Saltar para o conteudo
Avanet

Gerenciar Sophos Firewall CAPTCHA para WebAdmin e User Portal

Desde SFOS 18.0 MR3, o Sophos Firewall pode exibir um CAPTCHA para o login WebAdmin e para o User Portal. Esta proteção foi introduzida após uma vulnerabilidade de segurança e tem como objetivo dificultar as tentativas automatizadas de login.

Você pode desativar ou reativar CAPTCHA via Device Console. Mas isso só deve acontecer de forma consciente. WebAdmin, User Portal, VPN Portal e SSH fazem parte da superfície de ataque direto do firewall. Se estes serviços forem acessíveis a partir de redes inseguras, o CAPTCHA não deverá ser a única medida de protecção e não deverá ser removido descuidadamente.

Login do Sophos Firewall WebAdmin com CAPTCHA
Login do Sophos Firewall WebAdmin com CAPTCHA
Login do portal do usuário do Sophos Firewall com CAPTCHA
Login do portal do usuário do Sophos Firewall com CAPTCHA

Classificação

CAPTCHA não substitui um design de administração limpo em SFOS. É um obstáculo adicional diante de certas páginas de login. O que permanece crucial é se essas páginas de login devem ser acessíveis a partir de WAN, VPN, redes de convidados ou redes internas amplas.

Quais páginas de login são afetadas

Os comandos do console do dispositivo neste artigo controlam CAPTCHA para duas páginas de login específicas:

  • Console WebAdmin: webadminconsole. Login de administrador da interface local WebAdmin.
  • User Portal: userportal. Portal do usuário para configurações VPN, OTP e funções do usuário.

A Sophos descreve CAPTCHA para administradores em WebAdmin e para usuários locais ou convidados em User Portal ao acessar através das interfaces WAN ou VPN. Isto não é o mesmo que proteger totalmente todos os serviços de acesso remoto. VPN Portal, SSL VPN, IPsec, SSH, DNS, SNMP e outros serviços de firewall local também devem ser controlados via Administration > Device access, Local Service ACL, MFA, registro e um conceito de acesso remoto limpo.

As portas também ajudam a classificar o caso: WebAdmin usa 4444 por padrão, User Portal usa 4443 e VPN Portal usa 443. Desde SFOS 20.0, VPN Portal é um serviço separado. Em atualizações, a porta anterior do User Portal pode passar para o VPN Portal, enquanto o User Portal é movido para 4443 ou, se essa porta não estiver disponível, para 65040. Antes de testar CAPTCHA, deve-se sempre verificar qual página de login e qual porta estão realmente sendo abertas.

O padrão documentado para os comandos globais e específicos de VPN é enabled. Se um login a partir de uma interface LAN não mostrar CAPTCHA, isso não é automaticamente uma configuração incorreta: a Sophos não exige CAPTCHA para logins a partir da LAN. Usuários locais neste contexto são usuários do Sophos Firewall, não usuários de um servidor de autenticação externo como Active Directory.

Segundo a Sophos, CAPTCHA não está disponível em XG 85 e XG 85w. Se um appliance desse tipo não mostrar CAPTCHA, isso não é um caso normal de desativação, mas uma limitação da plataforma.

Importante: tentativas com falha de CAPTCHA não são iguais a logins com falha. Se um CAPTCHA falhar antes de você realmente efetuar login, você deverá avaliar os bloqueios de login, os logs de autenticação e o acesso ao portal separadamente.

Para a lógica básica dos serviços de firewall locais, Device Access e Local Service ACL em Sophos Firewall é o artigo de conexão mais importante. Se não estiver claro se o acesso é controlado por regras normais de firewall ou por Device Access, a regra Sophos Firewall não se aplica: verifique as causas ajudará.

O que este artigo não cobre

O artigo aborda apenas a configuração global CAPTCHA para o console WebAdmin e User Portal. Isso não substitui a proteção de acesso remoto e não é um guia para proteger o SSO SSL VPN, IPsec, Sophos Connect ou Microsoft Entra ID.

Quando se trata de acesso remoto, outras questões são mais importantes:

O Portal SPX e outras funções de portal ou correio também não devem ser derivados destes comandos. Com o Portal SPX, CAPTCHA permanece ativo e não pode ser desligado usando estes comandos do console do dispositivo.

Quando não desabilitar CAPTCHA

CAPTCHA deve permanecer ativo se alguma destas situações se aplicar:

  • WebAdmin pode ser acessado a partir de WAN ou de redes internas amplas.
  • User Portal pode ser acessado pela Internet.
  • VPN Portal ou SSL VPN são acessíveis publicamente.
  • MFA não está habilitado de forma consistente para administradores e usuários de acesso remoto.
  • Existem muitas tentativas de login malsucedidas no log.
  • Não existe uma rede de gestão dedicada.
  • O acesso a WebAdmin ou SSH não é restrito via Device Access.

CAPTCHA não evita ataques direcionados e não substitui MFA. No entanto, reduz as tentativas de login automatizado e o ruído de fundo. Se for removido, os outros controles devem funcionar de forma fiável.

Decisão e preparação

Deixar ativo ou desativar temporariamente?

Na prática, existem alguns bons motivos para desligar o CAPTCHA. Esta decisão deve ser tratada como uma pequena mudança de segurança.

  • WebAdmin ou User Portal pode ser acessado pela Internet: Deixe CAPTCHA ativo e verifique a disponibilidade, MFA e logs primeiro.
  • Somente a rede de gerenciamento ou administrador VPN tem permissão para acessar: A desativação temporária pode ser justificável se documentada.
  • Problema de acessibilidade com administradores ou usuários individuais: Limitar fonte, deixar MFA ativo e documentar exceção.
  • Teste automatizado em ambiente de laboratório: apenas isoladamente, não para portais produtivos.
  • Caso de suporte com alteração por tempo limitado: Salve o status antecipadamente, reative-o posteriormente ou documente uma exceção deliberada.

Se a justificativa for apenas “mais conveniente”, CAPTCHA não deverá ser desabilitado. É melhor projetar o acesso a WebAdmin ou User Portal de forma que os usuários autorizados tenham menos obstáculos, sem expor a página de login desnecessariamente de forma ampla.

Melhor alternativa: reduzir a acessibilidade

Freqüentemente, o problema real não é CAPTCHA, mas sim uma página de login que é amplamente acessível. Se um portal for usado apenas ocasionalmente, geralmente é mais fácil reduzir a acessibilidade em vez de remover a proteção adicional de login.

Decisões típicas:

  • Os administradores devem acessar WebAdmin sem ruído de login público: Permitir WebAdmin apenas da rede de gerenciamento, administrador VPN ou IP de administrador fixo.
  • Os usuários só precisam do User Portal para o primeiro download do VPN: Tornar o portal acessível por tempo limitado ou apenas a partir de redes internas/VPN.
  • Apoio externo necessita de acesso a curto prazo: Usar regra de exceção temporária Local Service ACL com data de revisão.
  • CAPTCHA interrompe testes de laboratório automatizados: desativar apenas em ambiente de teste isolado, não transferindo para portais produtivos.

Esta ordem é importante: primeiro reduza a superfície de ataque e depois decida por CAPTCHA. Se WebAdmin, User Portal ou VPN Portal permanecerem amplamente disponíveis, a desativação deverá ser muito bem justificada e adicionalmente protegida com MFA, registro e revisões regulares.

Verifique antes de desativar

Antes de fazer qualquer alteração, estes pontos devem ser verificados:

  1. Device Access: WebAdmin ou User Portal só podem ser acessados ​​de fontes confiáveis?
  2. MFA: O MFA está ativo para WebAdmin, VPN Portal e acesso remoto?
  3. Registro: Logins com falha e acesso ao portal são verificados?
  4. Acesso SSH: O SSH é permitido apenas temporariamente ou de uma rede de gerenciamento?
  5. Fallback: Está claro como reativar CAPTCHA, se necessário?
  6. Motivo: existe realmente um motivo técnico, como acessibilidade, automação em um laboratório isolado ou um cenário de suporte temporário?

Para restrição de acesso, Configurar Device Access corretamente é o artigo central. Para logins de administrador e portal, MFA para Sophos Firewall WebAdmin, VPN Portal e ativar acesso remoto também deve ser verificado.

⚠️ Atenção: CAPTCHA não deve ser desativado para tornar os portais acessíveis ao público mais convenientes. Primeiro reduza a acessibilidade, ative MFA e verifique os registros.

Mudança em Device Console

Abra SSH e Device Console

A configuração CAPTCHA é alterada por meio de Device Console. Para isso você precisa de acesso SSH ao firewall.

  1. Permita acesso SSH em Administration > Device access apenas para uma fonte confiável.
  2. Conecte-se ao usuário admin via SSH.
  3. Abra Device Console na visão geral do console.

As instruções Conectar Sophos Firewall via SSH descrevem o acesso seguro ao SSH com macOS, Linux e Windows.

Após a alteração, SSH deverá ser restringido novamente ao mínimo necessário. Os seguintes comandos system captcha-authentication-global pertencem ao Device Console, não ao Advanced Shell. Se os arquivos de log forem verificados com tail, grep ou less, o Advanced Shell está correto. A distinção é explicada em Solução de problemas de Sophos Firewall: Services e registros.

Ver status CAPTCHA

Antes de fazer qualquer alteração, o status atual deve primeiro ser verificado.

Para configuração global de WebAdmin:

system captcha-authentication-global show for webadminconsole

Para configuração global de User Portal:

system captcha-authentication-global show for userportal

O comando mostra se CAPTCHA está ativo para a respectiva página de login. O resultado deve ser documentado com data, firewall, admin e motivo para que a alteração possa ser rastreada posteriormente.

Se não houver uma exceção deliberada documentada, o estado normal esperado deve ser enabled.

Alterar globalmente ou apenas específico do VPN?

Os comandos globais se aplicam ao console WebAdmin e User Portal por meio das interfaces WAN ou VPN. Se você desativá-lo, você também substituirá a configuração CAPTCHA específica de VPN.

O ponto de partida seguro é, portanto: manter a configuração global como enabled, verificar o status com show e alterar a configuração específica de VPN apenas para um caso VPN claramente definido.

Se o problema afetar apenas usuários ou administradores que acessam via VPN, você deve primeiro verificar se uma alteração específica do VPN é suficiente:

system captcha-authentication-vpn show for webadminconsole
system captcha-authentication-vpn show for userportal

Uma desativação específica de VPN é mais restrita do que uma desativação global. No entanto, o seguinte também se aplica aqui: documente o motivo, teste o login real e decida conscientemente novamente, após o caso de suporte, se CAPTCHA deve permanecer ativo.

Caso especial: túnel IPsec com Remote Subnet Any

Em ligações IPsec site-to-site, o CAPTCHA pode aplicar-se inesperadamente quando um túnel está configurado com Remote Subnet Any. Nesse caso, a firewall pode tratar o acesso através desta ligação de forma mais ampla do que o pretendido. Isto é especialmente relevante quando administradores ou utilizadores locais acedem ao WebAdmin ou User Portal através de um túnel site-to-site.

Antes de alterar o CAPTCHA nestes ambientes, deve verificar-se:

  • Existem ligações IPsec policy-based com Remote Subnet Any?
  • O acesso ao WebAdmin ou User Portal passa por um túnel site-to-site?
  • Este túnel é realmente o caminho de gestão correto ou apenas uma configuração histórica?
  • Uma rota IPsec direcionada para hosts ou redes remotas específicos seria suficiente?
  • Uma rede de gestão dedicada ou uma VPN de administração seria mais limpa?

Se apenas determinados hosts ou redes remotas forem afetados, uma rota IPsec direcionada é muitas vezes mais limpa do que desativar o CAPTCHA globalmente. O processo está descrito em Criar rota IPsec no Sophos Firewall. Mesmo assim, uma correção de routing não substitui a verificação de Device Access, MFA e Log Viewer.

Desativar CAPTCHA para WebAdmin

Se CAPTCHA for desativado deliberadamente para o login WebAdmin:

system captcha-authentication-global disable for webadminconsole

Se apenas os acessos VPN forem afetados, considere este comando mais restrito:

system captcha-authentication-vpn disable for webadminconsole

Você deve então verificar imediatamente:

  1. Teste o login do WebAdmin na rede de gerenciamento.
  2. WebAdmin Teste o login de redes não autorizadas.
  3. Verifique Log Viewer para logins com falha.
  4. Verifique MFA para administradores.

WebAdmin não deve ser acessível de nenhuma fonte. Se o acesso externo for necessário, VPN, Sophos Central Firewall Management, um IP de administrador fixo ou uma regra de exceção Local Service ACL são a melhor base.

Desativar CAPTCHA para User Portal

Se CAPTCHA for desativado deliberadamente para o User Portal:

system captcha-authentication-global disable for userportal

Se apenas usuários VPN forem afetados, considere este comando mais restrito:

system captcha-authentication-vpn disable for userportal

O User Portal só deve estar acessível quando for realmente necessário, por exemplo, para configurações VPN, tokens OTP ou funções de usuário. Em muitos ambientes, o portal é necessário uma vez para configuração e depois permanece aberto desnecessariamente.

Verifique após a alteração:

  1. Teste o login User Portal com um usuário normal.
  2. Verifique MFA ou processo OTP, se usado.
  3. Verifique a acessibilidade de WAN, VPN, LAN e redes convidadas.
  4. Verifique logins com falha em Log Viewer.

Se o User Portal precisar permanecer acessível publicamente, MFA, senhas fortes, registro, fontes restritas e, se necessário, Feeds de ameaças Sophos Firewall deverão ser verificados.

Reativar CAPTCHA

Para WebAdmin:

system captcha-authentication-global enable for webadminconsole

Para User Portal:

system captcha-authentication-global enable for userportal

Para configuração específica de VPN:

system captcha-authentication-vpn enable for webadminconsole
system captcha-authentication-vpn enable for userportal

Após a ativação você deverá exibir o status novamente:

system captcha-authentication-global show for webadminconsole
system captcha-authentication-global show for userportal
system captcha-authentication-vpn show for webadminconsole
system captcha-authentication-vpn show for userportal

Se CAPTCHA foi desativado devido a um caso de suporte, ele deverá ser reativado após o encerramento do caso ou a desativação deverá ser deliberadamente documentada.

Inspeção e operação de acompanhamento

Inspeção de acompanhamento após a mudança

Após uma alteração CAPTCHA, você não deve apenas executar o comando show. O que é crucial é se a página de login afetada ainda só pode ser acessada a partir das redes pretendidas e se os eventos de login permanecem rastreáveis.

Verificação de acompanhamento útil:

  1. Verifique o status de WebAdmin e User Portal com show.
  2. Abra Administration > Device access e verifique as zonas permitidas para WebAdmin, User Portal, SSH, VPN Portal e SSL VPN.
  3. Teste WebAdmin ou User Portal de uma rede permitida.
  4. Teste o acesso de uma rede não autorizada, se isso for possível sem riscos.
  5. Verifique eventos de login com falha e sucesso em Log Viewer.
  6. Controle MFA separadamente para administradores e usuários de acesso remoto.
  7. Remova ou limite novamente o acesso SSH após a alteração.

Se a página de login permanecer acessível a partir da WAN, a desativação deve ser avaliada de forma particularmente crítica. Neste caso, MFA, restrições rígidas de origem, registro e revisão regular são obrigatórios. Geralmente é ainda melhor não tornar WebAdmin ou User Portal amplamente acessíveis pela Internet.

Também avalie Administration > Admin and user settings > Login security separadamente. Segundo a Sophos, tentativas de CAPTCHA com falha não acionam o bloqueio de login. Já falhas reais de autenticação podem bloquear o acesso ao WebAdmin, CLI, VPN Portal e User Portal a partir do IP de origem, dependendo da configuração. No Log Viewer, diferencie uma falha de CAPTCHA de uma falha real de autenticação.

Documente as alterações de maneira compreensível

No caso de alterações relevantes para a segurança, deverá ficar claro posteriormente por que CAPTCHA foi desativado e se a alteração ainda é necessária. Muitas vezes, uma breve entrada no sistema de troco ou ticket é suficiente.

Documentar:

  • Status inicial para WebAdmin e User Portal.
  • Motivo da mudança.
  • Firewall afetado e versão SFOS.
  • Tempo, execução administrativa e desmontagem planejada.
  • Quais restrições de acesso e controles MFA estão ativos durante este período.
  • Resultado da inspeção de acompanhamento no Log Viewer.

Se vários administradores trabalharem no firewall, a Trilha de auditoria Sophos Firewall também será útil. Solução de problemas Sophos Firewall: Services e registros é adequado para solução de problemas de login e serviço.

Medidas de proteção recomendadas

Se CAPTCHA estiver desabilitado, pelo menos estes controles deverão estar em vigor:

  • WebAdmin só pode ser acessado a partir da rede de gerenciamento, administrador VPN ou IP de administrador fixo.
  • SSH permitido somente quando necessário e somente de fontes confiáveis.
  • MFA ativo para administradores.
  • User Portal acessível apenas onde for necessário.
  • VPN Portal e SSL VPN protegidos com MFA e registro.
  • Logins com falha são verificados regularmente.
  • Os portais externos são reduzidos por Device Access, Local Service ACL, bloqueio de país ou feeds de ameaças.

Para serviços acessíveis ao público, Sophos Firewall: Bloquear países e IPs maliciosos também é adequado. Para uma verificação de segurança mais ampla, Sophos Firewall Use Health Check corretamente ajuda.

Erros típicos e solução de problemas

  • Desative CAPTCHA porque é inconveniente: Interfaces de login são atacadas automaticamente com mais facilidade. Limite o acesso e habilite MFA.
  • Deixe WebAdmin acessível em WAN: superfície de ataque de gerenciamento direto. Use IP de gerenciamento, VPN ou Gerenciamento Central.
  • Deixe User Portal permanentemente aberto: alvo desnecessário para bots e força bruta. Tornar o portal acessível apenas quando necessário.
  • SSH deixar aberto após alteração: O acesso CLI permanece exposto. SSH restringir ou desabilitar novamente.
  • Não documentar o status: exame posterior será difícil. antes e depois da execução show.
  • console errado usado: O comando não é reconhecido. na seleção do menu SSH, abra o Device Console.
  • VPN Portal confundido com User Portal: falsa expectativa de comportamento CAPTCHA. Verifique a página de login afetada e o serviço de acesso ao dispositivo separadamente.
  • User Portal compartilha porta com SSL VPN: CAPTCHA não aparece conforme esperado para User Portal ou o serviço errado está sendo testado. planeje portas exclusivas de portal e VPN e teste com usuário real.
  • A mudança permanece ativa após caso de suporte: A proteção é permanentemente reduzida. Documente o tempo de desmontagem e revise no ticket.

Perguntas frequentes

É perigoso desabilitar o CAPTCHA no Sophos Firewall?

Depende da acessibilidade. Em uma rede de gerenciamento isolada, o risco é significativamente menor do que com WebAdmin ou User Portal de acesso público. Sem MFA e restrição de acesso, CAPTCHA deverá permanecer ativo.

O CAPTCHA substitui o MFA?

Não. CAPTCHA complica as tentativas automatizadas de login. MFA oferece proteção adicional contra senhas roubadas ou adivinhadas. MFA é mais importante para acesso de administrador e acesso remoto.

Você pode alterar o CAPTCHA apenas para WebAdmin ou apenas para Portal do Usuário?

Sim. Os comandos do console do dispositivo diferenciam entre webadminconsole e userportal.

O CAPTCHA também se aplica ao Portal VPN ou VPN SSL?

Os comandos descritos aqui se aplicam ao Console WebAdmin e ao User Portal. VPN Portal, SSL VPN, IPsec e SSH devem ser protegidos separadamente por meio de Device Access, Local Service ACL, MFA, registro e configuração de acesso remoto.

O SSH deve ser desabilitado após a mudança?

Quando SSH não for mais necessário, o acesso deverá ser removido ou pelo menos limitado a uma rede de gerenciamento.

De onde vem a função CAPTCHA?

O recurso foi introduzido com SFOS 18.0 MR3. O artigo de lançamento local da Avanet SFOS v18.0 MR3 - Novos recursos documenta a introdução e o comando do console do dispositivo naquele momento.