Zum Inhalt springen
Avanet

MFA für Sophos Firewall WebAdmin, VPN Portal und Remote Access aktivieren

Administrative Zugänge und Remote-Access-Portale sollten nicht nur mit Benutzername und Passwort geschützt werden. Mit Multi-Factor Authentication, kurz MFA, verlangt die Sophos Firewall zusätzlich einen zweiten Faktor, zum Beispiel einen zeitbasierten OTP-Code aus einer Authenticator-App.

Diese Anleitung zeigt, wie man MFA sinnvoll plant, aktiviert und testet. Der Fokus liegt auf WebAdmin, VPN Portal und Remote Access.

Wann MFA sinnvoll ist

MFA sollte mindestens für alle Konten aktiviert werden, die auf administrative Oberflächen oder Remote-Access-Funktionen zugreifen dürfen.

Typische Einsatzbereiche:

  • Anmeldung am WebAdmin.
  • Anmeldung am VPN Portal.
  • SSL VPN oder Sophos Connect Remote Access.
  • Zugriff für externe Dienstleister.
  • Zugriff für privilegierte Administratoren.

MFA reduziert das Risiko gestohlener Passwörter, ersetzt aber keine saubere Zugriffsbeschränkung. SSH, WebAdmin und Portale sollten weiterhin nur aus vertrauenswürdigen Netzen oder über klar definierte Management-Zugriffe erreichbar sein.

Zugriff zusätzlich mit ACL-Regeln einschränken

Bevor man MFA aktiviert, sollte man prüfen, von wo WebAdmin, SSH, User Portal und VPN Portal überhaupt erreichbar sind.

Der Menüpfad lautet System > Administration > Device access.

Dort gibt es zwei relevante Bereiche:

  • Local service ACL: Grundsätzlicher Zugriff pro Zone, zum Beispiel LAN, VPN oder WAN.
  • Local service ACL exception rule: Gezielte Ausnahmen für einzelne Quellnetze, Hosts oder Support-Zugänge.

Für produktive Umgebungen sollte man WebAdmin und SSH nicht allgemein für die WAN-Zone aktivieren. Besser ist eine Einschränkung auf:

  • eine Management-IP,
  • ein Admin-Netz,
  • ein VPN-Netz,
  • einen dedizierten Support-Host,
  • oder eine klar definierte FQDN-/Host-Ausnahme.

Wenn SSH benötigt wird, sollte der Zugriff zusätzlich eingeschränkt und idealerweise mit Public Key genutzt werden. Siehe dazu: Sophos Firewall per SSH verbinden

⚠️ MFA schützt vor gestohlenen Zugangsdaten, aber nicht vor unnötig exponierten Diensten. WebAdmin, SSH und Portale sollten nie breiter erreichbar sein als nötig.

Voraussetzungen

Vor der Aktivierung sollte man prüfen:

  • Die Systemzeit der Firewall ist korrekt.
  • Ein funktionierender NTP-Server ist konfiguriert.
  • Die Benutzer sind lokal, über AD, LDAP, RADIUS oder einen anderen unterstützten Authentifizierungsdienst vorhanden.
  • Die betroffenen Benutzer können sich am User Portal oder am jeweiligen Dienst anmelden.
  • Mindestens ein administrativer Fallback-Zugang ist vorhanden.

⚠️ Bei Admin-MFA muss man besonders aufpassen. Aktiviere MFA nicht direkt für alle Administratoren, ohne vorher einen Testbenutzer, einen zweiten Administrator und einen Fallback-Zugang geprüft zu haben. Eine falsche MFA-Konfiguration kann dazu führen, dass man sich selbst aus dem WebAdmin oder VPN Portal aussperrt.

Sophos MFA oder externe MFA über RADIUS?

Die Sophos Firewall bringt eine eigene MFA-Lösung mit. Dabei werden OTP-Token direkt auf der Firewall verwaltet. Das ist schnell eingerichtet und funktioniert ohne zusätzliche Infrastruktur.

Vorteile der Sophos-eigenen MFA:

  • Keine zusätzliche RADIUS- oder Identity-Provider-Integration nötig.
  • Schneller Rollout für lokale Benutzer und kleine Umgebungen.
  • Token können direkt auf der Firewall erzeugt und verwaltet werden.
  • Geeignet für WebAdmin, User Portal, VPN Portal, SSL VPN Remote Access und IPsec Remote Access.

Nachteile:

  • Benutzer müssen möglicherweise eine zusätzliche Authenticator-App oder einen zusätzlichen Token pflegen.
  • Der Token ist getrennt von Microsoft 365, Entra ID oder anderen bestehenden MFA-Prozessen.
  • Je nach Login-Maske gibt es kein eigenes OTP-Feld.
  • Benutzer müssen bei bestimmten Portalen Passwort und Token direkt hintereinander eingeben.

