Naar de inhoud
Avanet

Sophos Firewall via SSH verbinden

Sophos Firewall

Voor veel support- en troubleshootingtaken is SSH-toegang tot Sophos Firewall nodig. Denk aan loganalyse, services herstarten, speciale diagnosecommando’s of werken in de Advanced Shell.

Deze handleiding laat zien hoe SSH-toegang wordt voorbereid, hoe de verbinding met de firewall wordt gemaakt en hoe de juiste console wordt geopend.

Vereisten

Voor een SSH-verbinding met Sophos Firewall is nodig:

  • Administratieve toegang tot Sophos Firewall
  • Het IP-adres of de DNS-naam van de firewall
  • Toegang tot de gebruiker admin
  • Op macOS of Linux: de ingebouwde Terminal-app met SSH
  • Op Windows: Windows Terminal met OpenSSH of PuTTY
  • SSH-toegang toegestaan onder Administration > Device access

⚠️ SSH mag alleen vanuit vertrouwde netwerken worden toegestaan. In productieomgevingen is het beter om toegang te beperken tot een management-IP of adminnetwerk, in plaats van SSH breed vrij te geven.

SSH-toegang op de firewall toestaan

Voor een werkende verbinding moet Sophos Firewall SSH toestaan op de juiste zone of via een Local Service ACL Exception Rule.

  1. Aanmelden bij de Web Admin van Sophos Firewall.
  2. Administration openen.
  3. Device access selecteren.
  4. Controleren of SSH voor de gewenste zone is toegestaan.

Voor interne beheernetwerken kan SSH direct voor de betreffende zone worden ingeschakeld, bijvoorbeeld LAN. Als toegang preciezer beperkt moet worden, is een Local service ACL exception rule zinvol.

Bij een ACL-uitzondering moeten de waarden zo strikt mogelijk worden ingesteld:

  • Source zone: de zone van waaruit beheer plaatsvindt
  • Source Network / Host: het admin-IP of managementnetwerk
  • Services: SSH
  • Action: Accept
Sophos Firewall Local Service ACL Exception Rule voor SSH-toegang
Voorbeeld van een Local Service ACL Exception Rule die SSH-toegang alleen vanaf een gedefinieerd bronobject toestaat.

SSH mag niet zonder strikte beperking vanaf internet bereikbaar zijn. Als externe toegang nodig is, beperk deze dan tot een gedefinieerd bron-IP, VPN of een aparte supporttoegang.

Public key voor admin toevoegen

Voor SSH-toegang is authenticatie met een public key de aanbevolen methode. Op Sophos Firewall kan de public key voor de gebruiker admin worden toegevoegd onder Administration > Device access.

⚠️ SSH-login op Sophos Firewall is alleen mogelijk met de gebruiker admin. Andere WebAdmin-gebruikers kunnen niet via SSH inloggen.

De public key wordt toegevoegd in Public key authentication for admin:

  1. Administration openen.
  2. Device access selecteren.
  3. Naar Public key authentication for admin scrollen.
  4. Enable authentication activeren.
  5. De public key toevoegen onder Authorized keys.
  6. Opslaan met Apply.
Sophos Firewall Public Key Authentication voor de admin-gebruiker
Aanbevolen methode: Public Key Authentication activeren voor SSH-toegang met de admin-gebruiker.

De private key blijft altijd op de admin-client en mag niet worden gedeeld. Op de firewall wordt alleen de public key opgeslagen.

Verbinden vanaf macOS of Linux

Op macOS en Linux is meestal al een SSH-client aanwezig. De verbinding wordt gemaakt via Terminal.

Voorbeeld:

ssh admin@192.0.2.1

Vervang 192.0.2.1 door het IP-adres of de DNS-naam van Sophos Firewall.

Bij de eerste verbinding vraagt de SSH-client of de fingerprint van het doelsysteem geaccepteerd moet worden. Controleer deze fingerprint en bevestig daarna.

Afhankelijk van de configuratie wordt het wachtwoord van de gebruiker admin gevraagd of wordt ingelogd met de ingestelde SSH-key.

Verbinden met PuTTY

Op Windows kan Windows Terminal met OpenSSH of PuTTY worden gebruikt.

Met PuTTY:

  1. PuTTY openen.
  2. Het IP-adres of de DNS-naam van Sophos Firewall invullen bij Host Name.
  3. Port op 22 zetten.
  4. Connection type op SSH zetten.
  5. Verbinden met Open.
  6. De SSH-fingerprint controleren en accepteren.
  7. Inloggen als admin en afhankelijk van de configuratie wachtwoord of SSH-key gebruiken.

Na het inloggen verschijnt het consolemenu van Sophos Firewall.

Device Console of Advanced Shell openen

Na een succesvolle SSH-login toont de firewall een consolemenu. De juiste optie hangt af van de taak.

Voor veel SFOS-commando’s gebruikt men:

4. Device Console

Voor diepere Linux- of bestandssysteemtaken opent men Advanced Shell:

5. Device Management > Advanced Shell

Advanced Shell geeft zeer uitgebreide toegang tot het systeem. Voer daar alleen commando’s uit als duidelijk is wat ze doen.

Verbinding beëindigen

Als het werk klaar is, sluit de SSH-sessie netjes af:

exit

Als men zich in een submenu bevindt, kan het nodig zijn eerst terug te gaan naar het hoofdmenu.

Veelvoorkomende problemen

Verbinding geweigerd

Als de verbinding wordt geweigerd, is SSH meestal niet toegestaan op de firewall voor de gekozen zone of bron. Controleer Administration > Device access.

Verbinding loopt in timeout

Een timeout betekent vaak dat de firewall niet bereikbaar is via het gekozen IP-adres, dat een route ontbreekt of dat een upstream firewall de toegang blokkeert.

Inloggen mislukt

Als inloggen mislukt, controleer dan de gebruiker admin, het wachtwoord of de SSH-key en de toegestane bronnetwerken.