Beheer Sophos Firewall CAPTCHA voor WebAdmin en User Portal
Sinds SFOS 18.0 MR3 kan de Sophos Firewall een CAPTCHA weergeven voor de WebAdmin-aanmelding en voor de User Portal. Deze bescherming is ingevoerd naar aanleiding van een beveiligingsprobleem en is bedoeld om geautomatiseerde inlogpogingen moeilijker te maken.
CAPTCHA kunt u deactiveren of reactiveren via Device Console. Maar dit mag alleen bewust gebeuren. WebAdmin, User Portal, VPN Portal en SSH maken deel uit van het directe aanvalsoppervlak van de firewall. Als deze diensten toegankelijk zijn vanaf onveilige netwerken, mag CAPTCHA niet de enige beschermende maatregel zijn en mag deze niet onzorgvuldig worden verwijderd.
Classificatie
CAPTCHA is geen vervanging voor een schoon beheerontwerp in SFOS. Het is een extra hindernis voor bepaalde inlogpagina’s. Cruciaal blijft de vraag of deze inlogpagina’s toegankelijk moeten zijn vanuit WAN, VPN, gastnetwerken of brede interne netwerken.
Welke inlogpagina’s worden beïnvloed
De apparaatconsole-opdrachten in dit artikel beheren CAPTCHA voor twee specifieke aanmeldingspagina’s:
- WebAdmin-console:
webadminconsole. WebAdmin lokale interface beheerder inloggen. - User Portal:
userportal. Gebruikersportaal voor VPN-configuraties, OTP en gebruikersfuncties.
Sophos beschrijft CAPTCHA voor beheerders op WebAdmin en voor lokale of gastgebruikers op User Portal bij toegang via WAN- of VPN-interfaces. Dit is niet hetzelfde als het volledig beveiligen van alle diensten voor externe toegang. VPN Portal, SSL VPN, IPsec, SSH, DNS, SNMP en andere lokale firewalldiensten moeten ook worden beheerd via Administration > Device access, Local Service ACL, MFA, logging en een schoon concept voor externe toegang.
Ook de poorten helpen bij de beoordeling: WebAdmin gebruikt standaard 4444, User Portal gebruikt 4443 en VPN Portal gebruikt 443. Sinds SFOS 20.0 is VPN Portal een aparte dienst. Bij upgrades kan de vroegere User Portal-poort daarom naar VPN Portal verhuizen, terwijl User Portal naar 4443 of, als die poort niet beschikbaar is, naar 65040 wordt verplaatst. Voor een CAPTCHA-test moet daarom altijd worden gecontroleerd welke loginpagina en welke poort daadwerkelijk worden geopend.
De gedocumenteerde standaardwaarde voor zowel globale als VPN-specifieke commando’s is enabled. Als een login vanaf een LAN-interface geen CAPTCHA toont, is dat niet automatisch een verkeerde configuratie: Sophos vereist geen CAPTCHA voor logins vanaf LAN. Lokale gebruikers zijn in deze context Sophos Firewall-gebruikers, niet gebruikers van een externe authenticatieserver zoals Active Directory.
Volgens Sophos is CAPTCHA niet beschikbaar op XG 85 en XG 85w. Als zo’n appliance geen CAPTCHA toont, is dat geen normale deactivatie, maar een platformbeperking.
Belangrijk: Mislukte CAPTCHA-pogingen zijn niet hetzelfde als mislukte aanmeldingen. Als een CAPTCHA mislukt voordat u daadwerkelijk inlogt, moet u daarom de inlogblokkeringen, authenticatielogboeken en portaltoegang afzonderlijk beoordelen.
Voor de basislogica van lokale firewallservices is Device Access en Local Service ACL op Sophos Firewall het belangrijkste verbindingsartikel. Als het niet duidelijk is of de toegang wordt beheerd via normale firewallregels of via Device Access, kan Sophos Firewall-regel is niet van toepassing: controleer oorzaken helpen.
Wat dit artikel niet behandelt
Het artikel heeft alleen betrekking op de algemene CAPTCHA-instelling voor de WebAdmin-console en User Portal. Dit vervangt de verharding van externe toegang niet en is geen leidraad voor het beveiligen van SSL VPN, IPsec, Sophos Connect of Microsoft Entra ID SSO.
Als het om toegang op afstand gaat, zijn andere vragen belangrijker:
- SSL VPN: instellen en testen Sophos Firewall SSL VPN Externe toegang instellen.
- Sophos Connect: voorbereiden Sophos Connect configureren op Sophos Firewall.
- MFA voor beheerders en externe toegang: MFA inschakelen voor Sophos Firewall WebAdmin, VPN Portal en externe toegang.
- Toegang tot portal en service beperken: Device Access correct configureren.
SPX Portal en andere portal- of mailfuncties mogen ook niet van deze opdrachten worden afgeleid. Met de SPX Portal blijft CAPTCHA actief en kan niet worden uitgeschakeld met behulp van deze apparaatconsole-opdrachten.
Wanneer CAPTCHA niet moet worden uitgeschakeld
CAPTCHA moet actief blijven als een van de volgende situaties van toepassing is:
- WebAdmin is bereikbaar vanaf
WANof vanuit brede interne netwerken. - User Portal is toegankelijk via internet.
- VPN Portal of SSL VPN zijn openbaar toegankelijk.
- MFA is niet consistent ingeschakeld voor beheerders en gebruikers van externe toegang.
- Er staan veel mislukte inlogpogingen in het logboek.
- Er is geen specifiek managementnetwerk.
- Toegang tot WebAdmin of SSH is niet beperkt via Device Access.
CAPTCHA voorkomt geen gerichte aanvallen en vervangt MFA niet. Het vermindert echter geautomatiseerde inlogpogingen en achtergrondgeluiden. Als u het verwijdert, moeten andere besturingselementen netjes klikken.
Beslissing en voorbereiding
Actief laten of tijdelijk deactiveren?
In de praktijk zijn er weinig goede redenen om CAPTCHA uit te schakelen. Deze beslissing moet worden behandeld als een kleine wijziging in de beveiliging.
- WebAdmin of User Portal is toegankelijk via internet: Laat CAPTCHA actief en controleer eerst de beschikbaarheid, MFA en log eerst.
- Alleen beheernetwerk of beheerder VPN heeft toegang tot: Tijdelijke deactivering kan gerechtvaardigd zijn, indien gedocumenteerd.
- Toegankelijkheidsprobleem met individuele beheerders of gebruikers: Bron beperken, MFA actief laten en uitzondering documenteren.
- Geautomatiseerde test in een laboratoriumomgeving: alleen afzonderlijk, niet voor productieve portalen.
- Ondersteuningsaanvraag met tijdelijke wijziging: Sla de status vooraf op, activeer deze daarna opnieuw of documenteer een opzettelijke uitzondering.
Als de rechtvaardiging alleen maar “handiger” is, mag CAPTCHA niet worden uitgeschakeld. Het is beter om de toegang tot WebAdmin of User Portal zo te ontwerpen dat geautoriseerde gebruikers minder hindernissen hebben, zonder de inlogpagina onnodig breed bloot te leggen.
Beter alternatief: verminder de toegankelijkheid
Vaak is het werkelijke probleem niet CAPTCHA, maar eerder een inlogpagina die te breed toegankelijk is. Als een portal slechts af en toe wordt gebruikt, is het meestal schoner om de toegankelijkheid te verminderen in plaats van extra inlogbeveiliging te verwijderen.
Typische beslissingen:
- Beheerders moeten WebAdmin bereiken zonder openbaar inloggeluid: Sta WebAdmin alleen toe vanaf het beheernetwerk, beheerder VPN of vast beheerder-IP.
- Gebruikers hebben de User Portal alleen nodig voor de eerste VPN-download: Maak het portaal voor een beperkte tijd of alleen toegankelijk via interne/VPN-netwerken.
- Externe ondersteuning heeft toegang op korte termijn nodig: Gebruik tijdelijke uitzonderingsregel Local Service ACL met herzieningsdatum.
- CAPTCHA verstoort geautomatiseerde laboratoriumtests: alleen deactiveren in een geïsoleerde testomgeving, niet overgebracht naar productieve portalen.
Deze volgorde is belangrijk: verklein eerst het aanvalsoppervlak en beslis dan over CAPTCHA. Als WebAdmin, User Portal of VPN Portal algemeen beschikbaar blijven, moet de deactivering zeer goed gerechtvaardigd zijn en bovendien beveiligd worden met MFA, logboekregistratie en regelmatige beoordelingen.