In grösseren Umgebungen kann eine externe MFA-Lösung über RADIUS sinnvoller sein. Dann wird MFA beispielsweise über Microsoft Entra ID, NPS mit MFA-Erweiterung oder einen anderen RADIUS-kompatiblen MFA-Dienst umgesetzt. Für Benutzer ist das oft angenehmer, weil sie die bereits bekannte Microsoft-365-MFA oder eine bestehende Unternehmenslösung verwenden.

Der Nachteil einer externen Lösung ist die höhere Komplexität. RADIUS, Gruppen, Timeouts, Challenge-Verhalten und Fallback müssen sauber geplant und getestet werden.

MFA planen

Für produktive Umgebungen ist es meist besser, MFA zuerst für eine kleine Pilotgruppe zu aktivieren.

Bewährt hat sich diese Reihenfolge:

  1. Testbenutzer oder Pilotgruppe vorbereiten.
  2. NTP und Uhrzeit der Firewall prüfen.
  3. MFA für den Testbereich aktivieren.
  4. Anmeldung mit Authenticator-App testen.
  5. Erst danach weitere Benutzergruppen einbinden.

Für Dienstleister empfiehlt sich eine eigene Benutzergruppe. Dadurch lässt sich MFA gezielt erzwingen und der Zugriff später einfacher entfernen.

Für Administratoren sollte man zusätzlich planen:

  • Wer ist der erste Test-Admin?
  • Gibt es einen zweiten Admin mit funktionierendem Zugriff?
  • Ist der Zugriff über ein Management-Netz oder VPN möglich?
  • Ist der default admin separat geschützt?
  • Ist dokumentiert, wie ein verlorener Token ersetzt wird?

MFA auf der Sophos Firewall aktivieren

Die MFA-Einstellungen befinden sich unter Configure > Authentication > Multi-factor authentication.

  1. Melde dich am WebAdmin der Sophos Firewall an.
  2. Öffne Configure > Authentication.
  3. Wechsle auf den Tab Multi-factor authentication.
  4. Wähle bei One-time password (OTP) aus, für wen MFA gelten soll:
    • No OTP: MFA ist deaktiviert.
    • All users: MFA gilt für alle Benutzer.
    • Specific users and groups: MFA gilt nur für ausgewählte Benutzer oder Gruppen.
  5. Aktiviere Generate OTP token with next sign-in, wenn Benutzer ihren Token beim nächsten Login selbst einrichten sollen.
  6. Wähle unter Require MFA for aus, für welche Dienste MFA verlangt wird.
  7. Speichere die Konfiguration mit Apply.
Sophos Firewall - Multi-factor authentication Einstellungen unter Authentication
Sophos Firewall - Authentication > Multi-factor authentication

Typische Optionen unter Require MFA for sind:

  • User portal
  • Web admin console
  • VPN portal
  • SSL VPN remote access
  • IPsec remote access
  • Web application firewall

Je nach Umgebung kann MFA für einzelne Dienste oder Benutzergruppen unterschiedlich angewendet werden. Für Administratoren sollte man MFA konsequent erzwingen, aber zuerst kontrolliert testen.

MFA für den default admin

Der lokale default Benutzer admin ist ein Sonderfall. Sophos weist in der MFA-Maske darauf hin, dass MFA für diesen Benutzer nicht direkt in diesem Tab aktiviert wird.

Der Menüpfad lautet System > Administration > Device access.

Dort kann man MFA for default admin aktivieren. Das sollte man erst machen, wenn:

  • die Systemzeit korrekt ist,
  • ein zweiter Administrator getestet wurde,
  • der Zugriff über ein vertrauenswürdiges Management-Netz funktioniert,
  • und klar ist, wie man im Notfall wieder administrativen Zugriff erhält.

Für den default admin gilt: Nicht deaktivieren, nicht ungeschützt im Internet erreichbar machen und nicht als normaler Tagesbenutzer verwenden. Er ist ein Break-Glass- oder Notfallkonto.

Token für Benutzer einrichten

Nach der Aktivierung muss der Benutzer seinen zweiten Faktor einrichten. Wenn Generate OTP token with next sign-in aktiv ist, meldet sich der Benutzer am User Portal oder VPN Portal an und scannt den QR-Code mit einer Authenticator-App.

Geeignete Apps sind zum Beispiel:

  • Microsoft Authenticator.
  • Google Authenticator.
  • 1Password.
  • Bitwarden.
  • Andere TOTP-kompatible Authenticator-Apps.

