Avanet Supporttoegang instellen op Sophos Firewall
Voor supportgevallen, geplande wijzigingen of gezamenlijke foutanalyse kan het nuttig zijn om Avanet tijdelijk toegang te geven tot een Sophos Firewall. Deze toegang moet echter niet worden verleend door WebAdmin of SSH algemeen toegankelijk te maken vanaf het internet. Beter is een duidelijk beperkte supporttoegang met een eigen admin-gebruiker, gedefinieerde bron en gedocumenteerde terugtrekking.
Deze handleiding beschrijft een typisch proces voor toegang via HTTPS/WebAdmin en optioneel SSH. Voor de algemene basisprincipes van lokale firewall-diensten is er ook Device Access en Local Service ACL op Sophos Firewall. Als SSH wordt gebruikt, moet ook Sophos Firewall verbinden via SSH bekend zijn.
⚠️ Een supporttoegang is een administratieve toegang tot de firewall. Deze moet alleen actief zijn voor de benodigde periode, zo beperkt mogelijk tot de supportbron en na afloop van de zaak opnieuw worden gecontroleerd of verwijderd.
Voorafgaand aan de instelling
Voordat de toegang wordt verleend, moet duidelijk zijn welke toegang echt nodig is. Voor veel taken is HTTPS/WebAdmin voldoende. SSH moet alleen worden geactiveerd als logbestanden, CLI of Advanced Shell echt nodig zijn. Ook moet worden vastgesteld vanuit welke bron de toegang wordt toegestaan, wanneer de toegang weer wordt verwijderd en of er een actuele back-up beschikbaar is voor grotere wijzigingen.
Als er al een algemeen admin- of partneraccount bestaat, moet er niet zomaar een extra permanent account worden aangemaakt. In dergelijke gevallen is het meestal beter om de bestaande toegang te controleren, MFA en rollen te controleren en alleen de bron tijdelijk toe te staan.
Securitymodel voor supporttoegang
Supporttoegang moet niet als een normaal permanent account worden behandeld. Het is operationele toegang die duidelijk, beperkt en na de supportcase eenvoudig te verwijderen moet zijn.
Mogelijke varianten:
- Tijdelijke gebruiker
avanet: zinvol wanneer een supportafspraak gepland is en toegang daarna moet worden verwijderd. - Dedicated support-admin: zinvol bij regelmatige support, maar alleen met sterk wachtwoord, MFA en beperkte toegangsbronnen.
- Kortstondige activatie van SSH of WebAdmin: zinvol voor een specifiek troubleshooting-venster, maar daarna weer uitschakelen of beperken.
- Toegang via Sophos Central of remote sessie: zinvol wanneer geen directe inbound managementtoegang geopend moet worden.
Belangrijk is dat toegang, authenticatiemethode, bronbeperking en terugbouw vóór de afspraak zijn gedefinieerd. Bij wijzigingen op productieve firewalls moet ook duidelijk zijn wie de wijziging goedkeurt en waar die wordt gedocumenteerd. Voor audit trails zijn configuration audit logs en bij grotere wijzigingen Config Studio nuttige vervolgonderwerpen.
Wachtwoord, MFA en overdrachtskanaal vastleggen
Technische toegang is maar één deel van de supportvoorbereiding. Even belangrijk is hoe toegangsgegevens worden overgedragen en hoe de toegang wordt beschermd.
- Gebruik een uniek wachtwoord alleen voor deze firewall en deze supporttoegang.
- Verstuur wachtwoorden niet samen met alle toegangsdetails via hetzelfde kanaal.
- Activeer MFA wanneer het account langer actief blijft of WebAdmin-toegang toestaat.
- Documenteer of de toegang tijdelijk of permanent is.
- Leg vast wie het account na de supportcase uitschakelt of verwijdert.
- Als SSH nodig is, geef waar mogelijk de voorkeur aan public key authentication.
Voor admin-accounts is MFA voor Sophos Firewall het passende vervolgartikel. Voor SSH is de public key-methode te verkiezen wanneer die in de supportworkflow past.
Gebruiker avanet toevoegen
De gebruiker avanet is bedoeld voor WebAdmin-toegang. Hiermee kan in de audit trail beter worden nagegaan dat een wijziging in het kader van een supportgeval is uitgevoerd. De gebruiker moet een sterk wachtwoord krijgen en alleen zo lang actief blijven als nodig is.
- Open Authentication in de linker navigatie.
- Selecteer Users.
- Klik op Add.

Typische waarden:
- Username:
avanet - Full name:
Avanet - Profile:
Administrator, als Avanet de firewall volledig moet controleren of wijzigen - Password: sterk eenmalig of supportwachtwoord uit een wachtwoordmanager
- Email: bijvoorbeeld
service@avanet.com
Sla daarna op met Save of Add.
Als er alleen zeer beperkte taken gepland zijn, kan een strakker admin-profiel zinvoller zijn. Voor veel supportgevallen heeft Avanet echter tijdelijk volledige rechten nodig, omdat oorzaak, logs, regels, NAT, VPN, routing en systeemstatus vaak samen moeten worden gecontroleerd.
FQDN Host voor support.avanet.com aanmaken
Om ervoor te zorgen dat de ACL-regel niet voor willekeurige internetbronnen geldt, wordt eerst een hostobject voor de Avanet-supportbron aangemaakt.
- Open Hosts and services.
- Selecteer FQDN hosts.

Voeg vervolgens een nieuw FQDN-object toe:

- Name:
support.avanet.com - FQDN:
support.avanet.com - Description:
Avanet Supporttoegang
Sla op met Save. De firewall lost de FQDN op via DNS en gebruikt het object daarna als bron in de lokale ACL-regel.
Local Service ACL Exception Rule instellen
Toegang tot WebAdmin en SSH zijn lokale diensten van de firewall. Hiervoor zijn niet normale firewallregels verantwoordelijk, maar Administration > Device access en Local service ACL exception rule.
- Open Administration.
- Selecteer Device access.
- Scroll naar het gedeelte Local service ACL exception rule.
- Klik op Add.

De regel moet zo beperkt mogelijk worden ingesteld:

- Rule name:
Avanet Support - Rule position: passend bij de bestaande ACL-structuur, vaak
Bottom - IP version:
IPv4, of aanvullend IPv6, indien expliciet nodig - Source zone: Zone waaruit de supporttoegang komt, vaak
WAN - Source Network / Host: FQDN-object
support.avanet.com - Destination host:
Anyof specifiek het firewalladres, afhankelijk van de omgeving - Services:
HTTPS;SSHalleen als het echt nodig is - Action:
Accept
Sla daarna op en controleer de regelpositie. Als er boven een bredere afwijzings- of uitzonderingsregel ligt, kan de nieuwe regel ineffectief zijn.
⚠️
Anyals bron is voor WebAdmin of SSH geen goede supportvrijgave. Als de bron niet vaststaat, moet eerst met Avanet worden overlegd welke supportbron wordt gebruikt. Een brede vrijgave vergroot onmiddellijk het aanvalsoppervlak van de firewall.
Optioneel: SSH Public Key toevoegen
SSH is alleen nodig als een analyse via Device Console, logbestanden of Advanced Shell noodzakelijk is. Voor veel supportgevallen is WebAdmin voldoende.

Belangrijk is het onderscheid: De eerder aangemaakte gebruiker avanet is een WebAdmin-gebruiker. SSH-toegang tot Sophos Firewall gebeurt meestal met de gebruiker admin. De SSH Public Key wordt daarom in het gedeelte Public key authentication for admin toegevoegd.
- Open Administration.
- Selecteer Device access.
- Scroll naar het gedeelte Public key authentication for admin.
- Activeer Enable authentication, als Public-Key-authenticatie nog niet actief is.
- Voeg de door Avanet geleverde Public Key toe onder Authorized keys.
- Sla op.
Voorbeeld van de Avanet Public Key:
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAACAQCktco/uC29KdU+Hf7GjcYXFumGJvt11MPxhdpnYA2XVEbnsI9r/XrW9J9K2ugvVGNoOD4IlN/bWZ1z3W6UqFKGgHUYkQu2h+0PFzP5I12Pu9I/3qIWwOhdA2j523FzneGQFptNCHHLQwma/zYJJwcVqsiJo/mg6W8jUbS30jFP6zDJvGRzbA2ATC7XzGNfa/CYr/AKoqdvm87RThOT7uh86w39x9VQTZH7d217K2UVuUrSppvnRaw5NCwukamWDDs8EtsVIFNkkxMl/SdJTC1SOSfO6mw8erXm1RhmNT5+wN/87f+DQioQPuWSrC3EHkgqw9BjoU3aLtYUw9AAItf6jJeUnZBfBCeJ1fJAzYpR8STdbaI8RXP1QMOr4omtmCakfnEH8kZ1BAYXxVzrJBXQ+sDVLZtWNDPqg8jIpdJ6bRNk/m7B+LAwsofHVLH1VSxoOEYdJGQvPfwonqo2JR+vosYhoHG89eh5EL/X9z5amvfVCShf6icstYwmaUmT/9lUTd8tkJZeTxNoezyspHhMryfB93653vb6wPS/n0ITkfu6rSfSrE1A1Y1dD5QtsFF6oEZxPqo8qQajtGhI3vZdHZSx53PqFqInra75xFHc+EjEsoLjt2wQdHr+ttEKvfrjfQmyXaWzqqE6bxmbbcMPtqY+pzMf83nEGwepJka0uw==
De private sleutel wordt niet op de firewall opgeslagen en mag nooit per e-mail of chat worden doorgegeven. Op de firewall hoort alleen de Public Key in het veld voor geautoriseerde sleutels.
Toegang testen
Na het opslaan moet de toegang niet blindelings als voltooid worden beschouwd. Een korte functietest is zinvol:
- Test WebAdmin-toegang via de overeengekomen Avanet-supportbron.
- Controleer de aanmelding met de gebruiker
avanet. - Als SSH nodig is: test de verbinding met
adminen Public Key. - Controleer in de Log viewer en eventueel in de Audit Trail of de aanmelding en latere wijzigingen traceerbaar zijn.
- Documenteer wanneer de toegang weer wordt gedeactiveerd of verwijderd.
Als de toegang niet werkt, controleer dan eerst de bron en de ACL-regel. Controleer daarna de DNS-resolutie van het FQDN-object, regelpositie, Device Access, voorgeschakelde NAT-apparaten en routing.
Toegang na de supportcase terugtrekken
Na afloop van de supportcase moet de toegang niet permanent ongewijzigd blijven. Afhankelijk van de overeenkomst zijn er drie nette varianten:
- Gebruiker deactiveren: Als later verdere support te verwachten is, maar momenteel geen toegang nodig is.
- ACL-regel deactiveren: Als het account moet blijven bestaan, maar geen externe toegang mogelijk mag zijn.
- Gebruiker en ACL-regel verwijderen: Als de toegang slechts eenmalig nodig was.
Daarnaast moet worden gecontroleerd of een SSH Public Key weer kan worden verwijderd. Als er wijzigingen aan de firewall zijn aangebracht, zijn Backup en Restore op Sophos Firewall, Audit Trail Logs en bij regelwijzigingen Config Studio geschikt voor nacontrole.
Checklist
- Gebruiker
avanetmet sterk wachtwoord aangemaakt. - Admin-profiel bewust gekozen en gedocumenteerd.
- FQDN-host
support.avanet.comaangemaakt. - Local Service ACL Exception Rule beperkt tot de Avanet-supportbron.
- Alleen benodigde diensten toegestaan: HTTPS, SSH alleen indien nodig.
- SSH Public Key alleen in het gedeelte Public key authentication for admin toegevoegd.
- Toegang getest en in het ticket gedocumenteerd.
- Terugtrekking of deactivering na afloop gepland.
Veelgestelde vragen
Moet SSH voor de Avanet Supporttoegang worden geactiveerd?
Kan Avanet zich per SSH aanmelden met de gebruiker avanet?
avanet is bedoeld voor WebAdmin. SSH-toegang tot Sophos Firewall gebeurt meestal met de gebruiker admin; de Public Key wordt daarom onder Public key authentication for admin toegevoegd.Wat gebeurt er als het IP-adres achter support.avanet.com verandert?
Moet de Local Service ACL Source op Any staan?
Any als bron te breed. Beter is een FQDN-, host- of netwerkobject voor de specifieke supportbron.Welke diensten moeten voor de supporttoegang worden vrijgegeven?
HTTPS voor WebAdmin voldoende. SSH moet alleen worden toegevoegd als het voor de analyse nodig is. Andere diensten moeten niet preventief worden vrijgegeven.