Zum Inhalt springen
Avanet

Sophos Firewall per SSH verbinden

Sophos Firewall

Für viele Support- und Troubleshooting-Aufgaben benötigt man Zugriff auf die Sophos Firewall per SSH. Dazu gehören zum Beispiel Loganalysen, Service-Neustarts, spezielle Diagnosebefehle oder das Arbeiten in der Advanced Shell.

In dieser Anleitung zeigen wir, wie man den SSH-Zugriff vorbereitet, eine Verbindung zur Firewall herstellt und anschliessend die gewünschte Konsole öffnet.

Voraussetzungen

Für eine SSH-Verbindung zur Sophos Firewall benötigt man:

  • Administrativen Zugriff auf die Sophos Firewall
  • Die IP-Adresse oder den DNS-Namen der Firewall
  • Zugriff auf den Benutzer admin
  • Auf macOS oder Linux: die vorinstallierte Terminal-App mit SSH
  • Auf Windows: Windows Terminal mit OpenSSH oder PuTTY
  • Erlaubten SSH-Zugriff unter Administration > Device access

⚠️ SSH sollte nur aus vertrauenswürdigen Netzen erlaubt werden. Für produktive Umgebungen ist es besser, den Zugriff auf eine Management-IP oder ein Admin-Netz zu beschränken, statt SSH allgemein freizugeben.

SSH-Zugriff auf der Firewall erlauben

Damit eine Verbindung möglich ist, muss die Sophos Firewall SSH auf der passenden Zone oder über eine Local Service ACL Exception Rule erlauben.

  1. Im Web Admin der Sophos Firewall anmelden.
  2. Administration öffnen.
  3. Device access auswählen.
  4. Prüfen, ob SSH für die gewünschte Zone erlaubt ist.

Für interne Administrationsnetze kann SSH direkt für die passende Zone aktiviert werden, zum Beispiel für LAN. Wenn der Zugriff gezielter eingeschränkt werden soll, ist eine Local service ACL exception rule sinnvoll.

Bei einer ACL-Ausnahme sollten die Werte möglichst eng gesetzt werden:

  • Source zone: die Zone, aus der administriert wird
  • Source Network / Host: die Admin-IP oder das Management-Netz
  • Services: SSH
  • Action: Accept
Sophos Firewall Local Service ACL Exception Rule für SSH-Zugriff
Beispiel einer Local Service ACL Exception Rule, die SSH-Zugriff nur von einem definierten Quellobjekt erlaubt.

SSH sollte nicht unkontrolliert aus dem Internet erreichbar sein. Wenn externer Zugriff notwendig ist, sollte dieser nur über eine klar definierte Quell-IP, VPN oder einen dedizierten Support-Zugang erlaubt werden.

Public Key für admin hinterlegen

Für SSH-Zugriffe ist die Authentifizierung mit einem Public Key die bevorzugte Methode. Auf der Sophos Firewall kann der Public Key für den Benutzer admin unter Administration > Device access hinterlegt werden.

⚠️ Eine SSH-Anmeldung an der Sophos Firewall ist nur mit dem Benutzer admin möglich. Andere WebAdmin-Benutzer können sich nicht per SSH anmelden.

Der Public Key wird im Bereich Public key authentication for admin hinzugefügt:

  1. Administration öffnen.
  2. Device access auswählen.
  3. Zum Bereich Public key authentication for admin scrollen.
  4. Enable authentication aktivieren.
  5. Den Public Key unter Authorized keys hinzufügen.
  6. Mit Apply speichern.
Sophos Firewall Public Key Authentication für den admin-Benutzer
Bevorzugte Methode: Public Key Authentication für den SSH-Zugriff mit dem admin-Benutzer aktivieren.

Der private Schlüssel bleibt immer auf dem Admin-Client und darf nicht weitergegeben werden. Auf der Firewall wird nur der Public Key hinterlegt.

Verbindung mit macOS oder Linux herstellen

Auf macOS und Linux ist ein SSH-Client normalerweise bereits vorhanden. Die Verbindung wird im Terminal hergestellt.

Beispiel:

ssh admin@192.0.2.1

Dabei wird 192.0.2.1 durch die IP-Adresse oder den DNS-Namen der eigenen Sophos Firewall ersetzt.

Beim ersten Verbindungsaufbau fragt der SSH-Client, ob der Fingerprint des Zielsystems akzeptiert werden soll. Dieser Fingerprint sollte geprüft und anschliessend bestätigt werden.

Danach wird je nach Konfiguration das Passwort des Benutzers admin abgefragt oder die Anmeldung über den hinterlegten SSH-Key durchgeführt.

Verbindung mit PuTTY herstellen

Unter Windows kann man entweder Windows Terminal mit OpenSSH verwenden oder PuTTY einsetzen.

Für PuTTY:

  1. PuTTY öffnen.
  2. Unter Host Name die IP-Adresse oder den DNS-Namen der Sophos Firewall eintragen.
  3. Port auf 22 setzen.
  4. Connection type auf SSH stellen.
  5. Mit Open verbinden.
  6. Den SSH-Fingerprint prüfen und bestätigen.
  7. Als Benutzer admin anmelden und je nach Konfiguration Passwort oder SSH-Key verwenden.

Nach dem Login erscheint das Konsolenmenü der Sophos Firewall.

Device Console oder Advanced Shell öffnen

Nach erfolgreicher Anmeldung per SSH zeigt die Firewall ein Konsolenmenü. Welche Option gewählt wird, hängt davon ab, was man erledigen möchte.

Für viele SFOS Befehle verwendet man:

4. Device Console

Für tiefere Linux- oder Dateisystem-Aufgaben verwendet man die Advanced Shell über:

5. Device Management > Advanced Shell

Die Advanced Shell bietet sehr weitreichenden Zugriff auf das System. Befehle sollten dort nur ausgeführt werden, wenn klar ist, was sie bewirken.

Verbindung beenden

Wenn die Arbeiten abgeschlossen sind, sollte die SSH-Sitzung sauber beendet werden:

exit

Falls man sich in einem Untermenü befindet, kann es nötig sein, zuerst zurück ins Hauptmenü zu wechseln und die Sitzung danach zu beenden.

Häufige Probleme

Verbindung wird abgelehnt

Wenn die Verbindung abgelehnt wird, ist SSH auf der Firewall meistens nicht für die gewählte Zone oder Quelle erlaubt. In diesem Fall sollte Administration > Device access geprüft werden.

Verbindung läuft in einen Timeout

Ein Timeout deutet oft darauf hin, dass die Firewall über die gewählte IP-Adresse nicht erreichbar ist, eine Route fehlt oder eine vorgelagerte Firewall den Zugriff blockiert.

Anmeldung schlägt fehl

Wenn die Anmeldung fehlschlägt, sollten der Benutzer admin, das Passwort beziehungsweise der SSH-Key und die erlaubten Quellnetze geprüft werden.