Naar de inhoud
Avanet

MFA voor Sophos Firewall WebAdmin en VPN activeren

Administratieve toegangen en Remote-Access-portalen mogen niet alleen met gebruikersnaam en wachtwoord worden beschermd. Met Multi-Factor Authentication, kortweg MFA, vraagt de Sophos Firewall een extra tweede factor, bijvoorbeeld een tijdgebaseerde OTP-code uit een authenticator-app.

Deze handleiding laat zien hoe je MFA zinvol plant, activeert en test. De focus ligt op WebAdmin, VPN Portal en Remote Access.

Wanneer MFA zinvol is

MFA moet minimaal worden geactiveerd voor alle accounts die toegang hebben tot administratieve interfaces of Remote-Access-functies.

Typische toepassingsgebieden:

  • Aanmelding bij WebAdmin.
  • Aanmelding bij VPN Portal.
  • SSL VPN of Sophos Connect Remote Access.
  • Toegang voor externe dienstverleners.
  • Toegang voor geprivilegieerde beheerders.

MFA verlaagt het risico van gestolen wachtwoorden, maar vervangt geen nette toegangsbeperking. SSH, WebAdmin en portalen moeten nog steeds alleen vanuit vertrouwde netwerken of via duidelijk gedefinieerde managementtoegangen bereikbaar zijn.

Toegang aanvullend met ACL-regels beperken

Voordat je MFA activeert, moet je controleren vanaf waar WebAdmin, SSH, User Portal en VPN Portal überhaupt bereikbaar zijn.

Het menupad is System > Administration > Device access.

Daar zijn twee relevante onderdelen:

  • Local service ACL: Basistoegang per zone, bijvoorbeeld LAN, VPN of WAN.
  • Local service ACL exception rule: Gerichte uitzonderingen voor individuele bronnetwerken, hosts of supporttoegangen.

Voor productieomgevingen moeten WebAdmin en SSH niet algemeen voor de WAN-zone worden geactiveerd. Beter is een beperking tot:

  • een management-IP,
  • een admin-netwerk,
  • een VPN-netwerk,
  • een dedicated support-host,
  • of een duidelijk gedefinieerde FQDN-/host-uitzondering.

Als SSH nodig is, moet de toegang extra worden beperkt en idealiter met Public Key worden gebruikt. Zie ook: Sophos Firewall via SSH verbinden

⚠️ MFA beschermt tegen gestolen toegangsgegevens, maar niet tegen onnodig blootgestelde diensten. WebAdmin, SSH en portalen mogen nooit breder bereikbaar zijn dan nodig.

Vereisten

Controleer voor de activering:

  • De systeemtijd van de firewall is correct.
  • Een werkende NTP-server is geconfigureerd.
  • De gebruikers bestaan lokaal, via AD, LDAP, RADIUS of een andere ondersteunde authenticatiedienst.
  • De betrokken gebruikers kunnen zich aanmelden bij User Portal of de betreffende dienst.
  • Er is minimaal één administratieve fallback-toegang beschikbaar.

⚠️ Bij admin-MFA moet je bijzonder voorzichtig zijn. Activeer MFA niet direct voor alle beheerders zonder vooraf een testgebruiker, een tweede beheerder en een fallback-toegang te controleren. Een verkeerde MFA-configuratie kan ertoe leiden dat je jezelf buitensluit van WebAdmin of VPN Portal.

Sophos MFA of externe MFA via RADIUS?

De Sophos Firewall heeft een eigen MFA-oplossing. OTP-tokens worden daarbij direct op de firewall beheerd. Dat is snel ingericht en werkt zonder extra infrastructuur.

Voordelen van Sophos-eigen MFA:

  • Geen extra RADIUS- of Identity-Provider-integratie nodig.
  • Snelle rollout voor lokale gebruikers en kleine omgevingen.
  • Tokens kunnen direct op de firewall worden aangemaakt en beheerd.
  • Geschikt voor WebAdmin, User Portal, VPN Portal, SSL VPN Remote Access en IPsec Remote Access.

Nadelen:

  • Gebruikers moeten mogelijk een extra authenticator-app of extra token beheren.
  • De token staat los van Microsoft 365, Entra ID of andere bestaande MFA-processen.
  • Afhankelijk van het loginformulier is er geen apart OTP-veld.
  • Gebruikers moeten bij bepaalde portalen wachtwoord en token direct achter elkaar invoeren.

