Gerenciar Sophos Firewall CAPTCHA para WebAdmin e User Portal
Desde SFOS 18.0 MR3, o Sophos Firewall pode exibir um CAPTCHA para o login WebAdmin e para o User Portal. Esta proteção foi introduzida após uma vulnerabilidade de segurança e tem como objetivo dificultar as tentativas automatizadas de login.
Você pode desativar ou reativar CAPTCHA via Device Console. Mas isso só deve acontecer de forma consciente. WebAdmin, User Portal, VPN Portal e SSH fazem parte da superfície de ataque direto do firewall. Se estes serviços forem acessíveis a partir de redes inseguras, o CAPTCHA não deverá ser a única medida de protecção e não deverá ser removido descuidadamente.


Classificação
CAPTCHA não substitui um design de administração limpo em SFOS. É um obstáculo adicional diante de certas páginas de login. O que permanece crucial é se essas páginas de login devem ser acessíveis a partir de WAN, VPN, redes de convidados ou redes internas amplas.
Quais páginas de login são afetadas
Os comandos do console do dispositivo neste artigo controlam CAPTCHA para duas páginas de login específicas:
- Console WebAdmin:
webadminconsole. Login de administrador da interface local WebAdmin. - User Portal:
userportal. Portal do usuário para configurações VPN, OTP e funções do usuário.
A Sophos descreve CAPTCHA para administradores em WebAdmin e para usuários locais ou convidados em User Portal ao acessar através das interfaces WAN ou VPN. Isto não é o mesmo que proteger totalmente todos os serviços de acesso remoto. VPN Portal, SSL VPN, IPsec, SSH, DNS, SNMP e outros serviços de firewall local também devem ser controlados via Administration > Device access, Local Service ACL, MFA, registro e um conceito de acesso remoto limpo.
As portas também ajudam a classificar o caso: WebAdmin usa 4444 por padrão, User Portal usa 4443 e VPN Portal usa 443. Desde SFOS 20.0, VPN Portal é um serviço separado. Em atualizações, a porta anterior do User Portal pode passar para o VPN Portal, enquanto o User Portal é movido para 4443 ou, se essa porta não estiver disponível, para 65040. Antes de testar CAPTCHA, deve-se sempre verificar qual página de login e qual porta estão realmente sendo abertas.
O padrão documentado para os comandos globais e específicos de VPN é enabled. Se um login a partir de uma interface LAN não mostrar CAPTCHA, isso não é automaticamente uma configuração incorreta: a Sophos não exige CAPTCHA para logins a partir da LAN. Usuários locais neste contexto são usuários do Sophos Firewall, não usuários de um servidor de autenticação externo como Active Directory.
Segundo a Sophos, CAPTCHA não está disponível em XG 85 e XG 85w. Se um appliance desse tipo não mostrar CAPTCHA, isso não é um caso normal de desativação, mas uma limitação da plataforma.
Importante: tentativas com falha de CAPTCHA não são iguais a logins com falha. Se um CAPTCHA falhar antes de você realmente efetuar login, você deverá avaliar os bloqueios de login, os logs de autenticação e o acesso ao portal separadamente.
Para a lógica básica dos serviços de firewall locais, Device Access e Local Service ACL em Sophos Firewall é o artigo de conexão mais importante. Se não estiver claro se o acesso é controlado por regras normais de firewall ou por Device Access, a regra Sophos Firewall não se aplica: verifique as causas ajudará.
O que este artigo não cobre
O artigo aborda apenas a configuração global CAPTCHA para o console WebAdmin e User Portal. Isso não substitui a proteção de acesso remoto e não é um guia para proteger o SSO SSL VPN, IPsec, Sophos Connect ou Microsoft Entra ID.
Quando se trata de acesso remoto, outras questões são mais importantes:
- Configure e teste SSL VPN: Sophos Firewall SSL VPN Configuração de acesso remoto.
- Prepare o Sophos Connect: Configurar o Sophos Connect em Sophos Firewall.
- MFA para administradores e acesso remoto: Ativar MFA para Sophos Firewall WebAdmin, VPN Portal e acesso remoto.
- Limitar o acesso ao portal e ao serviço: Configurar Device Access corretamente.
O Portal SPX e outras funções de portal ou correio também não devem ser derivados destes comandos. Com o Portal SPX, CAPTCHA permanece ativo e não pode ser desligado usando estes comandos do console do dispositivo.
Quando não desabilitar CAPTCHA
CAPTCHA deve permanecer ativo se alguma destas situações se aplicar:
- WebAdmin pode ser acessado a partir de
WANou de redes internas amplas. - User Portal pode ser acessado pela Internet.
- VPN Portal ou SSL VPN são acessíveis publicamente.
- MFA não está habilitado de forma consistente para administradores e usuários de acesso remoto.
- Existem muitas tentativas de login malsucedidas no log.
- Não existe uma rede de gestão dedicada.
- O acesso a WebAdmin ou SSH não é restrito via Device Access.
CAPTCHA não evita ataques direcionados e não substitui MFA. No entanto, reduz as tentativas de login automatizado e o ruído de fundo. Se for removido, os outros controles devem funcionar de forma fiável.
Decisão e preparação
Deixar ativo ou desativar temporariamente?
Na prática, existem alguns bons motivos para desligar o CAPTCHA. Esta decisão deve ser tratada como uma pequena mudança de segurança.
- WebAdmin ou User Portal pode ser acessado pela Internet: Deixe CAPTCHA ativo e verifique a disponibilidade, MFA e logs primeiro.
- Somente a rede de gerenciamento ou administrador VPN tem permissão para acessar: A desativação temporária pode ser justificável se documentada.
- Problema de acessibilidade com administradores ou usuários individuais: Limitar fonte, deixar MFA ativo e documentar exceção.
- Teste automatizado em ambiente de laboratório: apenas isoladamente, não para portais produtivos.
- Caso de suporte com alteração por tempo limitado: Salve o status antecipadamente, reative-o posteriormente ou documente uma exceção deliberada.
Se a justificativa for apenas “mais conveniente”, CAPTCHA não deverá ser desabilitado. É melhor projetar o acesso a WebAdmin ou User Portal de forma que os usuários autorizados tenham menos obstáculos, sem expor a página de login desnecessariamente de forma ampla.
Melhor alternativa: reduzir a acessibilidade
Freqüentemente, o problema real não é CAPTCHA, mas sim uma página de login que é amplamente acessível. Se um portal for usado apenas ocasionalmente, geralmente é mais fácil reduzir a acessibilidade em vez de remover a proteção adicional de login.
Decisões típicas:
- Os administradores devem acessar WebAdmin sem ruído de login público: Permitir WebAdmin apenas da rede de gerenciamento, administrador VPN ou IP de administrador fixo.
- Os usuários só precisam do User Portal para o primeiro download do VPN: Tornar o portal acessível por tempo limitado ou apenas a partir de redes internas/VPN.
- Apoio externo necessita de acesso a curto prazo: Usar regra de exceção temporária Local Service ACL com data de revisão.
- CAPTCHA interrompe testes de laboratório automatizados: desativar apenas em ambiente de teste isolado, não transferindo para portais produtivos.
Esta ordem é importante: primeiro reduza a superfície de ataque e depois decida por CAPTCHA. Se WebAdmin, User Portal ou VPN Portal permanecerem amplamente disponíveis, a desativação deverá ser muito bem justificada e adicionalmente protegida com MFA, registro e revisões regulares.
Verifique antes de desativar
Antes de fazer qualquer alteração, estes pontos devem ser verificados:
- Device Access: WebAdmin ou User Portal só podem ser acessados de fontes confiáveis?
- MFA: O MFA está ativo para WebAdmin, VPN Portal e acesso remoto?
- Registro: Logins com falha e acesso ao portal são verificados?
- Acesso SSH: O SSH é permitido apenas temporariamente ou de uma rede de gerenciamento?
- Fallback: Está claro como reativar CAPTCHA, se necessário?
- Motivo: existe realmente um motivo técnico, como acessibilidade, automação em um laboratório isolado ou um cenário de suporte temporário?
Para restrição de acesso, Configurar Device Access corretamente é o artigo central. Para logins de administrador e portal, MFA para Sophos Firewall WebAdmin, VPN Portal e ativar acesso remoto também deve ser verificado.
⚠️ Atenção: CAPTCHA não deve ser desativado para tornar os portais acessíveis ao público mais convenientes. Primeiro reduza a acessibilidade, ative MFA e verifique os registros.
Mudança em Device Console
Abra SSH e Device Console
A configuração CAPTCHA é alterada por meio de Device Console. Para isso você precisa de acesso SSH ao firewall.
- Permita acesso SSH em Administration > Device access apenas para uma fonte confiável.
- Conecte-se ao usuário
adminvia SSH. - Abra Device Console na visão geral do console.
As instruções Conectar Sophos Firewall via SSH descrevem o acesso seguro ao SSH com macOS, Linux e Windows.
Após a alteração, SSH deverá ser restringido novamente ao mínimo necessário. Os seguintes comandos system captcha-authentication-global pertencem ao Device Console, não ao Advanced Shell. Se os arquivos de log forem verificados com tail, grep ou less, o Advanced Shell está correto. A distinção é explicada em Solução de problemas de Sophos Firewall: Services e registros.
Ver status CAPTCHA
Antes de fazer qualquer alteração, o status atual deve primeiro ser verificado.
Para configuração global de WebAdmin:
system captcha-authentication-global show for webadminconsole
Para configuração global de User Portal:
system captcha-authentication-global show for userportal
O comando mostra se CAPTCHA está ativo para a respectiva página de login. O resultado deve ser documentado com data, firewall, admin e motivo para que a alteração possa ser rastreada posteriormente.
Se não houver uma exceção deliberada documentada, o estado normal esperado deve ser enabled.
Alterar globalmente ou apenas específico do VPN?
Os comandos globais se aplicam ao console WebAdmin e User Portal por meio das interfaces WAN ou VPN. Se você desativá-lo, você também substituirá a configuração CAPTCHA específica de VPN.
O ponto de partida seguro é, portanto: manter a configuração global como enabled, verificar o status com show e alterar a configuração específica de VPN apenas para um caso VPN claramente definido.
Se o problema afetar apenas usuários ou administradores que acessam via VPN, você deve primeiro verificar se uma alteração específica do VPN é suficiente:
system captcha-authentication-vpn show for webadminconsole
system captcha-authentication-vpn show for userportal
Uma desativação específica de VPN é mais restrita do que uma desativação global. No entanto, o seguinte também se aplica aqui: documente o motivo, teste o login real e decida conscientemente novamente, após o caso de suporte, se CAPTCHA deve permanecer ativo.
Caso especial: túnel IPsec com Remote Subnet Any
Em ligações IPsec site-to-site, o CAPTCHA pode aplicar-se inesperadamente quando um túnel está configurado com Remote Subnet Any. Nesse caso, a firewall pode tratar o acesso através desta ligação de forma mais ampla do que o pretendido. Isto é especialmente relevante quando administradores ou utilizadores locais acedem ao WebAdmin ou User Portal através de um túnel site-to-site.
Antes de alterar o CAPTCHA nestes ambientes, deve verificar-se:
- Existem ligações IPsec policy-based com Remote Subnet
Any? - O acesso ao WebAdmin ou User Portal passa por um túnel site-to-site?
- Este túnel é realmente o caminho de gestão correto ou apenas uma configuração histórica?
- Uma rota IPsec direcionada para hosts ou redes remotas específicos seria suficiente?
- Uma rede de gestão dedicada ou uma VPN de administração seria mais limpa?
Se apenas determinados hosts ou redes remotas forem afetados, uma rota IPsec direcionada é muitas vezes mais limpa do que desativar o CAPTCHA globalmente. O processo está descrito em Criar rota IPsec no Sophos Firewall. Mesmo assim, uma correção de routing não substitui a verificação de Device Access, MFA e Log Viewer.
Desativar CAPTCHA para WebAdmin
Se CAPTCHA for desativado deliberadamente para o login WebAdmin:
system captcha-authentication-global disable for webadminconsole
Se apenas os acessos VPN forem afetados, considere este comando mais restrito:
system captcha-authentication-vpn disable for webadminconsole
Você deve então verificar imediatamente:
- Teste o login do WebAdmin na rede de gerenciamento.
- WebAdmin Teste o login de redes não autorizadas.
- Verifique Log Viewer para logins com falha.
- Verifique MFA para administradores.
WebAdmin não deve ser acessível de nenhuma fonte. Se o acesso externo for necessário, VPN, Sophos Central Firewall Management, um IP de administrador fixo ou uma regra de exceção Local Service ACL são a melhor base.
Desativar CAPTCHA para User Portal
Se CAPTCHA for desativado deliberadamente para o User Portal:
system captcha-authentication-global disable for userportal
Se apenas usuários VPN forem afetados, considere este comando mais restrito:
system captcha-authentication-vpn disable for userportal
O User Portal só deve estar acessível quando for realmente necessário, por exemplo, para configurações VPN, tokens OTP ou funções de usuário. Em muitos ambientes, o portal é necessário uma vez para configuração e depois permanece aberto desnecessariamente.
Verifique após a alteração:
- Teste o login User Portal com um usuário normal.
- Verifique MFA ou processo OTP, se usado.
- Verifique a acessibilidade de
WAN, VPN, LAN e redes convidadas. - Verifique logins com falha em Log Viewer.
Se o User Portal precisar permanecer acessível publicamente, MFA, senhas fortes, registro, fontes restritas e, se necessário, Feeds de ameaças Sophos Firewall deverão ser verificados.
Reativar CAPTCHA
Para WebAdmin:
system captcha-authentication-global enable for webadminconsole
Para User Portal:
system captcha-authentication-global enable for userportal
Para configuração específica de VPN:
system captcha-authentication-vpn enable for webadminconsole
system captcha-authentication-vpn enable for userportal
Após a ativação você deverá exibir o status novamente:
system captcha-authentication-global show for webadminconsole
system captcha-authentication-global show for userportal
system captcha-authentication-vpn show for webadminconsole
system captcha-authentication-vpn show for userportal
Se CAPTCHA foi desativado devido a um caso de suporte, ele deverá ser reativado após o encerramento do caso ou a desativação deverá ser deliberadamente documentada.
Inspeção e operação de acompanhamento
Inspeção de acompanhamento após a mudança
Após uma alteração CAPTCHA, você não deve apenas executar o comando show. O que é crucial é se a página de login afetada ainda só pode ser acessada a partir das redes pretendidas e se os eventos de login permanecem rastreáveis.
Verificação de acompanhamento útil:
- Verifique o status de WebAdmin e User Portal com
show. - Abra Administration > Device access e verifique as zonas permitidas para WebAdmin, User Portal, SSH, VPN Portal e SSL VPN.
- Teste WebAdmin ou User Portal de uma rede permitida.
- Teste o acesso de uma rede não autorizada, se isso for possível sem riscos.
- Verifique eventos de login com falha e sucesso em Log Viewer.
- Controle MFA separadamente para administradores e usuários de acesso remoto.
- Remova ou limite novamente o acesso SSH após a alteração.
Se a página de login permanecer acessível a partir da WAN, a desativação deve ser avaliada de forma particularmente crítica. Neste caso, MFA, restrições rígidas de origem, registro e revisão regular são obrigatórios. Geralmente é ainda melhor não tornar WebAdmin ou User Portal amplamente acessíveis pela Internet.
Também avalie Administration > Admin and user settings > Login security separadamente. Segundo a Sophos, tentativas de CAPTCHA com falha não acionam o bloqueio de login. Já falhas reais de autenticação podem bloquear o acesso ao WebAdmin, CLI, VPN Portal e User Portal a partir do IP de origem, dependendo da configuração. No Log Viewer, diferencie uma falha de CAPTCHA de uma falha real de autenticação.
Documente as alterações de maneira compreensível
No caso de alterações relevantes para a segurança, deverá ficar claro posteriormente por que CAPTCHA foi desativado e se a alteração ainda é necessária. Muitas vezes, uma breve entrada no sistema de troco ou ticket é suficiente.
Documentar:
- Status inicial para WebAdmin e User Portal.
- Motivo da mudança.
- Firewall afetado e versão SFOS.
- Tempo, execução administrativa e desmontagem planejada.
- Quais restrições de acesso e controles MFA estão ativos durante este período.
- Resultado da inspeção de acompanhamento no Log Viewer.
Se vários administradores trabalharem no firewall, a Trilha de auditoria Sophos Firewall também será útil. Solução de problemas Sophos Firewall: Services e registros é adequado para solução de problemas de login e serviço.
Medidas de proteção recomendadas
Se CAPTCHA estiver desabilitado, pelo menos estes controles deverão estar em vigor:
- WebAdmin só pode ser acessado a partir da rede de gerenciamento, administrador VPN ou IP de administrador fixo.
- SSH permitido somente quando necessário e somente de fontes confiáveis.
- MFA ativo para administradores.
- User Portal acessível apenas onde for necessário.
- VPN Portal e SSL VPN protegidos com MFA e registro.
- Logins com falha são verificados regularmente.
- Os portais externos são reduzidos por Device Access, Local Service ACL, bloqueio de país ou feeds de ameaças.
Para serviços acessíveis ao público, Sophos Firewall: Bloquear países e IPs maliciosos também é adequado. Para uma verificação de segurança mais ampla, Sophos Firewall Use Health Check corretamente ajuda.
Erros típicos e solução de problemas
- Desative CAPTCHA porque é inconveniente: Interfaces de login são atacadas automaticamente com mais facilidade. Limite o acesso e habilite MFA.
- Deixe WebAdmin acessível em WAN: superfície de ataque de gerenciamento direto. Use IP de gerenciamento, VPN ou Gerenciamento Central.
- Deixe User Portal permanentemente aberto: alvo desnecessário para bots e força bruta. Tornar o portal acessível apenas quando necessário.
- SSH deixar aberto após alteração: O acesso CLI permanece exposto. SSH restringir ou desabilitar novamente.
- Não documentar o status: exame posterior será difícil. antes e depois da execução
show. - console errado usado: O comando não é reconhecido. na seleção do menu SSH, abra o Device Console.
- VPN Portal confundido com User Portal: falsa expectativa de comportamento CAPTCHA. Verifique a página de login afetada e o serviço de acesso ao dispositivo separadamente.
- User Portal compartilha porta com SSL VPN: CAPTCHA não aparece conforme esperado para User Portal ou o serviço errado está sendo testado. planeje portas exclusivas de portal e VPN e teste com usuário real.
- A mudança permanece ativa após caso de suporte: A proteção é permanentemente reduzida. Documente o tempo de desmontagem e revise no ticket.
Perguntas frequentes
É perigoso desabilitar o CAPTCHA no Sophos Firewall?
O CAPTCHA substitui o MFA?
Você pode alterar o CAPTCHA apenas para WebAdmin ou apenas para Portal do Usuário?
webadminconsole e userportal.