Vai al contenuto
Avanet

Attivare MFA su Sophos Firewall per WebAdmin e VPN

Gli accessi amministrativi e i portali Remote Access non dovrebbero essere protetti solo da username e password. Con Multi-Factor Authentication, in breve MFA, Sophos Firewall richiede un secondo fattore aggiuntivo, per esempio un codice OTP time-based da un’app Authenticator.

Questa guida mostra come pianificare, attivare e testare MFA in modo sensato. Il focus e su WebAdmin, VPN Portal e Remote Access.

Quando ha senso usare MFA

MFA dovrebbe essere attivata almeno per tutti gli account che possono accedere a interfacce amministrative o funzioni Remote Access.

Ambiti tipici:

  • Login al WebAdmin.
  • Login al VPN Portal.
  • SSL VPN o Sophos Connect Remote Access.
  • Accesso per fornitori esterni.
  • Accesso per amministratori privilegiati.

MFA riduce il rischio legato a password rubate, ma non sostituisce una corretta limitazione degli accessi. SSH, WebAdmin e portali devono continuare a essere raggiungibili solo da reti fidate o tramite accessi di management chiaramente definiti.

Limitare l’accesso anche con ACL rules

Prima di attivare MFA, bisogna verificare da dove WebAdmin, SSH, User Portal e VPN Portal sono raggiungibili.

Il percorso e System > Administration > Device access.

Ci sono due aree rilevanti:

  • Local service ACL: accesso di base per zona, per esempio LAN, VPN o WAN.
  • Local service ACL exception rule: eccezioni mirate per singole reti sorgente, host o accessi di supporto.

In ambienti produttivi, WebAdmin e SSH non dovrebbero essere attivati genericamente per la zona WAN. Meglio limitarli a:

  • un Management-IP,
  • una rete admin,
  • una rete VPN,
  • un support host dedicato,
  • oppure una chiara eccezione FQDN/Host.

Se SSH e necessario, l’accesso deve essere ulteriormente limitato e idealmente usato con Public Key. Vedi: Connettersi a Sophos Firewall via SSH

⚠️ MFA protegge dalle credenziali rubate, ma non dai servizi esposti inutilmente. WebAdmin, SSH e portali non dovrebbero mai essere raggiungibili piu del necessario.

Prerequisiti

Prima dell’attivazione occorre verificare:

  • L’ora di sistema della Firewall e corretta.
  • E configurato un server NTP funzionante.
  • Gli utenti esistono localmente, tramite AD, LDAP, RADIUS o un altro servizio di autenticazione supportato.
  • Gli utenti interessati possono accedere al User Portal o al relativo servizio.
  • Esiste almeno un accesso amministrativo di fallback.

⚠️ Con Admin-MFA bisogna prestare particolare attenzione. Non attivare MFA subito per tutti gli amministratori senza aver prima testato un utente di prova, un secondo amministratore e un accesso di fallback. Una configurazione MFA errata puo causare il blocco dell’accesso al WebAdmin o al VPN Portal.

Sophos MFA o MFA esterna tramite RADIUS?

Sophos Firewall include una soluzione MFA propria. In questo caso i token OTP vengono gestiti direttamente sulla Firewall. E rapida da configurare e funziona senza infrastruttura aggiuntiva.

Vantaggi della MFA integrata Sophos:

  • Non richiede integrazione RADIUS o Identity Provider aggiuntiva.
  • Rollout rapido per utenti locali e ambienti piccoli.
  • I token possono essere creati e gestiti direttamente sulla Firewall.
  • Adatta per WebAdmin, User Portal, VPN Portal, SSL VPN Remote Access e IPsec Remote Access.

Svantaggi:

  • Gli utenti potrebbero dover gestire un’app Authenticator o un token aggiuntivo.
  • Il token e separato da Microsoft 365, Entra ID o altri processi MFA esistenti.
  • A seconda della maschera di login non esiste un campo OTP separato.
  • In alcuni portali gli utenti devono inserire password e token uno dopo l’altro.

