Naar de inhoud
Avanet

Verbind de Sophos Firewall via SSH

Voor veel ondersteunings- en probleemoplossingstaken heeft u toegang nodig tot de Sophos Firewall via SSH. Denk hierbij bijvoorbeeld aan loganalyses, serviceherstarts, speciale diagnosecommando’s of het werken in de Advanced Shell.

Maar SSH is ook een beheertoegang met een hoog risico. Toegang mag daarom alleen worden toegestaan ​​vanaf betrouwbare beheerdersnetwerken, via een gerichte Local Service ACL-uitzonderingsregel of via duidelijk gedefinieerde ondersteuningstoegang. Voor algemene versterking van lokale firewallservices is Configureer Device Access correct ook geschikt.

Vereisten

Voor een SSH-verbinding met de Sophos Firewall heeft u nodig:

  • Administratieve toegang tot de Sophos Firewall.
  • Het IP-adres of de DNS-naam van de firewall.
  • Toegang tot gebruiker admin.
  • Een vertrouwde beheerdersbron, bijvoorbeeld beheernetwerk, VPN of vast beheerders-IP.
  • Op macOS of Linux: de vooraf geïnstalleerde Terminal-app met SSH.
  • Op Windows: Windows Terminal met OpenSSH of PuTTY.
  • Toegang tot SSH toegestaan ​​onder Administration > Device access of via een Lokale ACL-uitzonderingsregel.
  • Voor geplande wijzigingen in de Advanced Shell: back-up, onderhoudsvenster en duidelijk terugdraaipad.

⚠️ SSH mag alleen worden toegestaan ​​vanaf vertrouwde netwerken. Voor productieve omgevingen is het beter om de toegang tot een beheer-IP- of beheerdersnetwerk te beperken in plaats van SSH algemeen vrij te geven.

Maak vooraf duidelijk waarvoor SSH nodig is

Niet elke analyse heeft de Advanced Shell nodig. Voordat u inlogt, moet duidelijk zijn welke console nodig is en hoe ernstig de ingreep is.

  • Routing, DNS, Ping, eenvoudige systeemopdrachten: Device Console. Sophos CLI, minder riskant dan de Advanced Shell.
  • Logbestanden lezen, tail, grep, less: Advanced Shell. Alleen lezen, bestanden niet wijzigen of verwijderen.
  • Servicestatus controleren of fouten opsporen: Advanced Shell. Debug alleen specifiek activeren en weer deactiveren.
  • Voer onbekende opdrachten uit: Controleer eerst of open een supportaanvraag. Probeer het niet in het productiesysteem.

Het onderscheid is belangrijk omdat Device Console en Advanced Shell verschillende syntaxis gebruiken. Veel fouten ontstaan ​​simpelweg omdat een correct commando op de verkeerde plaats wordt ingevoerd. Een breder overzicht is beschikbaar in Sophos Firewall Probleemoplossing: Services en logboeken.

SSH Toegang tot de firewall toestaan

Om een verbinding mogelijk te maken, moet de Sophos Firewall SSH toestaan in de juiste zone of via een Local Service ACL-uitzonderingsregel.

  1. Meld u aan bij de webbeheerder van de Sophos Firewall.
  2. Open Administratie.
  3. Selecteer Device access.
  4. Controleer of SSH is toegestaan ​​voor de gewenste zone.

Voor interne beheernetwerken kan SSH direct voor de betreffende zone worden geactiveerd, bijvoorbeeld voor LAN. Als de toegang specifieker moet worden beperkt, is een Lokale ACL-uitzonderingsregel zinvol.

Device Access regelt de toegang tot de firewall zelf. Dit is niet hetzelfde als een normale firewallregel die verkeer via de firewall toestaat. Als SSH in Device Access te breed is ingeschakeld, zal een client de lokale SSH-service van de firewall bereiken, ongeacht of een klassieke LAN tot WAN-regel netjes is opgebouwd.

In het geval van een ACL-uitzondering moeten de waarden zo nauw mogelijk worden ingesteld:

  • Bronzone: de zone van waaruit de toediening plaatsvindt
  • Bronnetwerk / Host: het beheerders-IP- of beheernetwerk
  • Services: SSH
  • Actie: Accepteren
Sophos Firewall Local Service ACL-uitzonderingsregel voor SSH-toegang
Voorbeeld van een uitzonderingsregel voor een lokale service-ACL die alleen SSH-toegang toestaat vanaf een gedefinieerd bronobject.

SSH mag niet ongecontroleerd toegankelijk zijn vanaf internet. Als externe toegang nodig is, mag dit alleen worden toegestaan ​​via een duidelijk gedefinieerd bron-IP, VPN of speciale ondersteuningstoegang.

Bewaar openbare sleutel voor beheerder

Voor toegang tot SSH heeft authenticatie met openbare sleutels de voorkeur. Op de Sophos Firewall kan de openbare sleutel voor de gebruiker admin worden opgeslagen onder Administration > Device access. Inloggen met een wachtwoord kan nodig zijn voor noodgevallen, maar zou niet de handigste standaardtoegang moeten blijven.

⚠️ Een SSH login op de Sophos Firewall is alleen mogelijk met de gebruiker admin. Andere WebAdmin-gebruikers kunnen niet inloggen via SSH.

Belangrijk: Alleen de standaardbeheerder kan de openbare-sleutelauthenticatie voor SSH wijzigen, d.w.z. sleutels toevoegen of verwijderen. Voor de bedrijfsvoering betekent dit: Belangrijke wijzigingen horen thuis in een gedocumenteerd administratief proces en mogen niet worden behandeld als een spontane ondersteuningssnelkoppeling.

De openbare sleutel wordt toegevoegd in het gebied Openbare sleutelverificatie voor beheerder:

  1. Open Administratie.
  2. Selecteer Device access.
  3. Scroll naar het gebied Openbare sleutelverificatie voor admin.
  4. Activeer Verificatie inschakelen.
  5. Voeg de openbare sleutel toe onder Authorized keys.
  6. Bespaar met Toepassen.
Sophos Firewall Public Key Authenticatie voor de admin-gebruiker
Voorkeursmethode: Schakel authenticatie met openbare sleutel in voor SSH-toegang met de beheerder.

De privésleutel blijft altijd op de beheerclient en mag niet worden gedeeld. Alleen de publieke sleutel wordt op de firewall opgeslagen.

Als meerdere beheerders SSH gebruiken, mag dezelfde privésleutel niet worden gedeeld. Het is beter om aparte admin-clients te hebben, gedocumenteerde publieke sleutels en een overzicht van welke sleutels nog nodig zijn. Na personeels- of dienstverlenerswisselingen moet het gebied Authorized keys worden gecontroleerd.

Ondersteunde SSH-sleuteltypen

Niet elk modern sleuteltype SSH is even geschikt voor Sophos Firewall. Voordat u het uitrolt, moet u controleren of het sleuteltype wordt ondersteund.

  • RSA: Gebruik minimaal 2048 bits.
  • DSA: Minimaal 2048 bits, indien nodig vanwege compatibiliteitsredenen.
  • ECDSA: Ondersteunt; ED25519 wordt voor dit doel niet geaccepteerd.
  • ED25519: Voor SSH Public Key Authentication niet gebruiken op Sophos Firewall.

Voor nieuwe beheerderstoegang is een goed beheerde RSA- of ondersteunde ECDSA-sleutel meestal pragmatischer dan een modern sleuteltype dat de firewall of een oudere SSH-tool niet accepteert.

Maak verbinding met macOS of Linux

Op macOS en Linux is meestal al een SSH-client aanwezig. De verbinding wordt in de terminal tot stand gebracht.

Voorbeeld:

ssh admin@192.0.2.1

192.0.2.1 wordt vervangen door het IP-adres of DNS-naam van uw eigen Sophos Firewall.

Wanneer de verbinding voor de eerste keer tot stand wordt gebracht, vraagt ​​de SSH-client of de vingerafdruk van het doelsysteem moet worden geaccepteerd. Deze vingerafdruk moet worden gecontroleerd en vervolgens bevestigd. Als er na een nieuwe image, hardwarevervanging of IP-wijziging een waarschuwing over een gewijzigde hostsleutel verschijnt, mag de nieuwe vingerafdruk niet blindelings worden geaccepteerd. Controleer eerst of dezelfde firewall daadwerkelijk is vervangen, opnieuw geïnstalleerd of verplaatst naar een nieuw IP-adres. Alleen dan kan de oude invoer in ~/.ssh/known_hosts worden opgeschoond en de nieuwe vingerafdruk worden geaccepteerd.

Afhankelijk van de configuratie wordt vervolgens het wachtwoord van de gebruiker admin opgevraagd of wordt de login uitgevoerd met behulp van de opgeslagen SSH-sleutel.

Als een specifieke privésleutel moet worden gebruikt:

ssh -i ~/.ssh/sophos-admin-key admin@192.0.2.1

Voor terugkerende toegang moeten het sleutelpad, het toegestane bron-IP en het doel worden gedocumenteerd. Het known_hosts-item mag niet worden gekopieerd naar tickets of chatgeschiedenis; Voor hostsleutelwaarschuwingen is de wijzigingsgeschiedenis belangrijker dan een snelle oplossing.

Maak verbinding met PuTTY

Onder Windows kunt u Windows Terminal gebruiken met OpenSSH of PuTTY gebruiken.

Met Windows Terminal werkt het tot stand brengen van een verbinding op dezelfde manier als bij macOS of Linux:

ssh admin@192.0.2.1

Voor PuTTY:

  1. Open PuTTY.
  2. Voer het IP-adres of de DNS-naam van de Sophos Firewall in onder Hostnaam.
  3. Stel Poort in op 22.
  4. Stel Verbindingstype in op SSH.
  5. Maak verbinding met Open.
  6. Controleer en bevestig de SSH-vingerafdruk.
  7. Meld u aan als gebruiker admin en gebruik het wachtwoord of de SSH-sleutel, afhankelijk van de configuratie.

Na het inloggen verschijnt het consolemenu Sophos Firewall.

Als PuTTY wordt gebruikt met een privésleutel, moet de sleutel overeenkomen met de openbare sleutel die in de firewall is opgeslagen. Na een verandering van personeel of dienstverlener moet niet alleen het wachtwoord worden gewijzigd; oude openbare sleutels moeten ook worden verwijderd uit Authorized keys.

Open Device Console of Advanced Shell

Na succesvol inloggen via SSH geeft de firewall een consolemenu weer. Welke optie u kiest, hangt af van wat u gedaan wilt krijgen.

Voor veel SFOS-opdrachten gebruikt u:

4. Device Console

Voor diepere Linux- of bestandssysteemtaken gebruikt u de Advanced Shell via:

5. Device Management > Advanced Shell

De Advanced Shell biedt zeer uitgebreide toegang tot het systeem. Commando’s mogen daar alleen worden uitgevoerd als duidelijk is wat ze doen.

  • Device Console: ping, dnslookup, traceroute, show, routering of systeemopties.
  • Advanced Shell: /log, tail -f, grep, less, service -S, foutopsporingslogboeken lezen.

Voor loganalyse, servicenamen en typische foutpatronen is Sophos Firewall Probleemoplossing: Services en logs een beter startpunt dan het onthouden van individuele opdrachten.

Verbinding beëindigen

Wanneer het werk is voltooid, moet de SSH-sessie netjes worden afgesloten:

exit

Als u zich in een submenu bevindt, kan het nodig zijn eerst terug te schakelen naar het hoofdmenu en vervolgens de sessie te beëindigen.

Als SSH slechts tijdelijk voor een ondersteuningsgeval is geactiveerd, moet de ontgrendeling vervolgens worden verwijderd of gedeactiveerd. Dit geldt met name voor ACL-uitzonderingen die afkomstig zijn van externe bron-IP-adressen of toegang tot serviceproviders.

Na diepgaande interventies moet ook het volgende worden gecontroleerd:- Is debuggen weer uitgeschakeld?

  • Is een tijdelijke ACL-uitzonderingsregel verwijderd of uitgeschakeld?
  • Staan er geen tijdelijke bestanden, supportdumps of opnames onnodig op de firewall?
  • Zijn loguittreksels, tijd, commando en resultaat gedocumenteerd in het ticket of de wijziging?
  • Werd de SSH-sleutel alleen gebruikt voor geplande beheerders- of ondersteuningstoegang?

Veelvoorkomende problemen

Verbinding wordt geweigerd

Als de verbinding wordt afgewezen, is SSH doorgaans niet toegestaan op de firewall voor de geselecteerde zone of bron. In dit geval moet Administration > Device access worden gecontroleerd. Controleer bovendien of een ACL-uitzonderingsregel de bron toestaat of dat er met opzet een bredere toegangsrelease voor het apparaat is verwijderd.

Verbindingstime-out

Een time-out geeft vaak aan dat de firewall niet kan worden bereikt via het geselecteerde IP-adres, dat een route ontbreekt of dat een upstream firewall de toegang blokkeert.

Inloggen mislukt

Als het inloggen mislukt, moeten de gebruiker admin, het wachtwoord of de SSH-sleutel en de toegestane bronnetwerken worden gecontroleerd. Typische berichten zoals Permission denied (publickey,password) duiden op een onjuist wachtwoord, een onjuiste privésleutel of een ontbrekende configuratie van de openbare sleutel.

Als het inloggen met de publieke sleutel mislukt, controleer dan bovendien het sleuteltype, de sleutellengte, de onjuiste privésleutel, het sleutelformaat PuTTY en de invoer onder Authorized keys. Een correct toegestane SSH-service helpt niet als de sleutel niet overeenkomt met de opgeslagen publieke sleutel.

Hostsleutelwaarschuwing verschijnt

Een hostsleutelwaarschuwing kan onschadelijk zijn als een firewall opnieuw is geïnstalleerd of vervangen. De waarschuwing kan ook duiden op een onjuist doelsysteem of een verwisseling van IP-adressen. Controleer daarom eerst de firewall, IP-adres, DNS en wijzigingsgeschiedenis. Alleen dan moet de oude known_hosts-vermelding worden verwijderd.

Verkeerde console geopend

Als een commando niet wordt herkend, staat vaak de verkeerde console open. Commando’s als system ... horen vaak thuis in de Device Console. Bestandssysteem- en logopdrachten zoals tail, grep, less of service -S horen thuis in de Advanced Shell.

Operationele checklist

  • Sta alleen SSH toe van vertrouwde beheerdersbronnen.
  • Gebruik indien mogelijk de uitzonderingsregel Local Service ACL in plaats van vrijgave in brede zones.
  • Geef de voorkeur aan Public Key Authentication voor admin.
  • Gebruik het ondersteunde sleuteltype en de documentsleutellengte.
  • Deel geen privésleutels.
  • Controleer de SSH-vingerafdruk bij de eerste keer inloggen.
  • Ga bewust om met hostsleutelwaarschuwingen na een reimage of hardwarevervanging.
  • Verwar Device Console en Advanced Shell niet.
  • Breng alleen wijzigingen aan in de Advanced Shell met een duidelijk doel.
  • Verwijder tijdelijke SSH-releases na ondersteuningsaanvragen.
  • Verwijder oude openbare sleutels na het wisselen van personeel of dienstverlener.

Veelgestelde vragen

Welke gebruiker wordt gebruikt voor SSH op Sophos Firewall?

Voor SSH gebruikt u de gebruiker admin op Sophos Firewall. Normale WebAdmin-gebruikers, zelfs met beheerdersrechten, loggen niet in als hun eigen SSH-gebruikers.

Moet SSH worden ingeschakeld in de WAN-zone?

SSH mag niet breed worden geactiveerd op de WAN-zone. Als externe toegang noodzakelijk is, moet u een Local Service ACL-uitzonderingsregel voor de beperkte bron, VPN-toegang of een duidelijk beperkte ondersteuningstoegang gebruiken.

Is authenticatie met een publieke sleutel veiliger dan inloggen met een wachtwoord?

Public Key Authentication is meestal de betere methode voor terugkerende beheerderstoegang als privésleutels worden beschermd, niet gedeeld en regelmatig worden gecontroleerd. Een publieke sleutel vervangt echter geen strenge bronbeperkingen of een schone ontmanteling van oude toegang.

Wat betekent een waarschuwing voor een SSH-hostsleutel?

Een hostsleutelwaarschuwing betekent dat de opgeslagen vingerafdruk niet langer overeenkomt met het doel. Dit kan normaal zijn na een reimage, hardwarevervanging of IP-wijziging, maar kan ook wijzen op een onjuist doelsysteem. Controleer daarom eerst de firewall, DNS, IP-adres en wijzigingsgeschiedenis.

Wanneer heeft u de Advanced Shell nodig?

De Advanced Shell is vooral nodig voor logbestanden, bestandssysteemgerelateerde diagnostiek of bepaalde ondersteuningsopdrachten. Voor eenvoudige tests zoals ping, DNS, routing of standaard diagnostiek is de Device Console vaak voldoende.