In grotere omgevingen kan een externe MFA-oplossing via RADIUS zinvoller zijn. MFA wordt dan bijvoorbeeld via Microsoft Entra ID, NPS met MFA-extensie of een andere RADIUS-compatibele MFA-dienst gerealiseerd. Voor gebruikers is dat vaak prettiger, omdat ze de bekende Microsoft 365-MFA of een bestaande bedrijfsoplossing gebruiken.

Het nadeel van een externe oplossing is de hogere complexiteit. RADIUS, groepen, timeouts, challenge-gedrag en fallback moeten zorgvuldig worden gepland en getest.

MFA plannen

Voor productieomgevingen is het meestal beter om MFA eerst voor een kleine pilotgroep te activeren.

Deze volgorde heeft zich bewezen:

  1. Testgebruiker of pilotgroep voorbereiden.
  2. NTP en tijd van de firewall controleren.
  3. MFA voor het testbereik activeren.
  4. Aanmelding met authenticator-app testen.
  5. Pas daarna verdere gebruikersgroepen toevoegen.

Voor dienstverleners is een aparte gebruikersgroep aan te raden. Daardoor kan MFA gericht worden afgedwongen en kan de toegang later eenvoudiger worden verwijderd.

Voor beheerders moet je daarnaast plannen:

  • Wie is de eerste test-admin?
  • Is er een tweede admin met werkende toegang?
  • Is toegang via een managementnetwerk of VPN mogelijk?
  • Is de default admin apart beschermd?
  • Is gedocumenteerd hoe een verloren token wordt vervangen?

MFA op de Sophos Firewall activeren

De MFA-instellingen bevinden zich onder Configure > Authentication > Multi-factor authentication.

  1. Meld je aan bij de WebAdmin van de Sophos Firewall.
  2. Open Configure > Authentication.
  3. Ga naar de tab Multi-factor authentication.
  4. Kies bij One-time password (OTP) voor wie MFA moet gelden:
    • No OTP: MFA is uitgeschakeld.
    • All users: MFA geldt voor alle gebruikers.
    • Specific users and groups: MFA geldt alleen voor geselecteerde gebruikers of groepen.
  5. Activeer Generate OTP token with next sign-in wanneer gebruikers hun token bij de volgende login zelf moeten instellen.
  6. Selecteer onder Require MFA for voor welke diensten MFA vereist is.
  7. Sla de configuratie op met Apply.
Sophos Firewall - Multi-factor authentication instellingen onder Authentication
Sophos Firewall - Authentication > Multi-factor authentication

Typische opties onder Require MFA for zijn:

  • User portal
  • Web admin console
  • VPN portal
  • SSL VPN remote access
  • IPsec remote access
  • Web application firewall

Afhankelijk van de omgeving kan MFA voor individuele diensten of gebruikersgroepen verschillend worden toegepast. Voor beheerders moet MFA consequent worden afgedwongen, maar eerst gecontroleerd worden getest.

MFA voor de default admin

De lokale default gebruiker admin is een speciaal geval. Sophos wijst in het MFA-scherm erop dat MFA voor deze gebruiker niet direct in deze tab wordt geactiveerd.

Het menupad is System > Administration > Device access.

Daar kun je MFA for default admin activeren. Doe dit pas wanneer:

  • de systeemtijd correct is,
  • een tweede beheerder is getest,
  • toegang via een vertrouwd managementnetwerk werkt,
  • en duidelijk is hoe je in noodgevallen weer administratieve toegang krijgt.

Voor de default admin geldt: niet uitschakelen, niet onbeschermd vanaf internet bereikbaar maken en niet als normale dagelijkse gebruiker gebruiken. Het is een Break-Glass- of noodaccount.

Tokens voor gebruikers instellen

Na activering moet de gebruiker zijn tweede factor instellen. Als Generate OTP token with next sign-in actief is, meldt de gebruiker zich aan bij User Portal of VPN Portal en scant de QR-code met een authenticator-app.

Geschikte apps zijn bijvoorbeeld:

  • Microsoft Authenticator.
  • Google Authenticator.
  • 1Password.
  • Bitwarden.
  • Andere TOTP-compatibele authenticator-apps.

