
  • Caso di supporto con modifica limitata nel tempo: Salvare prima lo stato, riattivarlo successivamente o documentare un’eccezione intenzionale.

Se la giustificazione è semplicemente “più conveniente”, CAPTCHA non deve essere disabilitato. È meglio progettare l’accesso a WebAdmin o User Portal in modo tale che gli utenti autorizzati abbiano meno ostacoli, senza esporre inutilmente la pagina di accesso.

Alternativa migliore: ridurre l’accessibilità

Spesso il vero problema non è CAPTCHA, ma piuttosto una pagina di accesso troppo accessibile. Se un portale viene utilizzato solo occasionalmente, di solito è più pulito ridurre l’accessibilità piuttosto che rimuovere un’ulteriore protezione dell’accesso.

Decisioni tipiche:

  • Gli amministratori dovrebbero raggiungere WebAdmin senza rumore di accesso pubblico: Consenti WebAdmin solo dalla rete di gestione, VPN amministratore o IP amministratore fisso.
  • Gli utenti necessitano solo di User Portal per il primo download di VPN: Rendi il portale accessibile per un periodo limitato o solo da reti interne/VPN.
  • Il sostegno esterno necessita di un accesso a breve termine: Utilizza la regola di eccezione temporanea Local Service ACL con data di revisione.
  • CAPTCHA rivoluziona i test di laboratorio automatizzati: disattivare solo in un ambiente di test isolato, non trasferito su portali produttivi.

Questo ordine è importante: ridurre prima la superficie di attacco, quindi decidere su CAPTCHA. Se WebAdmin, User Portal o VPN Portal rimangono ampiamente disponibili, la disattivazione dovrebbe essere ben giustificata e ulteriormente protetta con MFA, registrazione e revisioni regolari.

Controlla prima di disabilitare

Prima di apportare qualsiasi modifica è necessario verificare questi punti:

  1. Device Access: WebAdmin o User Portal sono accessibili solo da fonti attendibili?
  2. MFA: MFA è attivo per WebAdmin, VPN Portal e Accesso remoto?
  3. Logging: Vengono controllati gli accessi non riusciti e gli accessi al portale?
  4. Accesso a SSH: SSH è consentito solo temporaneamente o da una rete di gestione?
  5. Fallback: È chiaro come riattivare CAPTCHA se necessario?
  6. Motivo: esiste davvero un motivo tecnico, ad esempio l’accessibilità, l’automazione in un laboratorio isolato o uno scenario di supporto temporaneo?

Per la limitazione dell’accesso, Configurare correttamente Device Access è l’articolo centrale. Per gli accessi amministratore e portale, è necessario selezionare anche MFA per Sophos Firewall WebAdmin, VPN Portal e attivazione accesso remoto.

⚠️ Attenzione: CAPTCHA non deve essere disabilitato per rendere più convenienti i portali accessibili al pubblico. Per prima cosa riduci l’accessibilità, attiva MFA e controlla i registri.

Modifica in Device Console

Apri SSH e Device Console

L’impostazione CAPTCHA viene modificata tramite Device Console. Per questo è necessario l’accesso SSH al firewall.

  1. Consenti l’accesso a SSH sotto Administration > Device access solo per una fonte attendibile.
  2. Connettersi all’utente admin tramite SSH.
  3. Aprire Device Console nella panoramica della console.

Le istruzioni Connetti Sophos Firewall tramite SSH descrivono l’accesso sicuro allo SSH con macOS, Linux e Windows.

Dopo la modifica, SSH dovrebbe essere nuovamente limitato al minimo necessario. I seguenti comandi system captcha-authentication-global appartengono a Device Console, non a Advanced Shell. Se invece i file di registro vengono controllati con tail, grep o less, Advanced Shell è corretto. La distinzione è spiegata in Risoluzione dei problemi Sophos Firewall: Services e registri.

Visualizza lo stato di CAPTCHA

Prima di apportare qualsiasi modifica, è necessario verificare innanzitutto lo stato attuale.

Per l’impostazione globale di WebAdmin:

system captcha-authentication-global show for webadminconsole

Per l’impostazione globale di User Portal:

system captcha-authentication-global show for userportal

Il comando mostra se CAPTCHA è attivo per la rispettiva pagina di accesso. Il risultato dovrebbe essere documentato con data, firewall, amministratore e motivo in modo che la modifica possa essere tracciata in seguito.

Se non è documentata un’eccezione deliberata, lo stato normale atteso dovrebbe essere enabled.

Cambia a livello globale o solo in modo specifico per VPN?

I comandi globali si applicano alla console WebAdmin e User Portal tramite le interfacce WAN o VPN. Se la disattivi, sovrascriverai anche l’impostazione CAPTCHA specifica per VPN.

Il punto di partenza sicuro è quindi: lasciare l’impostazione globale su enabled, controllare lo stato con show e modificare l’impostazione specifica per VPN solo per un caso VPN chiaramente definito.

Se il problema riguarda solo gli utenti o gli amministratori che accedono tramite VPN, dovresti prima verificare se è sufficiente una modifica specifica per VPN:

system captcha-authentication-vpn show for webadminconsole
system captcha-authentication-vpn show for userportal

Una disabilitazione specifica VPN è più ristretta di una disabilitazione globale. Tuttavia anche in questo caso vale quanto segue: documentare il motivo, testare il login reale e decidere nuovamente consapevolmente dopo il caso di supporto se CAPTCHA deve rimanere attivo.

Caso speciale: tunnel IPsec con Remote Subnet Any

Per le connessioni IPsec site-to-site, CAPTCHA può intervenire in modo inatteso se un tunnel è configurato con Remote Subnet Any. In questo caso, il firewall può trattare l’accesso tramite questa connessione in modo più ampio del previsto. Questo è particolarmente rilevante quando amministratori o utenti locali accedono a WebAdmin o User Portal tramite un tunnel site-to-site.

Prima di disattivare CAPTCHA, conviene quindi controllare anche la configurazione IPsec:

  • Esistono connessioni IPsec policy-based con Remote Subnet Any?
  • L’accesso passa attraverso un tunnel in cui non è definita chiaramente la rete remota?
  • Sarebbe meglio separare o specificare in modo più preciso la rete remota?

Una configurazione IPsec pulita è spesso la soluzione migliore rispetto a disattivare CAPTCHA in modo ampio. Ulteriori informazioni sulla configurazione delle route IPsec sono disponibili nell’articolo Creare una route IPsec su Sophos Firewall.

Disattiva CAPTCHA per WebAdmin

Se CAPTCHA deve essere disattivato deliberatamente per l’accesso WebAdmin:

system captcha-authentication-global disable for webadminconsole

Se sono interessati solo gli accessi VPN, considera invece questo comando più ristretto:

system captcha-authentication-vpn disable for webadminconsole

Dovresti quindi controllare immediatamente:

  1. Testare l’accesso WebAdmin dalla rete di gestione.
  2. WebAdmin Testare l’accesso da reti non autorizzate.
  3. Controllare Log Viewer per accessi non riusciti.
  4. Controlla MFA per gli amministratori.

WebAdmin non dovrebbe essere accessibile da nessuna fonte. Se è necessario l’accesso esterno, VPN, Sophos Central Gestione firewall, un IP amministrativo fisso o una regola di eccezione Local Service ACL rappresentano la base migliore.

Disattiva CAPTCHA per User Portal

Se CAPTCHA deve essere disattivato deliberatamente per User Portal:

system captcha-authentication-global disable for userportal

Se sono interessati solo gli utenti VPN, considera invece questo comando più ristretto:

system captcha-authentication-vpn disable for userportal

Lo User Portal dovrebbe essere accessibile solo quando realmente necessario, ad esempio per configurazioni VPN, token OTP o funzioni utente. In molti ambienti, il portale viene richiesto una volta per la configurazione e poi rimane aperto inutilmente.

Controllo dopo la modifica:

  1. Testare l’accesso User Portal con un utente normale.
  2. Controllare il processo MFA o OTP, se utilizzato.
  3. Verifica l’accessibilità da WAN, VPN, LAN e reti ospiti.
  4. Controllare gli accessi non riusciti in Log Viewer.

Se User Portal deve rimanere accessibile al pubblico, è necessario controllare MFA, password complesse, registrazione, fonti limitate e, se necessario, Feed delle minacce Sophos Firewall.

Riattiva CAPTCHA

Per WebAdmin:

system captcha-authentication-global enable for webadminconsole

Per User Portal:

system captcha-authentication-global enable for userportal

Per l’impostazione specifica di VPN:

system captcha-authentication-vpn enable for webadminconsole
system captcha-authentication-vpn enable for userportal

Dopo l’attivazione dovresti visualizzare nuovamente lo stato:

system captcha-authentication-global show for webadminconsole
system captcha-authentication-global show for userportal
system captcha-authentication-vpn show for webadminconsole
system captcha-authentication-vpn show for userportal

Se CAPTCHA è stato disattivato a causa di un caso di supporto, deve essere riattivato dopo la chiusura del caso oppure la disattivazione deve essere documentata deliberatamente.

Ispezione e funzionamento successivi

Ispezione successiva alla modifica

Dopo una modifica CAPTCHA, non dovresti semplicemente eseguire il comando show. L’importante è se la pagina di login interessata sia ancora accessibile solo dalle reti previste e se gli eventi di login restino tracciabili.

Controllo utile di follow-up:

  1. Controllare lo stato di WebAdmin e User Portal con show.
  2. Aprire Administration > Device access e verificare le zone consentite per WebAdmin, User Portal, SSH, VPN Portal e SSL VPN.
  3. Testare WebAdmin o User Portal da una rete consentita.
  4. Testare l’accesso da una rete non autorizzata se ciò è possibile senza rischi.
  5. Controllare gli eventi di accesso non riusciti e riusciti in Log Viewer.
  6. Controlla MFA separatamente per amministratori e utenti con accesso remoto.
  7. Rimuovere o limitare strettamente l’accesso SSH dopo la modifica.

Se la pagina di login rimane accessibile da WAN, la disattivazione deve essere valutata in modo particolarmente critico. In questo caso sono obbligatori MFA, restrizioni strette sulle sorgenti, logging e una revisione regolare. Di solito è ancora meglio non rendere WebAdmin o User Portal ampiamente accessibili da Internet.

Occorre inoltre valutare separatamente Administration > Admin and user settings > Login security. Secondo Sophos, i tentativi CAPTCHA non riusciti non attivano il blocco degli accessi. I veri accessi non riusciti, invece, possono bloccare l’accesso a WebAdmin, CLI, VPN Portal e User Portal dall’IP sorgente, a seconda della configurazione. Nel Log Viewer bisogna quindi distinguere tra un CAPTCHA non riuscito e un accesso realmente fallito.

Documentare le modifiche in modo comprensibile

In caso di modifiche rilevanti per la sicurezza dovrebbe essere chiaro in seguito perché CAPTCHA è stato disattivato e se la modifica è ancora necessaria. Spesso è sufficiente una breve registrazione nel sistema di cambio o di ticket.

Documentare:

  • Stato iniziale per WebAdmin e User Portal.
  • Motivo del cambiamento.
  • Firewall interessato e versione SFOS.
  • Tempo, amministrazione di esecuzione e smantellamento pianificato.
  • Quali restrizioni di accesso e controlli MFA sono attivi durante questo periodo.
  • Risultato dell’ispezione di follow-up nello Log Viewer.

Se più amministratori lavorano sul firewall, anche l’Audit Trail Sophos Firewall è utile. Risoluzione dei problemi Sophos Firewall: Services e registri è adatto per la risoluzione dei problemi di accesso e di servizio.

Misure protettive consigliate

Se CAPTCHA è disabilitato, dovrebbero essere presenti almeno questi controlli:

  • WebAdmin può essere raggiunto solo dalla rete di gestione, dall’amministratore VPN o dall’IP amministratore fisso.
  • SSH consentito solo quando necessario e solo da fonti attendibili.
  • MFA attivo per gli amministratori.
  • User Portal accessibile solo dove necessario.
  • VPN Portal e SSL VPN protetti con MFA e registrazione.
  • Gli accessi non riusciti vengono controllati regolarmente.
  • I portali esterni sono ridotti da Device Access, Local Service ACL, blocco paese o feed di minacce.

Per i servizi accessibili al pubblico è adatto anche Sophos Firewall: Blocca paesi e IP dannosi. Per un controllo di sicurezza più ampio, è utile Sophos Firewall Utilizzare Health Check correttamente.

Errori tipici e risoluzione dei problemi

  • Disabilita CAPTCHA perché è scomodo: Le interfacce di accesso vengono attaccate automaticamente più facilmente. Limita l’accesso e abilita MFA.
  • Lasciare WebAdmin accessibile da WAN: superficie di attacco a gestione diretta. Utilizzare IP di gestione, VPN o Gestione centrale.
  • Lasciare User Portal permanentemente aperto: bersaglio non necessario per bot e forza bruta. Rendi il portale accessibile solo quando necessario.
  • SSH lasciare aperto dopo la modifica: L’accesso alla CLI rimane esposto. SSH limitare o disabilitare nuovamente.
  • Non documentare lo stato: l’esame successivo sarà difficile. prima e dopo la corsa show.
  • utilizzata la console sbagliata: Il comando non è riconosciuto. nella selezione del menu SSH aprire Device Console.
  • VPN Portal confuso con User Portal: falsa aspettativa del comportamento CAPTCHA. Controllare separatamente la pagina di accesso interessata e il servizio di accesso al dispositivo.
  • User Portal condivide la porta con SSL VPN: CAPTCHA non viene visualizzato come previsto per User Portal oppure è in fase di test il servizio sbagliato. pianificare un portale unico e porte VPN e testarlo con un utente reale.
  • La modifica rimane attiva dopo il caso di supporto: La protezione è permanentemente ridotta. Documentare il tempo di smontaggio e rivederlo nel ticket.

Domande frequenti

È pericoloso disabilitare il CAPTCHA su Sophos Firewall?

Dipende dall’accessibilità. In una rete di gestione isolata, il rischio è significativamente inferiore rispetto a WebAdmin o User Portal accessibili al pubblico. Senza MFA e limitazioni di accesso, CAPTCHA dovrebbe rimanere attivo.

Il CAPTCHA sostituisce l'MFA?

No. CAPTCHA complica i tentativi di accesso automatizzati. MFA fornisce una protezione aggiuntiva contro password rubate o indovinate. MFA è più importante per l’accesso amministrativo e l’accesso remoto.

Puoi modificare il CAPTCHA solo per WebAdmin o solo per Portale Utenti?

Sì. I comandi della console del dispositivo distinguono tra webadminconsole e userportal.

Il CAPTCHA si applica anche al portale VPN o alla VPN SSL?

I comandi qui descritti si applicano alla console WebAdmin e User Portal. VPN Portal, SSL VPN, IPsec e SSH devono essere protetti separatamente tramite Device Access, Local Service ACL, MFA, configurazione di registrazione e accesso remoto.

SSH dovrebbe essere disabilitato dopo la modifica?

Quando SSH non sarà più necessario, l’accesso dovrà essere rimosso o almeno limitato a una rete di gestione.

Da dove viene la funzione CAPTCHA?

La funzionalità è stata introdotta con SFOS 18.0 MR3. L’articolo sulla versione locale di Avanet SFOS v18.0 MR3 - Nuove funzionalità documenta l’introduzione e il comando della console del dispositivo in quel momento.