Portale Sophos: SophosID, Centrala, Wsparcie i Dostęp do Firewalla
Sophos posiada kilka portali, które łatwo pomylić w życiu codziennym: SophosID, Sophos Central, Support Portal, lokalny firewall WebAdmin, User Portal, VPN Portal, Captive Portal oraz dokumentacja. Dla administratorów ważne jest, do jakiego celu portal jest przeznaczony, jakiego loginu się używa i jakie dostępy są krytyczne dla bezpieczeństwa.
W tym przeglądzie sklasyfikowano najważniejsze portale Sophos. Artykuł skierowany jest przede wszystkim do administratorów, którzy obsługują Sophos Firewall, Sophos Central lub Remote Access i którzy potrzebują szybko wiedzieć, gdzie jakie zadanie jest realizowane w przypadku wsparcia.
Szybki przegląd
Najważniejsze portale:
- SophosID: osobiste konto Sophos umożliwiające logowanie się do usług Sophos oraz dostęp do funkcji wsparcia i licencjonowania.
- Sophos Central: Zarządzanie chmurą dla produktów, użytkowników, urządzeń, licencji, zarządzanie zaporami sieciowymi i raportami.
- Portal wsparcia Sophos: Sprawy dotyczące wsparcia, RMA, baza wiedzy Sophos i komunikacja dotycząca wsparcia.
- Sophos Firewall WebAdmin: zarządzanie lokalną zaporą ogniową dla reguł, VPN, NAT, certyfikatów, logów, oprogramowania sprzętowego i Device Access.
- User Portal: Funkcje użytkownika, takie jak OTP, kwarantanna, pobieranie lub starsze funkcje zdalnego dostępu.
- VPN Portal: Zdalny dostęp z pobraniem Sophos Connect, konfiguracją VPN i dostępem użytkowników.
- Captive Portal: Logowanie użytkownika w celu uzyskania dostępu do sieci, gości lub użytkowników wewnętrznych poprzez logowanie do przeglądarki.
- Dokumentacja Sophos i informacje o wydaniu: aktualne instrukcje, informacje o wydaniu i znane ograniczenia.
Nie każdy portal jest odpowiedni w każdym środowisku. Instalacja czystej zapory Sophos bez centralnego punktu końcowego wymaga innego dostępu niż firma z Sophos Central, MDR, ZTNA i kilkoma zaporami ogniowymi.
Konto Sophos i portale w chmurzePortale te znajdują się poza lokalną zaporą ogniową i dotyczą kont, licencji, zarządzania chmurą lub wsparcia. Stają się one szczególnie ważne, gdy w grze uczestniczy wielu administratorów, Sophos Central lub sprawa pomocy technicznej.
SophosID
SophosID to osobiste konto Sophos. SophosID jest używany w przypadku kilku usług Sophos, takich jak wsparcie, funkcje kont i licencjonowania lub dostęp do niektórych portali Sophos.
Otwórz SophosID:
Ważne dla działania:
- Konta SophosID powinny być osobiste, a nie wspólne logowanie zespołu.
- Usługa MFA powinna być włączona, jeśli Sophos oferuje ją dla odpowiedniego dostępu.
- Jeśli opuścisz, dostęp osobisty musi zostać usunięty z kontekstu Sophos Central, wsparcia i licencji.
- Role i obowiązki powinny być udokumentowane dla dostawców usług lub wielu administratorów.
Jeśli trzeba przenieść Sophos Firewall na inne konto, pomoże Przelew Sophos Firewall na inne konto Sophos Central.
Sophos CentralSophos Central to platforma do zarządzania chmurą dla wielu aktualnych produktów Sophos. W zależności od licencji zarządza się tam punktem końcowym, serwerem, pocztą elektroniczną, siecią bezprzewodową, ZTNA, zaporą sieciową, raportowaniem, MDR/XDR i innymi funkcjami.
Otwórz Sophos Central:
Dalsze wstępy:
W przypadku Sophos Firewall Sophos Central jest szczególnie istotny, jeśli zapory ogniowe mają być rejestrowane, zarządzane centralnie, inwentaryzowane lub włączane do Central Firewall Reporting. Proces łączenia opisano w Połącz Sophos Firewall z Sophos Central. Aktywuj Central Firewall Reporting nadaje się do raportowania.
Ważne punkty administracyjne:
- Administratorzy centralni powinni mieć własne konta i odpowiednie role.
- Role MFA i administratorów powinny być regularnie sprawdzane.
- Stan i warunki licencji są częścią procesu operacyjnego.
- Zmiany za pośrednictwem Sophos Central można łatwiej prześledzić w dziennikach audytu w aktualnych wersjach SFOS.
- Jeśli istnieje wiele kont Central, powinno być jasne, który najemca zawiera jakie zapory sieciowe i licencje.Sophos Central Sprawdź licencje nadaje się do egzaminów licencyjnych. Sophos Central role administracyjne dotyczy uprawnień w Centrali. W przypadku większych konstrukcji lepszym rozwiązaniem będzie Co to jest Sophos Central Enterprise?.
Portal wsparcia Sophos
Zgłoszenia do pomocy technicznej i RMA są otwierane i zarządzane w Portalu wsparcia Sophos. Jest to także punkt wejścia dla wielu publicznych artykułów Sophos KB.
Otwórz portal wsparcia:
➜ Przejdź do Portalu Wsparcia Sophos
W przypadku zgłoszeń do pomocy technicznej należy wcześniej wyjaśnić:
- Czy istnieje ważna autoryzacja pomocy technicznej lub odpowiednia licencja?
- Którego numeru seryjnego lub identyfikatora centralnego dzierżawcy dotyczy problem?
- Która wersja oprogramowania sprzętowego, urządzenie, dzienniki i komunikaty o błędach są istotne?
- Czy istnieją zrzuty ekranu, okna czasowe i powtarzalne kroki?
- Do kogo można się zwrócić z pytaniami wewnętrznie?
Praktyczna procedura znajduje się w Jak otworzyć zgłoszenie do pomocy technicznej w Sophos. Jeśli Sophos wymaga dostępu do zapory ogniowej, należy ją skonfigurować w kontrolowany sposób, a następnie ponownie usunąć. Nadaje się do tego Skonfiguruj dostęp do pomocy technicznej Avanet na Sophos Firewall.
Lokalne portale Sophos Firewall
Następujące portale działają na lub w bezpośrednim sąsiedztwie Sophos Firewall. Ponieważ znajdują się bliżej sieci produkcyjnej, należy je aktywować, nazywać i zabezpieczać ze szczególną ostrożnością.
Lokalny Sophos Firewall WebAdmin
WebAdmin Console to lokalny interfejs administracyjny Sophos Firewall. Dostęp zazwyczaj odbywa się poprzez adres IP zapory sieciowej i skonfigurowany port HTTPS.
Typowe zadania:
- Skonfiguruj reguły zapory sieciowej, NAT i routing
- Zarządzaj VPN, certyfikatami i uwierzytelnianiem
- Sprawdź logi, Packet Capture i diagnozy
- Wykonuj aktualizacje oprogramowania sprzętowego i kopie zapasowe
- Device Access, bezpieczne MFA i dostęp administracyjny
WebAdmin Console nie jest zwykłym portalem internetowym, ale bezpośrednim dostępem do zarządzania zaporą sieciową. Dostęp ten powinien być możliwy wyłącznie z zaufanych sieci. Najważniejszym elementem połączenia jest Sophos Firewall Bezpieczny dostęp: Skonfiguruj poprawnie Device Access.
Sophos Firewall Pierwsze kroki nadaje się do rozpoczęcia pracy z nową zaporą ogniową. Włącz usługę MFA dla Sophos Firewall WebAdmin, VPN Portal i dostęp zdalny dotyczy administratora MFA.
User Portal, VPN Portal i Captive Portal
User Portal i VPN Portal są często mylone. Obie są usługami lokalnymi Sophos Firewall, ale wykonują różne zadania i należy je aktywować tylko wtedy, gdy są naprawdę potrzebne.User Portal jest używany do funkcji użytkownika, takich jak OTP, pobieranie osobiste lub starsze funkcje VPN, w zależności od środowiska. VPN Portal jest szczególnie przydatny w bieżących scenariuszach zdalnego dostępu do pobierania konfiguracji Sophos Connect i VPN.
Rozsądna zasada:
- User Portal: Dla użytkowników wewnętrznych lub znanych, np. OTP, opcje osobiste lub starsze funkcje użytkownika. Typowy błąd: Portal pozostaje publicznie dostępny, mimo że nie jest już potrzebny.
- VPN Portal: Dla użytkowników zdalnego dostępu, Sophos Connect, profile SSL VPN i konfiguracje dostępu zdalnego. Typowy błąd: Użytkownicy nie widzą pobranych plików, ponieważ zasady, grupa lub uwierzytelnianie nie są zgodne.
- Captive Portal: Dla użytkowników w sieci, logowania do przeglądarki, reguł opartych na użytkownikach lub dostępu gościa. Typowy błąd: jest mylony z VPN Portal lub używany bez jasnej koncepcji wylogowania/sesji.
Ważne punkty:- Wszystkie trzy portale są obszarami logowania i dlatego mają kluczowe znaczenie dla bezpieczeństwa.
- Dostępność jest kontrolowana poprzez Administration > Device access.
- Dostępność publiczna powinna odbywać się wyłącznie świadomie i przy wsparciu MSZ, rejestrowania i ścisłej kontroli dostępu.
- Stare portale często pozostają otwarte, mimo że po wdrożeniu użytkownicy nie są już ich potrzebni.
- Po zmianach w portalu VPN, certyfikacie, DNS lub grupach użytkowników może być konieczne ponowne zaimportowanie profili.
Sophos Connect lub SSL VPN: Które rozwiązanie zdalnego dostępu jest odpowiednie? nadaje się do podejmowania decyzji o zdalnym dostępie. Sophos Connect Sprawdź wersję klienta i bezpiecznie zaktualizuj pomaga w aktualizacjach klientów i utrzymaniu profili.
Jeśli użytkownik jest zalogowany do VPN Portal, ale pobieranie konfiguracji, takiej jak .ovpn, nieoczekiwanie kończy się niepowodzeniem, oprócz uprawnień i MFA należy również sprawdzić Sophos Firewall Limit ID użytkownika.
W przypadku nowych środowisk SSL VPN należy najpierw sprawdzić konfigurację zapory sieciowej i zależności portalu. Proces odbywa się w Sophos Firewall SSL VPN Skonfiguruj dostęp zdalny.
Planuj certyfikaty, nazwy FQDN i nazwy portaliProblemy z portalem często wydają się użytkownikom błędem logowania lub VPN, ale zaczynają się od DNS i certyfikatów. Jeśli WebAdmin, VPN Portal, User Portal, Captive Portal i WAF działają na podobnych nazwach hostów lub tym samym adresie WAN, należy celowo oddzielić i udokumentować te nazwy.
Typowe planowanie:
- WebAdmin: Przykład
admin.example.com. Udostępnij go tylko z sieci zarządzających, użyj odpowiedniego certyfikatu i aktywuj MFA. - VPN Portal: Przykład
vpn.example.com. Certyfikat musi pasować do profilu pobierania, Device Access należy ustawić celowo. - User Portal: Przykład
portal.example.com. Pozostaw aktywny tylko wtedy, gdy funkcje użytkownika są naprawdę potrzebne. - Captive Portal: Przykład
login.example.com. Testuj certyfikat, strefę, limit czasu sesji i zachowanie przy wylogowaniu. - Aplikacja WAF: Przykład
app.example.com. Sprawdź razem regułę WAF, SNI, domeny i hosta zaplecza.
Jeżeli sam firewall ma pozyskiwać certyfikaty publiczne, odpowiedni będzie Sophos Firewall Skonfiguruj certyfikaty Let’s Encrypt. W przypadku współdzielonych certyfikatów wieloznacznych w wielu systemach lepszym rozwiązaniem będzie Utwórz certyfikat wieloznaczny Let’s Encrypt.Ważna jest kolejność działania: Najpierw zaplanuj nazwę FQDN, DNS i certyfikat, następnie ogranicz dostęp do portalu poprzez Administration > Device access i Local Service ACL, a następnie rozprowadź profile dostępu zdalnego lub reguły WAF. W przypadku późniejszej zmiany certyfikatu lub nazwy FQDN portalu zwykle należy sprawdzić również profile Sophos Connect, pliki .ovpn, zakładki i monitorowanie.
Captive Portal poprawnie klasyfikuj
Captive Portal nie jest portalem zdalnego dostępu. Jest używany, gdy użytkownicy w sieci powinni najpierw zalogować się do przeglądarki, zanim zapora będzie mogła powiązać ruch z tożsamością użytkownika. Może to być przydatne w przypadku gości, urządzeń BYOD lub środowisk bez przejrzystej identyfikacji użytkownika.
Typowe zastosowania:
- Goście lub urządzenia BYOD muszą się zalogować, aby uzyskać dostęp do Internetu.
- Reguły zapory sieciowej oparte na użytkownikach powinny zacząć obowiązywać, nawet jeśli nie jest dostępny STASZ, SATC ani inny przejrzysty mechanizm.
- Poszczególne sieci wymagają prostego mapowania użytkowników bez pełnej integracji punktów końcowych.Captive Portal nie powinien być postrzegany jako zamiennik czystej segmentacji sieci. Jeśli sieć jest szczególnie warta ochrony, ważniejsze pozostaje oddzielenie stref, sieci VLAN i jasne zasady zapory sieciowej. Podstawy są w Planuj strefy i interfejsy na Sophos Firewall. Do klasycznego połączenia użytkownika z Active Directory odpowiedni jest Zintegruj Active Directory z Sophos Firewall.
Jeżeli Captive Portal ma być obsługiwany z Microsoft Entra ID SSO, proces przebiega inaczej niż w przypadku VPN Portal lub Sophos Connect. Nadaje się do tego Skonfiguruj logowanie jednokrotne Microsoft Entra ID dla Sophos Firewall Captive Portal.
Ważne w działaniu:
- Captive Portal wymaga dostępnych lokalnych usług zapory ogniowej. Device Access i Local Service ACL muszą pasować do tego.
- Limity czasu sesji powinny odpowiadać środowisku. Sesje, które są zbyt długie, rozrzedzają przydział użytkowników, sesje, które są zbyt krótkie, zakłócają użytkowników.
- Wylogowanie, mapowanie grupowe i Log Viewer należy przetestować z prawdziwymi użytkownikami testowymi.
- W sieciach z wrażliwymi systemami Captive Portal zwykle nie jest wystarczająco silny jako jedyna kontrola.Jeśli z sieci nie można uzyskać dostępu do Captive Portal, nie należy najpierw zmieniać normalnych reguł zapory sieciowej. Często przyczyną jest Administration > Device access, Local Service ACL Exception Rules, DNS, certyfikat lub nieprawidłowe mapowanie stref. Device Access i Local Service ACL do Sophos Firewall nadaje się do lokalnej kontroli dostępu.
Operacje, dokumentacja i bezpieczeństwo
Oprócz odpowiedniego portalu ważne jest regularne sprawdzanie dostępu, dokumentacji i procesów operacyjnych.
Sprawdź konkretnie dokumentację
Aby poznać aktualne szczegóły techniczne, oficjalne dokumenty Sophos i informacje o wydaniu są ważniejsze niż stare wpisy na blogu lub zrzuty ekranu. Zwłaszcza w przypadku wersji SFOS, Sophos Connect, zmian licencji, obsługi platformy i znanych ograniczeń, przed wprowadzeniem produktywnej zmiany należy sprawdzić informacje zależne od wersji. Takie źródła powinny być powiązane w samym artykule tylko wtedy, gdy administrator naprawdę musi je otworzyć dla konkretnego etapu pracy.
Jeśli chodzi o tematy związane z oprogramowaniem sprzętowym, liczy się nie tylko dostępność plików do pobrania. Przed aktualizacją ważna jest platforma, ścieżka aktualizacji, kopia zapasowa, stan HA i znane blokery. Proces odbywa się w Sprawdź Sophos Firewall przed aktualizacją SFOS 22 i Sophos Firewall Aktualizacja oprogramowania układowego — przygotowanie i najlepsze praktyki.
Kontrola bezpieczeństwa dostępu do portalu
Portale są wygodne, ale każde logowanie jest potencjalną powierzchnią ataku. Dlatego należy regularnie sprawdzać:
- Którzy SophosID i administratorzy centralni nadal istnieją?
- Czy usługa MFA jest aktywna dla administratorów SophosID, Sophos Central i zapory ogniowej?
- Czy WebAdmin, SSH, User Portal, VPN Portal i SSL VPN są dostępne tylko tam, gdzie są potrzebne?
- Czy istnieją wspólne konta administratora, które należy wymienić?
- Czy nieudane logowania są regularnie sprawdzane?
- Czy usuwane są stare profile VPN, starzy użytkownicy i byli dostawcy usług?
- Czy dostępna jest nowa kopia zapasowa i znany dostęp do odzyskiwania?
W przypadku lokalnych usług zapory ogniowej Device Access jest centralnym punktem kontrolnym. Sophos Firewall Wyślij syslog do SIEM ma sens w przypadku dłuższego przechowywania logów lub monitorowania bezpieczeństwa.