Controleer voordat u het uitschakelt
Voordat u wijzigingen aanbrengt, moeten deze punten worden gecontroleerd:
- Device Access: Is WebAdmin of User Portal alleen toegankelijk via vertrouwde bronnen?
- MFA: Is MFA actief voor WebAdmin, VPN Portal en externe toegang?
- Logboekregistratie: Zijn mislukte aanmeldingen en portaltoegang gecontroleerd?
- SSH-toegang: Is SSH alleen tijdelijk toegestaan of vanuit een beheernetwerk?
- Fallback: Is het duidelijk hoe CAPTCHA indien nodig opnieuw kan worden ingeschakeld?
- Reden: Is er echt een technische reden, zoals toegankelijkheid, automatisering in een geïsoleerd laboratorium of een tijdelijk ondersteuningsscenario?
Voor toegangsbeperking is Configureer Device Access correct het centrale artikel. Voor beheerders- en portalaanmeldingen moet ook MFA voor Sophos Firewall WebAdmin, VPN Portal en externe toegang activeren worden aangevinkt.
⚠️ Let op: CAPTCHA mag niet worden uitgeschakeld om publiek toegankelijke portals handiger te maken. Verlaag eerst de toegankelijkheid, activeer MFA en controleer logs.
Wijziging in Device Console
Open SSH en Device Console
De CAPTCHA-instelling wordt gewijzigd via de Device Console. Hiervoor heeft u SSH toegang tot de firewall nodig.
- Geef SSH alleen toegang onder Administration > Device access voor een vertrouwde bron.
- Maak verbinding met gebruiker
adminvia SSH. - Open Device Console in het consoleoverzicht.
De instructies Verbind Sophos Firewall via SSH beschrijven veilige SSH-toegang met macOS, Linux en Windows.
Na de wijziging moet SSH weer tot het noodzakelijke minimum worden beperkt. De volgende system captcha-authentication-global-opdrachten horen thuis in de Device Console, niet in de Advanced Shell. Als logbestanden worden gecontroleerd met tail, grep of less, is Advanced Shell correct. Het onderscheid wordt uitgelegd in Sophos Firewall Probleemoplossing: Services en logboeken.
CAPTCHA-status bekijken
Voordat u wijzigingen aanbrengt, moet eerst de huidige status worden gecontroleerd.
Voor globale instelling van WebAdmin:
system captcha-authentication-global show for webadminconsole
Voor globale instelling van User Portal:
system captcha-authentication-global show for userportal
Het commando laat zien of CAPTCHA actief is voor de betreffende inlogpagina. Het resultaat moet worden gedocumenteerd met datum, firewall, admin en reden, zodat de wijziging later kan worden getraceerd.
Als er geen bewuste uitzondering is gedocumenteerd, moet de verwachte normale status enabled zijn.
Globaal wijzigen of alleen VPN-specifiek?
De algemene opdrachten zijn van toepassing op de WebAdmin-console en User Portal via WAN- of VPN-interfaces. Als u deze deactiveert, overschrijft u ook de VPN-specifieke CAPTCHA-instelling.
Het veilige uitgangspunt is daarom: de globale instelling enabled laten, de status met show controleren en alleen bij een duidelijk VPN-specifiek geval de VPN-specifieke instelling wijzigen.
Als het probleem alleen gebruikers of beheerders treft die toegang hebben via VPN, moet u eerst controleren of een VPN-specifieke wijziging voldoende is:
system captcha-authentication-vpn show for webadminconsole
system captcha-authentication-vpn show for userportal
Een VPN specifieke uitschakeling is beperkter dan een globale uitschakeling. Toch geldt ook hier het volgende: documenteer de reden, test de echte login en beslis na de supportaanvraag opnieuw bewust of CAPTCHA actief moet blijven.
Speciaal geval: IPsec-tunnel met Remote Subnet Any
Bij site-to-site IPsec-verbindingen kan CAPTCHA onverwacht actief worden wanneer een tunnel met Remote Subnet Any is geconfigureerd. In dat geval kan de firewall toegang via deze verbinding breder behandelen dan bedoeld. Dit is vooral relevant wanneer beheerders of lokale gebruikers via een site-to-site tunnel toegang krijgen tot WebAdmin of User Portal.
Controleer daarom ook de IPsec-configuratie voordat CAPTCHA wordt uitgeschakeld:
- Zijn er policy-based IPsec-verbindingen met Remote Subnet
Any? - Loopt de toegang via een tunnel waarin het remote netwerk niet duidelijk is gedefinieerd?
- Kan het remote netwerk beter gescheiden of specifieker worden vastgelegd?
Een nette IPsec-configuratie is vaak de betere oplossing dan CAPTCHA breed uit te schakelen. Meer informatie over IPsec-routes staat in het artikel IPsec-route op Sophos Firewall maken.
CAPTCHA uitschakelen voor WebAdmin
Als CAPTCHA opzettelijk moet worden gedeactiveerd voor de WebAdmin-aanmelding:
system captcha-authentication-global disable for webadminconsole
Als alleen VPN-toegangen worden beïnvloed, overweeg dan deze beperktere opdracht:
system captcha-authentication-vpn disable for webadminconsole
Controleer dan onmiddellijk:
- Test de WebAdmin-aanmelding vanaf het beheernetwerk.
- WebAdmin Test het inloggen vanaf ongeautoriseerde netwerken.
- Controleer Log Viewer op mislukte aanmeldingen.
- Controleer MFA op beheerders.
WebAdmin mag vanuit geen enkele bron toegankelijk zijn. Als externe toegang nodig is, zijn VPN, Sophos Central Firewall Management, een vast admin-IP of een Local Service ACL uitzonderingsregel de betere basis.
CAPTCHA uitschakelen voor User Portal
Als CAPTCHA opzettelijk moet worden gedeactiveerd voor de User Portal:
system captcha-authentication-global disable for userportal
Als alleen VPN-gebruikers getroffen zijn, overweeg dan deze beperktere opdracht:
system captcha-authentication-vpn disable for userportal
De User Portal mag alleen toegankelijk zijn als deze echt nodig is, bijvoorbeeld voor VPN-configuraties, OTP-tokens of gebruikersfuncties. In veel omgevingen is de portal eenmalig nodig voor de configuratie en blijft dan onnodig open staan.
Controle na wijziging:
- Test de User Portal-aanmelding met een normale gebruiker.
- Controleer het MFA- of OTP-proces, indien gebruikt.
- Controleer de toegankelijkheid vanaf
WAN, VPN, LAN en gastnetwerken. - Controleer mislukte aanmeldingen in Log Viewer.
Als de User Portal openbaar toegankelijk moet blijven, moeten MFA, sterke wachtwoorden, logboekregistratie, beperkte bronnen en, indien nodig, Sophos Firewall Threat Feeds worden gecontroleerd.
CAPTCHA opnieuw inschakelen
Voor WebAdmin:
system captcha-authentication-global enable for webadminconsole
Voor User Portal:
system captcha-authentication-global enable for userportal
Voor VPN specifieke instelling:
system captcha-authentication-vpn enable for webadminconsole
system captcha-authentication-vpn enable for userportal
Na activering zou u de status opnieuw moeten weergeven:
system captcha-authentication-global show for webadminconsole
system captcha-authentication-global show for userportal
system captcha-authentication-vpn show for webadminconsole
system captcha-authentication-vpn show for userportal
Als CAPTCHA is gedeactiveerd vanwege een ondersteuningsaanvraag, moet deze opnieuw worden geactiveerd nadat de aanvraag is gesloten, of moet de deactivering opzettelijk worden gedocumenteerd.
Vervolginspectie en bediening
Vervolginspectie na de wijziging
Na een CAPTCHA-wijziging moet u niet alleen de opdracht show uitvoeren. Cruciaal is of de getroffen inlogpagina nog steeds alleen toegankelijk is via de beoogde netwerken en of inloggebeurtenissen traceerbaar blijven.
Nuttige vervolgcontrole:
- Controleer de status voor WebAdmin en User Portal met
show. - Open Administration > Device access en controleer de toegestane zones voor WebAdmin, User Portal, SSH, VPN Portal en SSL VPN.
- Test de WebAdmin of User Portal vanaf een toegestaan netwerk.
- Test de toegang vanaf een ongeautoriseerd netwerk als dit zonder risico mogelijk is.
- Controleer mislukte en succesvolle aanmeldingsgebeurtenissen in Log Viewer.
- Bedien de MFA afzonderlijk voor beheerders en gebruikers met externe toegang.
- Verwijder of beperk SSH-toegang na de wijziging weer strikt.
Als de inlogpagina toegankelijk blijft vanaf WAN, moet de deactivering bijzonder kritisch worden bekeken. In dit geval zijn MFA, strikte bronbeperkingen, logging en een regelmatige beoordeling verplicht. Het is meestal zelfs beter om WebAdmin of User Portal niet algemeen toegankelijk te maken via internet.
Beoordeel daarnaast Administration > Admin and user settings > Login security afzonderlijk. Volgens Sophos leiden mislukte CAPTCHA-pogingen niet tot een loginblokkering. Echte mislukte aanmeldingen kunnen daarentegen, afhankelijk van de instelling, toegang tot WebAdmin, CLI, VPN Portal en User Portal vanaf het bron-IP-adres blokkeren. Maak in Log Viewer daarom onderscheid tussen een mislukte CAPTCHA en een daadwerkelijk mislukte aanmelding.
Documenteer wijzigingen op een begrijpelijke manier
Bij veiligheidsrelevante wijzigingen moet later duidelijk worden waarom CAPTCHA is gedeactiveerd en of de wijziging nog steeds noodzakelijk is. Vaak is een korte invoer in het wissel- of ticketsysteem voldoende.
Documenteer:
- Beginstatus voor WebAdmin en User Portal.
- Reden voor de wijziging.
- Betrokken firewall en SFOS-versie.
- Tijd, uitvoerende administratie en geplande demontage.
- Welke toegangsbeperkingen en MFA-bedieningen gedurende deze tijd actief zijn.
- Resultaat van de vervolginspectie in de Log Viewer.
Als meerdere beheerders aan de firewall werken, is de Sophos Firewall Audit Trail ook nuttig. Sophos Firewall Probleemoplossing: Services en logboeken is geschikt voor het oplossen van problemen met inloggen en service.
Aanbevolen beschermende maatregelen
Als CAPTCHA is uitgeschakeld, moeten in ieder geval de volgende bedieningselementen aanwezig zijn:
- WebAdmin is alleen bereikbaar vanaf het beheernetwerk, admin VPN of vast admin IP.
- SSH alleen toegestaan wanneer nodig en alleen van vertrouwde bronnen.
- MFA actief voor beheerders.
- User Portal alleen toegankelijk daar waar het nodig is.
- VPN Portal en SSL VPN beveiligd met MFA en logging.
- Mislukte logins worden regelmatig gecontroleerd.
- Externe portals worden verminderd door Device Access, Local Service ACL, landblokkering of bedreigingsfeeds.
Voor openbaar toegankelijke diensten is Sophos Firewall: Landen en kwaadaardige IP’s blokkeren ook geschikt. Voor een bredere veiligheidscontrole helpt Sophos Firewall Health Check correct gebruiken.
Typische fouten en probleemoplossing
- CAPTCHA uitschakelen omdat het lastig is: Login-interfaces worden gemakkelijker automatisch aangevallen. Beperk liever de toegang en schakel MFA in.
- WebAdmin toegankelijk laten vanaf WAN: Dat vergroot het directe beheer-aanvalsoppervlak. Gebruik liever een management-IP, VPN of Central Management.
- User Portal permanent open laten: Het portaal wordt een onnodig doelwit voor bots en brute-forcepogingen. Maak het portaal alleen bereikbaar wanneer dat nodig is.
- SSH open laten na de wijziging: CLI-toegang blijft zichtbaar. Beperk SSH opnieuw of schakel het uit.
- Status niet documenteren: Latere controle wordt moeilijk. Voer voor en na de wijziging
showuit. - Verkeerde console gebruikt: Het commando wordt niet herkend. Open in de SSH-menuselectie de Device Console.
- VPN Portal verward met User Portal: Dit geeft een verkeerde verwachting van het CAPTCHA-gedrag. Controleer de betreffende loginpagina en Device-Access-service afzonderlijk.
- User Portal deelt de poort met SSL VPN: CAPTCHA verschijnt voor het User Portal mogelijk niet zoals verwacht of de verkeerde service wordt getest. Plan duidelijke portal- en VPN-poorten en test met een echte gebruiker.
- Wijziging blijft actief na supportcase: De bescherming wordt permanent verminderd. Documenteer het terugdraaimoment en de review in het ticket.
Veelgestelde vragen
Is het gevaarlijk om CAPTCHA uit te schakelen op Sophos Firewall?
Vervangt CAPTCHA MFA?
Kan CAPTCHA alleen voor WebAdmin of alleen voor User Portal worden gewijzigd?
webadminconsole en userportal.
