Zarządzaj Sophos Firewall CAPTCHA dla WebAdmin i User Portal
Od wersji SFOS 18.0 MR3, Sophos Firewall może wyświetlać CAPTCHA dla loginu WebAdmin i dla User Portal. Zabezpieczenie to zostało wprowadzone w związku z luką w zabezpieczeniach i ma na celu utrudnienie automatycznych prób logowania.
Możesz dezaktywować lub ponownie aktywować CAPTCHA poprzez Device Console. Ale powinno się to dziać wyłącznie świadomie. WebAdmin, User Portal, VPN Portal i SSH stanowią część powierzchni bezpośredniego ataku zapory ogniowej. Jeśli te usługi są dostępne z niezabezpieczonych sieci, CAPTCHA nie powinien być jedynym środkiem ochronnym i nie należy go usuwać beztrosko.


Klasyfikacja
CAPTCHA nie zastępuje czystego projektu administracyjnego w SFOS. Jest to dodatkowa przeszkoda przed niektórymi stronami logowania. Kluczowe pozostaje to, czy te strony logowania muszą być dostępne z WAN, VPN, sieci gościnnych czy rozległych sieci wewnętrznych.
Które strony logowania są dotknięte
Polecenia konsoli urządzenia opisane w tym artykule kontrolują CAPTCHA dla dwóch konkretnych stron logowania:
- Konsola WebAdmin:
webadminconsole. WebAdmin logowanie administratora interfejsu lokalnego. - User Portal:
userportal. Portal użytkownika dla konfiguracji VPN, OTP i funkcji użytkownika.
Sophos opisuje CAPTCHA dla administratorów na WebAdmin oraz dla użytkowników lokalnych lub gości na User Portal w przypadku dostępu poprzez interfejsy WAN lub VPN. To nie to samo, co pełne zabezpieczenie wszystkich usług zdalnego dostępu. VPN Portal, SSL VPN, IPsec, SSH, DNS, SNMP i inne lokalne usługi firewall muszą być również kontrolowane poprzez Administration > Device access, Local Service ACL, MFA, logowanie i koncepcję czystego dostępu zdalnego.
Porty również pomagają w ocenie sytuacji: WebAdmin domyślnie używa 4444, User Portal używa 4443, a VPN Portal używa 443. Od SFOS 20.0 VPN Portal jest osobną usługą. Podczas aktualizacji wcześniejszy port User Portal może więc zostać przypisany do VPN Portal, a User Portal zostaje przeniesiony na 4443 albo, jeśli ten port nie jest dostępny, na 65040. Przed testem CAPTCHA należy więc zawsze sprawdzić, która strona logowania i który port są faktycznie otwierane.
Udokumentowaną wartością domyślną dla poleceń globalnych i specyficznych dla VPN jest enabled. Jeśli logowanie z interfejsu LAN nie pokazuje CAPTCHA, nie oznacza to automatycznie błędnej konfiguracji: Sophos nie wymaga CAPTCHA dla logowań z LAN. Użytkownicy lokalni w tym kontekście to użytkownicy Sophos Firewall, a nie użytkownicy z zewnętrznego serwera uwierzytelniania, takiego jak Active Directory.
Według Sophos CAPTCHA nie jest dostępny na XG 85 i XG 85w. Jeśli takie urządzenie nie pokazuje CAPTCHA, nie jest to normalny przypadek dezaktywacji, lecz ograniczenie platformy.
Ważne: nieudane próby CAPTCHA to nie to samo, co nieudane logowanie. Jeśli CAPTCHA zakończy się niepowodzeniem przed faktycznym zalogowaniem, należy zatem osobno ocenić blokady logowania, dzienniki uwierzytelniania i dostęp do portalu.
Jeśli chodzi o podstawową logikę lokalnych usług firewall, najważniejszym artykułem dotyczącym połączeń jest Device Access i Local Service ACL on Sophos Firewall. Jeśli nie jest jasne, czy dostęp jest kontrolowany przez zwykłe reguły zapory sieciowej, czy przez Device Access, pomocna będzie Reguła Sophos Firewall nie ma zastosowania: sprawdź przyczyny.
Czego nie omawia ten artykuł
Artykuł dotyczy wyłącznie globalnego ustawienia CAPTCHA dla konsoli WebAdmin i User Portal. Nie zastępuje to wzmacniania dostępu zdalnego i nie stanowi przewodnika dotyczącego zabezpieczania SSL VPN, IPsec, Sophos Connect lub Microsoft Entra ID SSO.
Jeśli chodzi o dostęp zdalny, ważniejsze są inne pytania:
- Skonfiguruj i przetestuj SSL VPN: Sophos Firewall SSL VPN Konfiguracja zdalnego dostępu.
- Przygotuj Sophos Connect: Skonfiguruj Sophos Connect na Sophos Firewall.
- MFA dla administratorów i dostępu zdalnego: Włącz MFA dla Sophos Firewall WebAdmin, VPN Portal i dostęp zdalny.
- Ogranicz dostęp do portalu i usługi: Skonfiguruj poprawnie Device Access.
Portal SPX i inne funkcje portalu lub poczty również nie powinny być pochodnymi tych poleceń. W portalu SPX CAPTCHA pozostaje aktywny i nie można go wyłączyć za pomocą tych poleceń konsoli urządzenia.
Kiedy nie wyłączać CAPTCHA
CAPTCHA powinien pozostać aktywny, jeśli ma zastosowanie którykolwiek z poniższych:
- WebAdmin można uzyskać z
WANlub z rozległych sieci wewnętrznych. - User Portal jest dostępny z Internetu.
- VPN Portal lub SSL VPN są publicznie dostępne.
- MFA nie jest konsekwentnie włączone dla administratorów i użytkowników korzystających ze zdalnego dostępu.
- W dzienniku znajduje się wiele nieudanych prób logowania.
- Nie ma dedykowanej sieci zarządzania.
- Dostęp do WebAdmin lub SSH nie jest ograniczony poprzez Device Access.
CAPTCHA nie zapobiega atakom ukierunkowanym i nie zastępuje MFA. Zmniejsza jednak automatyczne próby logowania i szum w tle. Jeśli CAPTCHA zostanie usunięta, inne mechanizmy kontroli muszą działać poprawnie.
Decyzja i przygotowanie
Pozostawić aktywny czy tymczasowo dezaktywować?
W praktyce istnieje kilka dobrych powodów, aby wyłączyć CAPTCHA. Decyzję tę należy traktować jak małą zmianę bezpieczeństwa.
- WebAdmin lub User Portal jest dostępny z Internetu: Pozostaw CAPTCHA aktywny i najpierw sprawdź dostępność, MFA i logi.
- Dostęp do: ma tylko sieć zarządzająca lub administrator VPN Tymczasowa dezaktywacja może być uzasadniona, jeśli zostanie udokumentowana.
- Problem z dostępnością dla poszczególnych administratorów lub użytkowników: Ogranicz źródło, pozostaw MFA aktywne i udokumentuj wyjątek.
- Zautomatyzowany test w środowisku laboratoryjnym: tylko w izolacji, nie dla portali produktywnych.
- Sprawa pomocy technicznej ze zmianami ograniczonymi czasowo: Zapisz status wcześniej, aktywuj go ponownie lub udokumentuj celowy wyjątek.
Jeśli uzasadnienie jest po prostu “wygodniejsze”, nie należy wyłączać CAPTCHA. Lepiej zaprojektować dostęp do WebAdmin lub User Portal w taki sposób, aby uprawnieni użytkownicy mieli mniej przeszkód, bez niepotrzebnego eksponowania strony logowania.
Lepsza alternatywa: zmniejsz dostępność
Często rzeczywistym problemem nie jest CAPTCHA, ale raczej zbyt szeroko dostępna strona logowania. Jeśli portal jest używany sporadycznie, zazwyczaj lepiej jest zmniejszyć dostępność, niż usunąć dodatkową ochronę logowania.
Typowe decyzje:
- Administratorzy powinni dotrzeć do WebAdmin bez hałasu publicznego logowania: Zezwalaj tylko na WebAdmin z sieci zarządzania, administratora VPN lub stałego adresu IP administratora.
- Użytkownicy potrzebują User Portal tylko do pierwszego pobrania VPN: Udostępnij portal przez ograniczony czas lub tylko z sieci wewnętrznych/VPN.
- Wsparcie zewnętrzne wymaga dostępu krótkoterminowego: Użyj tymczasowej reguły wyjątku Local Service ACL z datą przeglądu.
- CAPTCHA zakłóca automatyczne testy laboratoryjne: dezaktywuj tylko w izolowanym środowisku testowym, nie przenoś do portali produkcyjnych.
Ta kolejność jest ważna: najpierw zmniejsz powierzchnię ataku, a następnie zdecyduj się na CAPTCHA. Jeżeli WebAdmin, User Portal lub VPN Portal pozostają powszechnie dostępne, dezaktywację należy bardzo dobrze uzasadnić i dodatkowo zabezpieczyć MFA, logowaniem i regularnymi przeglądami.
Sprawdź przed wyłączeniem
Przed dokonaniem jakichkolwiek zmian należy sprawdzić następujące punkty:
- Device Access: Czy WebAdmin lub User Portal są dostępne tylko z zaufanych źródeł?
- MFA: Czy MFA jest aktywny dla WebAdmin, VPN Portal i dostępu zdalnego?
- Logowanie: Czy sprawdzane są nieudane logowania i dostęp do portalu?
- Dostęp do SSH: Czy SSH jest dozwolony tylko tymczasowo, czy z sieci zarządzającej?
- Zastosowanie awaryjne: Czy jest jasne, jak ponownie włączyć CAPTCHA, jeśli to konieczne?
- Powód: Czy naprawdę istnieje powód techniczny, taki jak dostępność, automatyzacja w izolowanym laboratorium lub scenariusz tymczasowego wsparcia?
Jeśli chodzi o ograniczenia dostępu, głównym artykułem jest Skonfiguruj poprawnie Device Access. W przypadku logowania administratora i portalu należy również zaznaczyć MFA dla Sophos Firewall WebAdmin, VPN Portal i aktywować dostęp zdalny.
⚠️ Uwaga: Nie należy wyłączać CAPTCHA, aby portale publicznie dostępne były wygodniejsze. Najpierw zmniejsz dostępność, aktywuj MFA i sprawdź logi.
Zmiana w Device Console
Otwórz SSH i Device Console
Ustawienie CAPTCHA zmienia się za pomocą Device Console. Do tego potrzebny jest dostęp SSH do firewalla.
- Zezwól SSH na dostęp pod Administration > Device access tylko dla zaufanego źródła.
- Połącz się z użytkownikiem
adminpoprzez SSH. - Otwórz Device Console w przeglądzie konsoli.
Instrukcje Podłącz Sophos Firewall przez SSH opisują bezpieczny dostęp SSH z systemami macOS, Linux i Windows.
Po zmianie SSH należy ponownie ograniczyć do niezbędnego minimum. Następujące polecenia system captcha-authentication-global należą do Device Console, a nie do Advanced Shell. Jeśli zamiast tego sprawdzane są pliki dziennika za pomocą tail, grep lub less, Advanced Shell jest poprawny. Rozróżnienie wyjaśniono w Sophos Firewall Rozwiązywanie problemów: Services i dzienniki.
Wyświetl status CAPTCHA
Przed dokonaniem jakichkolwiek zmian należy najpierw sprawdzić aktualny stan.
Dla ustawień globalnych WebAdmin:
system captcha-authentication-global show for webadminconsole
Dla ustawień globalnych User Portal:
system captcha-authentication-global show for userportal
Polecenie pokazuje, czy dla danej strony logowania jest aktywny CAPTCHA. Wynik należy udokumentować datą, zaporą sieciową, administratorem i przyczyną, aby można było później prześledzić zmianę.
Jeśli nie udokumentowano świadomego wyjątku, oczekiwanym stanem normalnym powinno być enabled.
Zmienić globalnie czy tylko w odniesieniu do VPN?
Polecenia globalne dotyczą konsoli WebAdmin i User Portal poprzez interfejsy WAN lub VPN. Jeśli ją dezaktywujesz, zastąpisz także ustawienie CAPTCHA specyficzne dla VPN.
Bezpieczny punkt wyjścia jest więc taki: pozostawić ustawienie globalne jako enabled, sprawdzić status poleceniem show i zmieniać ustawienie specyficzne dla VPN tylko w jasno określonym przypadku VPN.
Jeśli problem dotyczy tylko użytkowników lub administratorów uzyskujących dostęp poprzez VPN, powinieneś najpierw sprawdzić, czy zmiana specyficzna dla VPN jest wystarczająca:
system captcha-authentication-vpn show for webadminconsole
system captcha-authentication-vpn show for userportal
Blokada specyficzna dla VPN jest węższa niż blokada globalna. Niemniej jednak obowiązuje tu również zasada: udokumentuj przyczynę, przetestuj prawdziwy login i świadomie zdecyduj ponownie po zdarzeniu z supportem, czy CAPTCHA powinien pozostać aktywny.
Szczególny przypadek: tunel IPsec z Remote Subnet Any
W połączeniach IPsec site-to-site CAPTCHA może zadziałać nieoczekiwanie, jeśli tunel jest skonfigurowany z Remote Subnet Any. W takiej sytuacji firewall może traktować dostęp przez to połączenie szerzej niż zamierzono. Jest to szczególnie istotne, gdy administratorzy lub użytkownicy lokalni uzyskują dostęp do WebAdmin lub User Portal przez tunel site-to-site.
Przed wyłączeniem CAPTCHA warto sprawdzić także konfigurację IPsec:
- Czy istnieją połączenia IPsec policy-based z Remote Subnet
Any? - Czy dostęp przechodzi przez tunel, w którym sieć zdalna nie jest jasno określona?
- Czy sieć zdalną można lepiej rozdzielić lub dokładniej zdefiniować?
Czysta konfiguracja IPsec jest często lepszym rozwiązaniem niż szerokie wyłączanie CAPTCHA. Więcej informacji o trasach IPsec znajduje się w artykule Tworzenie trasy IPsec na Sophos Firewall.
Wyłącz CAPTCHA dla WebAdmin
Jeżeli CAPTCHA ma zostać celowo dezaktywowany dla loginu WebAdmin:
system captcha-authentication-global disable for webadminconsole
Jeśli dotyczy to tylko dostępu VPN, rozważ zamiast tego to węższe polecenie:
system captcha-authentication-vpn disable for webadminconsole
Należy wtedy natychmiast sprawdzić:
- Przetestuj logowanie WebAdmin z sieci zarządzającej.
- WebAdmin Testuj logowanie z nieautoryzowanych sieci.
- Sprawdź Log Viewer pod kątem nieudanych logowań.
- Sprawdź MFA dla administratorów.
WebAdmin nie powinien być dostępny z żadnego źródła. Jeśli konieczny jest dostęp zewnętrzny, lepszą podstawą będą VPN, Sophos Central Firewall Management, stały adres IP administratora lub reguła wyjątku Local Service ACL.
Wyłącz CAPTCHA dla User Portal
Jeśli CAPTCHA powinien zostać celowo dezaktywowany dla User Portal:
system captcha-authentication-global disable for userportal
Jeśli dotyczy to tylko użytkowników VPN, rozważ zamiast tego to węższe polecenie:
system captcha-authentication-vpn disable for userportal
User Portal powinien być dostępny tylko wtedy, gdy jest naprawdę potrzebny, na przykład w przypadku konfiguracji VPN, tokenów OTP lub funkcji użytkownika. W wielu środowiskach portal jest wymagany raz do konfiguracji, a następnie pozostaje niepotrzebnie otwarty.
Sprawdź po zmianie:
- Przetestuj logowanie User Portal na zwykłym użytkowniku.
- Sprawdź proces MFA lub OTP, jeśli jest używany.
- Sprawdź dostępność z
WAN, VPN, LAN i sieci gościnnych. - Sprawdź nieudane logowanie w Log Viewer.
Jeśli User Portal musi pozostać publicznie dostępny, należy sprawdzić MFA, silne hasła, rejestrowanie, ograniczone źródła i, jeśli to konieczne, Sophos Firewall źródła zagrożeń.
Włącz ponownie CAPTCHA
Dla WebAdmin:
system captcha-authentication-global enable for webadminconsole
Dla User Portal:
system captcha-authentication-global enable for userportal
Dla konkretnego ustawienia VPN:
system captcha-authentication-vpn enable for webadminconsole
system captcha-authentication-vpn enable for userportal
Po aktywacji powinieneś ponownie wyświetlić status:
system captcha-authentication-global show for webadminconsole
system captcha-authentication-global show for userportal
system captcha-authentication-vpn show for webadminconsole
system captcha-authentication-vpn show for userportal
Jeśli dezaktywowano CAPTCHA z powodu zgłoszenia do pomocy technicznej, należy je ponownie aktywować po zamknięciu zgłoszenia lub należy celowo udokumentować dezaktywację.
Dalsza kontrola i działanie
Kontrola kontrolna po zmianie
Po zmianie CAPTCHA nie należy po prostu uruchamiać komendy show. Kluczowe znaczenie ma to, czy dostęp do strony logowania, której dotyczy problem, będzie nadal możliwy wyłącznie z odpowiednich sieci i czy zdarzenia logowania będą nadal możliwe do prześledzenia.
Przydatna kontrola następcza:
- Sprawdź status WebAdmin i User Portal za pomocą
show. - Otwórz Administration > Device access i sprawdź dozwolone strefy dla WebAdmin, User Portal, SSH, VPN Portal i SSL VPN.
- Przetestuj WebAdmin lub User Portal z dozwolonej sieci.
- Przetestuj dostęp z nieautoryzowanej sieci, jeśli jest to możliwe bez ryzyka.
- Sprawdź nieudane i pomyślne zdarzenia logowania w Log Viewer.
- Steruj MFA oddzielnie dla administratorów i użytkowników zdalnego dostępu.
- Po zmianie usuń lub ponownie ściśle ogranicz dostęp SSH.
Jeśli strona logowania pozostaje dostępna z WAN, dezaktywację należy traktować szczególnie krytycznie. W takim przypadku obowiązkowe są MFA, ścisłe ograniczenia źródeł, logging i regularny przegląd. Zwykle lepiej w ogóle nie udostępniać WebAdmin ani User Portal szeroko z Internetu.
Osobno należy ocenić Administration > Admin and user settings > Login security. Według Sophos nieudane próby CAPTCHA nie uruchamiają blokady logowania. Rzeczywiste nieudane logowania mogą natomiast, zależnie od ustawienia, zablokować dostęp do WebAdmin, CLI, VPN Portal i User Portal z adresu IP źródła. W Log Viewer należy więc odróżnić nieudaną próbę CAPTCHA od faktycznie nieudanego logowania.
Dokumentuj zmiany w sposób zrozumiały
W przypadku zmian istotnych dla bezpieczeństwa powinno być później jasne, dlaczego dezaktywowano CAPTCHA i czy zmiana jest nadal konieczna. Często wystarczy krótki wpis do systemu zmianowego lub biletowego.
Dokumentować:
- Stan początkowy dla WebAdmin i User Portal.
- Powód zmiany.
- Dotknięta zapora ogniowa i wersja SFOS.
- Czas, wykonanie administracji i planowany demontaż.
- Które ograniczenia dostępu i elementy sterujące MFA są aktywne w tym czasie.
- Wynik kontroli uzupełniającej w Log Viewer.
Jeśli na zaporze pracuje kilku administratorów, pomocna jest także Ścieżka audytu Sophos Firewall. Sophos Firewall Rozwiązywanie problemów: Services i logi nadaje się do rozwiązywania problemów z logowaniem i usługami.
Zalecane środki ochronne
Jeśli CAPTCHA jest wyłączony, powinny działać przynajmniej te elementy sterujące:
- WebAdmin można uzyskać tylko z sieci zarządzającej, administratora VPN lub stałego adresu IP administratora.
- SSH jest dozwolony tylko w razie potrzeby i tylko z zaufanych źródeł.
- MFA aktywny dla administratorów.
- User Portal dostępny tylko tam, gdzie jest potrzebny.
- VPN Portal i SSL VPN zabezpieczone MFA i logowaniem.
- Nieudane logowania są regularnie sprawdzane.
- Portale zewnętrzne są ograniczone przez Device Access, Local Service ACL, blokowanie krajów lub źródła zagrożeń.
W przypadku usług publicznie dostępnych odpowiedni jest również Sophos Firewall: Blokuj kraje i złośliwe adresy IP. Aby uzyskać szerszą kontrolę bezpieczeństwa, pomaga Sophos Firewall Użyj poprawnie Health Check.
Typowe błędy i rozwiązywanie problemów
- Wyłącz CAPTCHA, ponieważ jest to niewygodne: Interfejsy logowania są łatwiej atakowane automatycznie. Ogranicz dostęp i włącz MFA.
- Pozostaw WebAdmin dostępny z WAN: powierzchnia ataku w zarządzaniu bezpośrednim. Użyj adresu IP zarządzania, VPN lub centralnego zarządzania.
- Pozostaw User Portal stale otwarty: niepotrzebny cel dla botów i brutalnej siły. Udostępnij portal tylko wtedy, gdy jest to potrzebne.
- SSH pozostaw otwarte po zmianie: Dostęp do CLI pozostaje ujawniony. SSH ponownie ogranicz lub wyłącz.
- Nie dokumentuj statusu: późniejszy egzamin będzie trudny. przed i po uruchomieniu
show. - użyto niewłaściwej konsoli: Polecenie nie zostało rozpoznane. w menu SSH otwórz Device Console.
- VPN Portal mylony z User Portal: fałszywe oczekiwania dotyczące zachowania CAPTCHA. Sprawdź osobno stronę logowania i usługę dostępu do urządzenia.
- User Portal dzieli port z SSL VPN: CAPTCHA nie pojawia się zgodnie z oczekiwaniami dla User Portal lub testowana jest niewłaściwa usługa. zaplanuj unikalny portal i porty VPN i przetestuj z prawdziwym użytkownikiem.
- Zmiana pozostaje aktywna po zgłoszeniu pomocy technicznej: Ochrona jest trwale zmniejszona. Udokumentuj czas demontażu i przegląd w bilecie.
Często zadawane pytania
Czy wyłączenie CAPTCHA w zaporze Sophos jest niebezpieczne?
Czy CAPTCHA zastępuje MFA?
Czy możesz zmienić CAPTCHA tylko dla WebAdmin lub tylko dla User Portal?
webadminconsole i userportal.