De gegenereerde code is tijdgebaseerd. Als de tijd op firewall of smartphone sterk afwijkt, mislukt de aanmelding.

Als User Portal uitgeschakeld is, kunnen gebruikers hun tokens mogelijk niet zelf instellen. In dat geval moet je het portaal gecontroleerd beschikbaar maken of tokens administratief voorbereiden.

Belangrijke opmerking over wachtwoord en token

Afhankelijk van de Sophos-dienst is er voor de OTP-code geen apart invoerveld. Vooral bij VPN Portal of Remote-Access-logins leidt dit regelmatig tot verwarring.

In deze gevallen moet de gebruiker vaak wachtwoord en OTP-code direct achter elkaar invoeren.

Voorbeeld:

Wachtwoord: MijnSterkWachtwoord
OTP-code: 123456
Invoer:    MijnSterkWachtwoord123456

Communiceer dit duidelijk naar gebruikers vóór de rollout. Anders lijkt het voor de gebruiker alsof het wachtwoord fout is, terwijl alleen de OTP-code ontbreekt.

Sophos beschrijft dit gedrag in de eigen OTP-documentatie: OTP token.

Aanmelding testen

Test MFA eerst met een gebruiker die niet de enige beheerder is.

Controleer daarbij:

  • Aanmelding bij WebAdmin.
  • Aanmelding bij VPN Portal.
  • Aanmelding bij de Remote-Access-dienst.
  • Gedrag bij verkeerde OTP-code.
  • Gedrag na afloop van een OTP-code.
  • Toegang met een gebruiker die niet in de MFA-groep zit.
  • Login met wachtwoord en aangehechte OTP-code.
  • Toegang via de geplande ACL-regels.

Pas wanneer deze tests succesvol zijn, moet MFA naar verdere groepen worden uitgerold.

Veelvoorkomende fouten

OTP-code wordt niet geaccepteerd

Controleer de systeemtijd van de firewall en de tijd van de smartphone. TOTP is tijdafhankelijk. Al een duidelijke afwijking kan ervoor zorgen dat geldige codes worden geweigerd.

Gebruiker ziet geen QR-code

De gebruiker moet voor MFA bevoegd zijn en zich bij het juiste portaal aanmelden. Controleer ook of de gebruiker via de verwachte authenticatiebron wordt gevonden.

Als User Portal uitgeschakeld is, kan de gebruiker de token mogelijk niet zelf instellen. Dan moet het portaal tijdelijk bereikbaar worden gemaakt of moet de token administratief worden aangemaakt.

Beheerder is buitengesloten

Gebruik de voorbereide fallback-toegang. Als er geen fallback bestaat, moet afhankelijk van de situatie toegang via console, support of herstelprocedures worden onderzocht.

MFA geldt niet voor Remote Access

Controleer of de Remote-Access-configuratie dezelfde gebruikersgroep gebruikt waarvoor MFA is geactiveerd. Vaak ligt de fout niet bij MFA zelf, maar bij verschillende groepen in VPN- en authenticatieregels.

Gebruiker voert alleen het wachtwoord in

Als er geen apart OTP-veld wordt weergegeven, moet de gebruiker wachtwoord en OTP-code direct achter elkaar invoeren. Dit is een van de meest voorkomende supportcases na activering van Sophos OTP.

Externe MFA werkt niet betrouwbaar

Bij RADIUS-gebaseerde MFA-oplossingen moeten timeouts, challenge-gedrag en groepen exact passen. Als Push-MFA, Call-MFA of challenge-antwoorden worden gebruikt, moet je het volledige loginproces met de betrokken client testen.

Aanbeveling

MFA moet standaard zijn voor administratieve toegangen. Vooral voor WebAdmin, VPN Portal en alle gebruikers met Remote-Access-rechten is MFA belangrijk.

Voor kleine omgevingen is de Sophos-eigen OTP-functie vaak voldoende. In Microsoft 365- of Entra ID-omgevingen kan externe MFA via RADIUS prettiger zijn, omdat gebruikers geen tweede MFA-wereld hoeven te leren.

Ongeacht de MFA-variant geldt: toegang eerst met ACL-regels beperken, admin-MFA voorzichtig testen, gebruikers informeren over wachtwoord+token en pas daarna breed uitrollen.

Verdere Sophos-informatie: