Saltar para o conteudo
Avanet

Ligar à Sophos Firewall por SSH

Sophos Firewall

Muitas tarefas de suporte e troubleshooting exigem acesso SSH à Sophos Firewall. Isto inclui, por exemplo, análise de logs, reinício de serviços, comandos de diagnóstico especiais ou trabalho na Advanced Shell.

Este guia explica como preparar o acesso SSH, ligar à firewall e abrir a consola necessária.

Requisitos

Para uma ligação SSH à Sophos Firewall é necessário:

  • Acesso administrativo à Sophos Firewall
  • O endereço IP ou nome DNS da firewall
  • Acesso ao utilizador admin
  • Em macOS ou Linux: a app Terminal integrada com SSH
  • Em Windows: Windows Terminal com OpenSSH ou PuTTY
  • Acesso SSH permitido em Administration > Device access

⚠️ SSH deve ser permitido apenas a partir de redes confiáveis. Em ambientes de produção, é melhor limitar o acesso a um IP de gestão ou a uma rede de administração, em vez de permitir SSH de forma ampla.

Permitir acesso SSH na firewall

Para que a ligação funcione, a Sophos Firewall tem de permitir SSH na zona correta ou através de uma Local Service ACL Exception Rule.

  1. Iniciar sessão no Web Admin da Sophos Firewall.
  2. Abrir Administration.
  3. Selecionar Device access.
  4. Verificar se SSH está permitido para a zona necessária.

Para redes internas de administração, SSH pode ser ativado diretamente para a zona correspondente, por exemplo LAN. Se o acesso tiver de ser mais restrito, é útil usar uma Local service ACL exception rule.

Numa exceção ACL, os valores devem ser o mais restritos possível:

  • Source zone: a zona a partir da qual se administra
  • Source Network / Host: o IP de administração ou a rede de gestão
  • Services: SSH
  • Action: Accept
Sophos Firewall Local Service ACL Exception Rule para acesso SSH
Exemplo de Local Service ACL Exception Rule que permite acesso SSH apenas a partir de um objeto de origem definido.

SSH não deve estar acessível a partir da Internet sem restrições rigorosas. Se for necessário acesso externo, este deve ser limitado a um IP de origem definido, VPN ou acesso de suporte dedicado.

Adicionar uma chave pública para admin

Para acessos SSH, a autenticação com chave pública é o método preferido. Na Sophos Firewall, a chave pública pode ser adicionada para o utilizador admin em Administration > Device access.

⚠️ O login SSH na Sophos Firewall só é possível com o utilizador admin. Outros utilizadores WebAdmin não conseguem iniciar sessão por SSH.

A chave pública é adicionada em Public key authentication for admin:

  1. Abrir Administration.
  2. Selecionar Device access.
  3. Ir até Public key authentication for admin.
  4. Ativar Enable authentication.
  5. Adicionar a chave pública em Authorized keys.
  6. Guardar com Apply.
Sophos Firewall Public Key Authentication para o utilizador admin
Método preferido: ativar Public Key Authentication para acesso SSH com o utilizador admin.

A chave privada permanece sempre no cliente do administrador e não deve ser partilhada. Na firewall é guardada apenas a chave pública.

Ligar a partir de macOS ou Linux

Em macOS e Linux, normalmente já existe um cliente SSH instalado. A ligação é feita no Terminal.

Exemplo:

ssh admin@192.0.2.1

Substitua 192.0.2.1 pelo endereço IP ou nome DNS da Sophos Firewall.

Na primeira ligação, o cliente SSH pergunta se a fingerprint do sistema de destino deve ser aceite. Esta fingerprint deve ser verificada e depois confirmada.

Dependendo da configuração, será pedida a palavra-passe do utilizador admin ou o login será feito com a chave SSH configurada.

Ligar com PuTTY

Em Windows pode ser usado Windows Terminal com OpenSSH ou PuTTY.

Com PuTTY:

  1. Abrir PuTTY.
  2. Introduzir o endereço IP ou nome DNS da Sophos Firewall em Host Name.
  3. Definir Port como 22.
  4. Definir Connection type como SSH.
  5. Ligar com Open.
  6. Verificar e aceitar a fingerprint SSH.
  7. Iniciar sessão como admin e usar palavra-passe ou chave SSH conforme a configuração.

Após o login aparece o menu de consola da Sophos Firewall.

Abrir Device Console ou Advanced Shell

Após um login SSH bem-sucedido, a firewall apresenta um menu de consola. A opção depende da tarefa.

Para muitos comandos SFOS usa-se:

4. Device Console

Para tarefas Linux ou de sistema de ficheiros mais profundas, abrir Advanced Shell:

5. Device Management > Advanced Shell

Advanced Shell oferece acesso muito amplo ao sistema. Os comandos só devem ser executados quando o seu efeito é claro.

Terminar a ligação

Quando o trabalho estiver concluído, terminar a sessão SSH corretamente:

exit

Se estiver num submenu, pode ser necessário voltar primeiro ao menu principal.

Problemas frequentes

Ligação recusada

Se a ligação for recusada, normalmente SSH não está permitido na firewall para a zona ou origem selecionada. Verificar Administration > Device access.

Timeout da ligação

Um timeout indica muitas vezes que a firewall não está acessível através do IP escolhido, falta uma rota ou uma firewall a montante bloqueia o acesso.

Login falha

Se o login falhar, verificar o utilizador admin, a palavra-passe ou chave SSH e as redes de origem permitidas.