In ambienti piu grandi, una soluzione MFA esterna tramite RADIUS puo essere piu adatta. In questo caso MFA viene implementata, per esempio, tramite Microsoft Entra ID, NPS con estensione MFA o un altro servizio MFA compatibile RADIUS. Per gli utenti spesso e piu semplice, perche usano la MFA Microsoft 365 gia nota o una soluzione aziendale esistente.

Lo svantaggio di una soluzione esterna e la maggiore complessita. RADIUS, gruppi, timeout, comportamento challenge e fallback devono essere pianificati e testati con cura.

Pianificare MFA

In ambienti produttivi e di solito meglio attivare MFA prima per un piccolo gruppo pilota.

Sequenza consigliata:

  1. Preparare utente di test o gruppo pilota.
  2. Verificare NTP e ora della Firewall.
  3. Attivare MFA per l’area di test.
  4. Testare il login con Authenticator app.
  5. Solo dopo includere altri gruppi utenti.

Per i fornitori conviene creare un gruppo utenti dedicato. In questo modo MFA puo essere imposta in modo mirato e l’accesso puo essere rimosso piu facilmente in seguito.

Per gli amministratori bisogna inoltre pianificare:

  • Chi e il primo admin di test?
  • Esiste un secondo admin con accesso funzionante?
  • L’accesso tramite rete di management o VPN e possibile?
  • Il default admin e protetto separatamente?
  • E documentato come sostituire un token perso?

Attivare MFA su Sophos Firewall

Le impostazioni MFA si trovano in Configure > Authentication > Multi-factor authentication.

  1. Accedi al WebAdmin della Sophos Firewall.
  2. Apri Configure > Authentication.
  3. Vai al tab Multi-factor authentication.
  4. In One-time password (OTP) seleziona per chi deve valere MFA:
    • No OTP: MFA e disattivata.
    • All users: MFA vale per tutti gli utenti.
    • Specific users and groups: MFA vale solo per utenti o gruppi selezionati.
  5. Attiva Generate OTP token with next sign-in se gli utenti devono configurare il token al prossimo login.
  6. In Require MFA for, seleziona per quali servizi MFA deve essere richiesta.
  7. Salva la configurazione con Apply.
Sophos Firewall - impostazioni Multi-factor authentication in Authentication
Sophos Firewall - Authentication > Multi-factor authentication

Opzioni tipiche in Require MFA for:

  • User portal
  • Web admin console
  • VPN portal
  • SSL VPN remote access
  • IPsec remote access
  • Web application firewall

A seconda dell’ambiente, MFA puo essere applicata diversamente per singoli servizi o gruppi utenti. Per gli amministratori MFA dovrebbe essere imposta in modo coerente, ma prima testata in modo controllato.

MFA per il default admin

L’utente locale default admin e un caso particolare. Sophos indica nella maschera MFA che MFA per questo utente non viene attivata direttamente in questo tab.

Il percorso e System > Administration > Device access.

Qui si puo attivare MFA for default admin. Questo dovrebbe essere fatto solo quando:

  • l’ora di sistema e corretta,
  • un secondo amministratore e stato testato,
  • l’accesso tramite una rete di management fidata funziona,
  • ed e chiaro come recuperare l’accesso amministrativo in emergenza.

Per il default admin vale: non disattivarlo, non renderlo raggiungibile non protetto da Internet e non usarlo come utente quotidiano. E un account Break-Glass o di emergenza.

Configurare i token per gli utenti

Dopo l’attivazione, l’utente deve configurare il secondo fattore. Se Generate OTP token with next sign-in e attivo, l’utente accede al User Portal o al VPN Portal e scansiona il QR code con un’app Authenticator.

App adatte sono per esempio:

  • Microsoft Authenticator.
  • Google Authenticator.
  • 1Password.
  • Bitwarden.
  • Altre app Authenticator compatibili TOTP.

Il codice generato e time-based. Se l’ora sulla Firewall o sullo smartphone differisce troppo, il login fallisce.

Se il User Portal e disattivato, gli utenti potrebbero non riuscire a configurare autonomamente i token. In questo caso bisogna rendere disponibile il portale in modo controllato oppure preparare i token amministrativamente.

Nota importante su password e token

A seconda del servizio Sophos, non esiste un campo separato per il codice OTP. Soprattutto nel VPN Portal o nei login Remote Access, questo crea spesso confusione.

In questi casi l’utente deve spesso inserire password e codice OTP direttamente uno dopo l’altro.

Esempio:

Password: MiaPasswordSicura
Codice OTP: 123456
Input:    MiaPasswordSicura123456

Questo va comunicato chiaramente agli utenti prima del rollout. Altrimenti per l’utente sembra che la password sia errata, anche se manca solo il codice OTP.

Sophos descrive questo comportamento nella documentazione OTP: OTP token.

Testare il login

Testa MFA prima con un utente che non sia l’unico amministratore.

Controlla:

  • Login al WebAdmin.
  • Login al VPN Portal.
  • Login al servizio Remote Access.
  • Comportamento con codice OTP errato.
  • Comportamento dopo la scadenza di un codice OTP.
  • Accesso con un utente non incluso nel gruppo MFA.
  • Login con password e OTP code concatenati.
  • Accesso tramite le ACL rules pianificate.

Solo quando questi test hanno esito positivo, MFA dovrebbe essere estesa ad altri gruppi.

Errori frequenti

Il codice OTP non viene accettato

Controlla l’ora di sistema della Firewall e l’ora dello smartphone. TOTP dipende dal tempo. Anche una deviazione significativa puo far rifiutare codici validi.

L’utente non vede il QR code

L’utente deve essere abilitato per MFA e accedere al portale corretto. Verifica anche che l’utente venga trovato tramite la sorgente di autenticazione prevista.

Se il User Portal e disattivato, l’utente potrebbe non riuscire a configurare autonomamente il token. In quel caso il portale deve essere reso temporaneamente raggiungibile oppure il token deve essere creato amministrativamente.

L’amministratore e bloccato fuori

Usa l’accesso di fallback preparato. Se non esiste un fallback, a seconda della situazione bisogna verificare l’accesso tramite console, supporto o procedure di recovery.

MFA non viene applicata a Remote Access

Verifica che la configurazione Remote Access usi lo stesso gruppo utenti per cui MFA e stata attivata. Spesso l’errore non e MFA stessa, ma gruppi diversi nelle regole VPN e di autenticazione.

L’utente inserisce solo la password

Se non viene mostrato un campo OTP separato, l’utente deve inserire password e codice OTP direttamente uno dopo l’altro. Questo e uno dei casi di supporto piu frequenti dopo l’attivazione di Sophos OTP.

La MFA esterna non funziona in modo affidabile

Per soluzioni MFA basate su RADIUS, timeout, comportamento challenge e gruppi devono combaciare correttamente. Se vengono usati Push-MFA, Call-MFA o risposte challenge, bisogna testare l’intero processo di login con il client interessato.

Raccomandazione

MFA dovrebbe essere standard per gli accessi amministrativi. E particolarmente importante per WebAdmin, VPN Portal e tutti gli utenti con autorizzazione Remote Access.

Per ambienti piccoli, la funzione OTP integrata Sophos e spesso sufficiente. In ambienti Microsoft 365 o Entra ID, una MFA esterna tramite RADIUS puo essere piu comoda, perche gli utenti non devono imparare un secondo mondo MFA.

Indipendentemente dalla variante MFA vale sempre: limitare prima l’accesso con ACL rules, testare Admin-MFA con cautela, informare gli utenti su password+token e solo dopo procedere con il rollout ampio.

Ulteriori informazioni Sophos: