Naar de inhoud
Avanet

Avanet Supporttoegang instellen op Sophos Firewall

Voor supportgevallen, geplande wijzigingen of gezamenlijke foutanalyse kan het nuttig zijn om Avanet tijdelijk toegang te geven tot een Sophos Firewall. Deze toegang moet echter niet worden verleend door WebAdmin of SSH algemeen toegankelijk te maken vanaf het internet. Beter is een duidelijk beperkte supporttoegang met een eigen admin-gebruiker, gedefinieerde bron en gedocumenteerde terugtrekking.

Deze handleiding beschrijft een typisch proces voor toegang via HTTPS/WebAdmin en optioneel SSH. Voor de algemene basisprincipes van lokale firewall-diensten is er ook Device Access en Local Service ACL op Sophos Firewall. Als SSH wordt gebruikt, moet ook Sophos Firewall verbinden via SSH bekend zijn.

⚠️ Een supporttoegang is een administratieve toegang tot de firewall. Deze moet alleen actief zijn voor de benodigde periode, zo beperkt mogelijk tot de supportbron en na afloop van de zaak opnieuw worden gecontroleerd of verwijderd.

Voorafgaand aan de instelling

Voordat de toegang wordt verleend, moet duidelijk zijn welke toegang echt nodig is. Voor veel taken is HTTPS/WebAdmin voldoende. SSH moet alleen worden geactiveerd als logbestanden, CLI of Advanced Shell echt nodig zijn. Ook moet worden vastgesteld vanuit welke bron de toegang wordt toegestaan, wanneer de toegang weer wordt verwijderd en of er een actuele back-up beschikbaar is voor grotere wijzigingen.

Als er al een algemeen admin- of partneraccount bestaat, moet er niet zomaar een extra permanent account worden aangemaakt. In dergelijke gevallen is het meestal beter om de bestaande toegang te controleren, MFA en rollen te controleren en alleen de bron tijdelijk toe te staan.

Securitymodel voor supporttoegang

Supporttoegang moet niet als een normaal permanent account worden behandeld. Het is operationele toegang die duidelijk, beperkt en na de supportcase eenvoudig te verwijderen moet zijn.

Mogelijke varianten:

  • Tijdelijke gebruiker avanet: zinvol wanneer een supportafspraak gepland is en toegang daarna moet worden verwijderd.
  • Dedicated support-admin: zinvol bij regelmatige support, maar alleen met sterk wachtwoord, MFA en beperkte toegangsbronnen.
  • Kortstondige activatie van SSH of WebAdmin: zinvol voor een specifiek troubleshooting-venster, maar daarna weer uitschakelen of beperken.
  • Toegang via Sophos Central of remote sessie: zinvol wanneer geen directe inbound managementtoegang geopend moet worden.

Belangrijk is dat toegang, authenticatiemethode, bronbeperking en terugbouw vóór de afspraak zijn gedefinieerd. Bij wijzigingen op productieve firewalls moet ook duidelijk zijn wie de wijziging goedkeurt en waar die wordt gedocumenteerd. Voor audit trails zijn configuration audit logs en bij grotere wijzigingen Config Studio nuttige vervolgonderwerpen.

Wachtwoord, MFA en overdrachtskanaal vastleggen

Technische toegang is maar één deel van de supportvoorbereiding. Even belangrijk is hoe toegangsgegevens worden overgedragen en hoe de toegang wordt beschermd.

  • Gebruik een uniek wachtwoord alleen voor deze firewall en deze supporttoegang.
  • Verstuur wachtwoorden niet samen met alle toegangsdetails via hetzelfde kanaal.
  • Activeer MFA wanneer het account langer actief blijft of WebAdmin-toegang toestaat.
  • Documenteer of de toegang tijdelijk of permanent is.
  • Leg vast wie het account na de supportcase uitschakelt of verwijdert.
  • Als SSH nodig is, geef waar mogelijk de voorkeur aan public key authentication.

Voor admin-accounts is MFA voor Sophos Firewall het passende vervolgartikel. Voor SSH is de public key-methode te verkiezen wanneer die in de supportworkflow past.

Gebruiker avanet toevoegen

De gebruiker avanet is bedoeld voor WebAdmin-toegang. Hiermee kan in de audit trail beter worden nagegaan dat een wijziging in het kader van een supportgeval is uitgevoerd. De gebruiker moet een sterk wachtwoord krijgen en alleen zo lang actief blijven als nodig is.

  1. Open Authentication in de linker navigatie.
  2. Selecteer Users.
  3. Klik op Add.
Sophos Firewall - Gebruiker met beheerdersrechten toevoegen
Sophos Firewall - Gebruiker met beheerdersrechten toevoegen

Typische waarden:

  • Username: avanet
  • Full name: Avanet
  • Profile: Administrator, als Avanet de firewall volledig moet controleren of wijzigen
  • Password: sterk eenmalig of supportwachtwoord uit een wachtwoordmanager
  • Email: bijvoorbeeld service@avanet.com

Sla daarna op met Save of Add.

Als er alleen zeer beperkte taken gepland zijn, kan een strakker admin-profiel zinvoller zijn. Voor veel supportgevallen heeft Avanet echter tijdelijk volledige rechten nodig, omdat oorzaak, logs, regels, NAT, VPN, routing en systeemstatus vaak samen moeten worden gecontroleerd.

FQDN Host voor support.avanet.com aanmaken

Om ervoor te zorgen dat de ACL-regel niet voor willekeurige internetbronnen geldt, wordt eerst een hostobject voor de Avanet-supportbron aangemaakt.

  1. Open Hosts and services.
  2. Selecteer FQDN hosts.
Sophos Firewall - FQDN Host als bron toevoegen
Sophos Firewall - FQDN Host als bron toevoegen

Voeg vervolgens een nieuw FQDN-object toe:

Sophos Firewall - FQDN Host toevoegen
Sophos Firewall - FQDN Host toevoegen
  • Name: support.avanet.com
  • FQDN: support.avanet.com
  • Description: Avanet Supporttoegang

Sla op met Save. De firewall lost de FQDN op via DNS en gebruikt het object daarna als bron in de lokale ACL-regel.

Local Service ACL Exception Rule instellen

Toegang tot WebAdmin en SSH zijn lokale diensten van de firewall. Hiervoor zijn niet normale firewallregels verantwoordelijk, maar Administration > Device access en Local service ACL exception rule.

  1. Open Administration.
  2. Selecteer Device access.
  3. Scroll naar het gedeelte Local service ACL exception rule.
  4. Klik op Add.
Sophos Firewall - Device Access Rechten
Sophos Firewall - Device Access Rechten

De regel moet zo beperkt mogelijk worden ingesteld:

Sophos Firewall - Local Service ACL Regels toevoegen
Sophos Firewall - Local Service ACL Regels toevoegen
  • Rule name: Avanet Support
  • Rule position: passend bij de bestaande ACL-structuur, vaak Bottom
  • IP version: IPv4, of aanvullend IPv6, indien expliciet nodig
  • Source zone: Zone waaruit de supporttoegang komt, vaak WAN
  • Source Network / Host: FQDN-object support.avanet.com
  • Destination host: Any of specifiek het firewalladres, afhankelijk van de omgeving
  • Services: HTTPS; SSH alleen als het echt nodig is
  • Action: Accept

Sla daarna op en controleer de regelpositie. Als er boven een bredere afwijzings- of uitzonderingsregel ligt, kan de nieuwe regel ineffectief zijn.

⚠️ Any als bron is voor WebAdmin of SSH geen goede supportvrijgave. Als de bron niet vaststaat, moet eerst met Avanet worden overlegd welke supportbron wordt gebruikt. Een brede vrijgave vergroot onmiddellijk het aanvalsoppervlak van de firewall.

Optioneel: SSH Public Key toevoegen

SSH is alleen nodig als een analyse via Device Console, logbestanden of Advanced Shell noodzakelijk is. Voor veel supportgevallen is WebAdmin voldoende.

Sophos Firewall - SSH Public Key toevoegen
Sophos Firewall - SSH Public Key toevoegen

Belangrijk is het onderscheid: De eerder aangemaakte gebruiker avanet is een WebAdmin-gebruiker. SSH-toegang tot Sophos Firewall gebeurt meestal met de gebruiker admin. De SSH Public Key wordt daarom in het gedeelte Public key authentication for admin toegevoegd.

  1. Open Administration.
  2. Selecteer Device access.
  3. Scroll naar het gedeelte Public key authentication for admin.
  4. Activeer Enable authentication, als Public-Key-authenticatie nog niet actief is.
  5. Voeg de door Avanet geleverde Public Key toe onder Authorized keys.
  6. Sla op.

Voorbeeld van de Avanet Public Key:

ssh-rsa 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

De private sleutel wordt niet op de firewall opgeslagen en mag nooit per e-mail of chat worden doorgegeven. Op de firewall hoort alleen de Public Key in het veld voor geautoriseerde sleutels.

Toegang testen

Na het opslaan moet de toegang niet blindelings als voltooid worden beschouwd. Een korte functietest is zinvol:

  1. Test WebAdmin-toegang via de overeengekomen Avanet-supportbron.
  2. Controleer de aanmelding met de gebruiker avanet.
  3. Als SSH nodig is: test de verbinding met admin en Public Key.
  4. Controleer in de Log viewer en eventueel in de Audit Trail of de aanmelding en latere wijzigingen traceerbaar zijn.
  5. Documenteer wanneer de toegang weer wordt gedeactiveerd of verwijderd.

Als de toegang niet werkt, controleer dan eerst de bron en de ACL-regel. Controleer daarna de DNS-resolutie van het FQDN-object, regelpositie, Device Access, voorgeschakelde NAT-apparaten en routing.

Toegang na de supportcase terugtrekken

Na afloop van de supportcase moet de toegang niet permanent ongewijzigd blijven. Afhankelijk van de overeenkomst zijn er drie nette varianten:

  • Gebruiker deactiveren: Als later verdere support te verwachten is, maar momenteel geen toegang nodig is.
  • ACL-regel deactiveren: Als het account moet blijven bestaan, maar geen externe toegang mogelijk mag zijn.
  • Gebruiker en ACL-regel verwijderen: Als de toegang slechts eenmalig nodig was.

Daarnaast moet worden gecontroleerd of een SSH Public Key weer kan worden verwijderd. Als er wijzigingen aan de firewall zijn aangebracht, zijn Backup en Restore op Sophos Firewall, Audit Trail Logs en bij regelwijzigingen Config Studio geschikt voor nacontrole.

Checklist

  • Gebruiker avanet met sterk wachtwoord aangemaakt.
  • Admin-profiel bewust gekozen en gedocumenteerd.
  • FQDN-host support.avanet.com aangemaakt.
  • Local Service ACL Exception Rule beperkt tot de Avanet-supportbron.
  • Alleen benodigde diensten toegestaan: HTTPS, SSH alleen indien nodig.
  • SSH Public Key alleen in het gedeelte Public key authentication for admin toegevoegd.
  • Toegang getest en in het ticket gedocumenteerd.
  • Terugtrekking of deactivering na afloop gepland.

Veelgestelde vragen

Moet SSH voor de Avanet Supporttoegang worden geactiveerd?

Nee. Voor veel supportgevallen is HTTPS/WebAdmin voldoende. SSH moet alleen worden toegestaan als CLI, logbestanden, Device Console of Advanced Shell echt nodig zijn.

Kan Avanet zich per SSH aanmelden met de gebruiker avanet?

In de regel niet. De extra gebruiker avanet is bedoeld voor WebAdmin. SSH-toegang tot Sophos Firewall gebeurt meestal met de gebruiker admin; de Public Key wordt daarom onder Public key authentication for admin toegevoegd.

Wat gebeurt er als het IP-adres achter support.avanet.com verandert?

De firewall gebruikt het FQDN-object en lost de naam op via DNS. Bij een wijziging van het IP-adres zou de firewall na de DNS-update het nieuwe adres moeten gebruiken. Als de toegang uitvalt, moeten DNS-resolutie, cache en ACL-regel worden gecontroleerd.

Moet de Local Service ACL Source op Any staan?

Nee. Voor beheerstoegang is Any als bron te breed. Beter is een FQDN-, host- of netwerkobject voor de specifieke supportbron.

Welke diensten moeten voor de supporttoegang worden vrijgegeven?

Normaal gesproken is HTTPS voor WebAdmin voldoende. SSH moet alleen worden toegevoegd als het voor de analyse nodig is. Andere diensten moeten niet preventief worden vrijgegeven.