Der erzeugte Code ist zeitbasiert. Wenn die Uhrzeit auf Firewall oder Smartphone stark abweicht, schlägt die Anmeldung fehl.

Wenn das User Portal deaktiviert ist, können Benutzer ihre Tokens unter Umständen nicht selbst einrichten. In diesem Fall muss man entweder das Portal kontrolliert bereitstellen oder Tokens administrativ vorbereiten.

Wichtiger Hinweis zu Passwort und Token

Je nach Sophos-Dienst gibt es für den OTP-Code kein separates Formularfeld. Besonders beim VPN Portal oder bei Remote-Access-Logins führt das immer wieder zu Verwirrung.

In diesen Fällen muss der Benutzer häufig Passwort und OTP-Code direkt hintereinander eingeben.

Beispiel:

Passwort: MeinSicheresPasswort
OTP-Code: 123456
Eingabe:  MeinSicheresPasswort123456

Das sollte man den Benutzern vor dem Rollout klar kommunizieren. Sonst sieht es für den Benutzer so aus, als ob das Passwort falsch wäre, obwohl nur der OTP-Code fehlt.

Sophos beschreibt dieses Verhalten in der eigenen OTP-Dokumentation: OTP token.

Anmeldung testen

Teste MFA zuerst mit einem Benutzer, der nicht der einzige Administrator ist.

Prüfe dabei:

  • Anmeldung am WebAdmin.
  • Anmeldung am VPN Portal.
  • Anmeldung am Remote-Access-Dienst.
  • Verhalten bei falschem OTP-Code.
  • Verhalten nach Ablauf eines OTP-Codes.
  • Zugriff mit einem Benutzer, der nicht in der MFA-Gruppe ist.
  • Login mit Passwort und angehängtem OTP-Code.
  • Zugriff über die geplanten ACL-Regeln.

Erst wenn diese Tests erfolgreich sind, sollte man MFA auf weitere Gruppen ausrollen.

Häufige Fehler

OTP-Code wird nicht akzeptiert

Prüfe die Systemzeit der Firewall und die Uhrzeit des Smartphones. TOTP ist zeitabhängig. Schon eine deutliche Abweichung kann dazu führen, dass gültige Codes abgelehnt werden.

Benutzer sieht keinen QR-Code

Der Benutzer muss für MFA berechtigt sein und sich am richtigen Portal anmelden. Prüfe ausserdem, ob der Benutzer über die erwartete Authentifizierungsquelle gefunden wird.

Wenn das User Portal deaktiviert ist, kann der Benutzer den Token möglicherweise nicht selbst einrichten. Dann muss das Portal temporär erreichbar gemacht oder der Token administrativ erstellt werden.

Administrator ist ausgesperrt

Verwende den vorbereiteten Fallback-Zugang. Wenn kein Fallback vorhanden ist, muss der Zugriff je nach Situation über Konsole, Support oder Wiederherstellungswege geprüft werden.

MFA greift nicht für Remote Access

Prüfe, ob die Remote-Access-Konfiguration die gleiche Benutzergruppe verwendet, für die MFA aktiviert wurde. Häufig liegt der Fehler nicht an MFA selbst, sondern an unterschiedlichen Gruppen in VPN- und Authentifizierungsregeln.

Benutzer gibt nur das Passwort ein

Wenn kein separates OTP-Feld angezeigt wird, muss der Benutzer Passwort und OTP-Code direkt hintereinander eingeben. Das ist einer der häufigsten Supportfälle nach der Aktivierung von Sophos OTP.

Externe MFA funktioniert nicht zuverlässig

Bei RADIUS-basierten MFA-Lösungen müssen Timeouts, Challenge-Verhalten und Gruppen sauber passen. Wenn Push-MFA, Call-MFA oder Challenge-Antworten verwendet werden, sollte man den kompletten Loginprozess mit dem betroffenen Client testen.

Empfehlung

MFA sollte für administrative Zugänge Standard sein. Besonders wichtig ist MFA für WebAdmin, VPN Portal und alle Benutzer mit Remote-Access-Berechtigung.

Für kleine Umgebungen ist die Sophos-eigene OTP-Funktion oft ausreichend. In Microsoft-365- oder Entra-ID-Umgebungen kann eine externe MFA über RADIUS angenehmer sein, weil Benutzer keine zweite MFA-Welt lernen müssen.

Unabhängig von der MFA-Variante gilt: Zugriff zuerst mit ACL-Regeln einschränken, Admin-MFA vorsichtig testen, Benutzer über Passwort+Token informieren und erst danach breit ausrollen.

Weitere Sophos-Informationen: