Configurar acesso de suporte Avanet no Sophos Firewall
Para casos de suporte, mudanças planejadas ou uma análise conjunta de falhas, pode ser útil dar acesso temporário à Avanet em um Sophos Firewall. No entanto, esse acesso não deve ser feito tornando o WebAdmin ou SSH acessível a partir da internet em geral. É melhor um acesso de suporte claramente delimitado com um usuário administrador próprio, fonte definida e remoção documentada.
Este guia descreve um procedimento típico para acesso via HTTPS/WebAdmin e, opcionalmente, SSH. Para os fundamentos gerais sobre serviços de firewall locais, consulte também Device Access e Local Service ACL no Sophos Firewall. Se o SSH for utilizado, também deve ser conhecido Conectar ao Sophos Firewall via SSH.
⚠️ Um acesso de suporte é um acesso administrativo ao firewall. Deve estar ativo apenas pelo tempo necessário, ser o mais restrito possível à fonte de suporte e ser revisado ou removido após a conclusão do caso.
Esclarecer antes de configurar
Antes de liberar o acesso, deve estar claro qual acesso realmente é necessário. Para muitas tarefas, o HTTPS/WebAdmin é suficiente. O SSH deve ser ativado apenas se arquivos de log, CLI ou Advanced Shell forem realmente necessários. Além disso, deve ser definido de qual fonte o acesso será permitido, quando o acesso será removido e se há um backup atualizado antes de grandes alterações.
Se já existir uma conta de administrador ou parceiro geral, não deve simplesmente ser criada outra conta permanente. Nesses casos, geralmente é melhor revisar o acesso existente, verificar MFA e funções e permitir temporariamente apenas a fonte.
Modelo de segurança para acesso de suporte
Um acesso de suporte não deve ser tratado como uma conta permanente normal. É um acesso operacional que deve ser claro, limitado e fácil de remover novamente após o caso de suporte.
Variantes possíveis:
- Utilizador temporário
avanet: útil quando há uma intervenção de suporte planeada e o acesso deve ser removido depois. - Admin de suporte dedicado: útil quando há suporte regular, mas apenas com palavra-passe forte, MFA e origens de acesso limitadas.
- Ativação temporária de SSH ou WebAdmin: útil para uma janela específica de troubleshooting, mas deve ser desativada ou restringida novamente depois.
- Acesso via Sophos Central ou sessão remota: útil quando não se pretende abrir acesso de management inbound direto.
O importante é que acesso, método de autenticação, restrição de origem e rollback estejam definidos antes da intervenção. Para alterações em firewalls produtivas, também deve ficar claro quem aprova a alteração e onde ela é documentada. Para trilhos de auditoria, os configuration audit logs e, em alterações maiores, o Config Studio são temas úteis.
Definir palavra-passe, MFA e via de entrega
O acesso técnico é apenas uma parte da preparação do suporte. Igualmente importante é a forma como as credenciais são entregues e como o acesso é protegido.
- Usar uma palavra-passe única apenas para esta firewall e este acesso de suporte.
- Não enviar palavras-passe juntamente com todos os detalhes de acesso no mesmo canal.
- Ativar MFA se a conta permanecer ativa por mais tempo ou permitir acesso WebAdmin.
- Documentar se o acesso é temporário ou permanente.
- Definir quem desativa ou elimina a conta após o caso de suporte.
- Se SSH for necessário, preferir autenticação por public key sempre que possível.
Para contas admin, MFA para Sophos Firewall é o artigo complementar mais adequado. Para SSH, o método public key é preferível quando se enquadra no workflow de suporte.
Adicionar usuário avanet
O usuário avanet é destinado ao acesso WebAdmin. Isso permite rastrear melhor no Audit Trail que uma alteração foi feita no contexto de um caso de suporte. O usuário deve receber uma senha forte e permanecer ativo apenas enquanto for necessário.
- Abra Authentication na navegação à esquerda.
- Selecione Users.
- Clique em Add.

Valores típicos:
- Username:
avanet - Full name:
Avanet - Profile:
Administrator, se a Avanet precisar revisar ou alterar completamente o firewall - Password: senha única ou de suporte forte de um gerenciador de senhas
- Email: por exemplo,
service@avanet.com
Em seguida, salve com Save ou Add.
Se apenas tarefas muito restritas estiverem planejadas, um perfil de administrador mais restrito pode ser mais adequado. Para muitos casos de suporte, a Avanet precisa temporariamente de direitos completos, pois a causa, logs, regras, NAT, VPN, roteamento e estado do sistema geralmente precisam ser verificados juntos.
Criar host FQDN para support.avanet.com
Para que a regra ACL não se aplique a fontes de internet aleatórias, primeiro é criado um objeto de host para a fonte de suporte Avanet.
- Abra Hosts and services.
- Selecione FQDN hosts.

Em seguida, adicione um novo objeto FQDN:

- Name:
support.avanet.com - FQDN:
support.avanet.com - Description:
Acesso de Suporte Avanet
Salve com Save. O firewall resolve o FQDN via DNS e usa o objeto como fonte na regra ACL local.
Configurar Regra de Exceção de ACL de Serviço Local
Acessos ao WebAdmin e SSH são serviços locais do firewall. Para isso, não são usadas regras de firewall normais, mas sim Administration > Device access e Local service ACL exception rule.
- Abra Administration.
- Selecione Device access.
- Role até a seção Local service ACL exception rule.
- Clique em Add.

A regra deve ser configurada o mais restritamente possível:

- Rule name:
Avanet Support - Rule position: de acordo com a estrutura ACL existente, frequentemente
Bottom - IP version:
IPv4, ou adicionalmente IPv6, se explicitamente necessário - Source zone: Zona de onde o acesso de suporte vem, frequentemente
WAN - Source Network / Host: Objeto FQDN
support.avanet.com - Destination host:
Anyou especificamente o endereço do firewall, dependendo do ambiente - Services:
HTTPS;SSHapenas se realmente necessário - Action:
Accept
Depois, salve e verifique a posição da regra. Se houver uma regra de rejeição ou exceção mais ampla acima, a nova regra pode ser ineficaz.
⚠️
Anycomo fonte não é uma boa liberação de suporte para WebAdmin ou SSH. Se a fonte não estiver definida, deve-se primeiro esclarecer com a Avanet qual fonte de suporte será usada. Uma liberação ampla aumenta imediatamente a superfície de ataque do firewall.
Opcional: Registrar chave pública SSH
O SSH só é necessário se uma análise via Device Console, arquivos de log ou Advanced Shell for necessária. Para muitos casos de suporte, o WebAdmin é suficiente.

É importante a distinção: o usuário avanet criado anteriormente é um usuário WebAdmin. O acesso SSH ao Sophos Firewall é geralmente feito com o usuário admin. A chave pública SSH é, portanto, registrada na seção Public key authentication for admin.
- Abra Administration.
- Selecione Device access.
- Role até a seção Public key authentication for admin.
- Ative Enable authentication, se a autenticação por chave pública ainda não estiver ativa.
- Adicione a chave pública fornecida pela Avanet em Authorized keys.
- Salve.
Exemplo de chave pública Avanet:
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAACAQCktco/uC29KdU+Hf7GjcYXFumGJvt11MPxhdpnYA2XVEbnsI9r/XrW9J9K2ugvVGNoOD4IlN/bWZ1z3W6UqFKGgHUYkQu2h+0PFzP5I12Pu9I/3qIWwOhdA2j523FzneGQFptNCHHLQwma/zYJJwcVqsiJo/mg6W8jUbS30jFP6zDJvGRzbA2ATC7XzGNfa/CYr/AKoqdvm87RThOT7uh86w39x9VQTZH7d217K2UVuUrSppvnRaw5NCwukamWDDs8EtsVIFNkkxMl/SdJTC1SOSfO6mw8erXm1RhmNT5+wN/87f+DQioQPuWSrC3EHkgqw9BjoU3aLtYUw9AAItf6jJeUnZBfBCeJ1fJAzYpR8STdbaI8RXP1QMOr4omtmCakfnEH8kZ1BAYXxVzrJBXQ+sDVLZtWNDPqg8jIpdJ6bRNk/m7B+LAwsofHVLH1VSxoOEYdJGQvPfwonqo2JR+vosYhoHG89eh5EL/X9z5amvfVCShf6icstYwmaUmT/9lUTd8tkJZeTxNoezyspHhMryfB93653vb6wPS/n0ITkfu6rSfSrE1A1Y1dD5QtsFF6oEZxPqo8qQajtGhI3vZdHZSx53PqFqInra75xFHc+EjEsoLjt2wQdHr+ttEKvfrjfQmyXaWzqqE6bxmbbcMPtqY+pzMf83nEGwepJka0uw==
A chave privada não é armazenada no firewall e nunca deve ser compartilhada por e-mail ou chat. No firewall, apenas a chave pública deve ser inserida no campo para chaves autorizadas.
Testar acesso
Após salvar, o acesso não deve ser considerado concluído sem verificação. É sensato realizar um breve teste de funcionalidade:
- Teste o acesso WebAdmin através da fonte de suporte Avanet acordada.
- Verifique o login com o usuário
avanet. - Se o SSH for necessário: teste a conexão com
admine chave pública. - No Log viewer e, se necessário, no Audit Trail, verifique se o login e alterações posteriores são rastreáveis.
- Documente quando o acesso será desativado ou removido.
Se o acesso não funcionar, primeiro verifique a fonte e a regra ACL. Depois, verifique a resolução DNS do objeto FQDN, posição da regra, Device Access, dispositivos NAT anteriores e roteamento.
Remover acesso após o caso de suporte
Após a conclusão do caso de suporte, o acesso não deve permanecer inalterado permanentemente. Dependendo do acordo, há três variantes limpas:
- Desativar usuário: Se for previsto suporte adicional mais tarde, mas atualmente não é necessário acesso.
- Desativar regra ACL: Se a conta deve permanecer, mas o acesso externo não deve ser possível.
- Remover usuário e regra ACL: Se o acesso foi necessário apenas uma vez.
Além disso, deve-se verificar se uma chave pública SSH pode ser removida. Se alterações foram feitas no firewall, Backup e Restore no Sophos Firewall, Audit Trail Logs e, em caso de alterações de regras, Config Studio são adequados para verificação posterior.
Lista de verificação
- Usuário
avanetcriado com senha forte. - Perfil de administrador escolhido conscientemente e documentado.
- Host FQDN
support.avanet.comcriado. - Regra de Exceção de ACL de Serviço Local limitada à fonte de suporte Avanet.
- Apenas serviços necessários permitidos: HTTPS, SSH apenas se necessário.
- Chave pública SSH registrada apenas na seção Public key authentication for admin.
- Acesso testado e documentado no ticket.
- Planejado remoção ou desativação após conclusão.
Perguntas frequentes
É necessário ativar o SSH para o acesso de suporte Avanet?
A Avanet pode se conectar via SSH com o usuário avanet?
avanet é destinado ao WebAdmin. O acesso SSH ao Sophos Firewall é geralmente feito com o usuário admin; a chave pública é, portanto, registrada em Public key authentication for admin.O que acontece se o endereço IP por trás de support.avanet.com mudar?
A fonte da Local Service ACL deve estar definida como Any?
Any como fonte é muito amplo. É melhor um objeto FQDN, host ou rede para a fonte de suporte específica.Quais serviços devem ser liberados para o acesso de suporte?
HTTPS para WebAdmin é suficiente. SSH deve ser adicionado apenas se necessário para a análise. Outros serviços não devem ser liberados preventivamente.