Saltar para o conteudo
Avanet

Ativar MFA na Sophos Firewall para WebAdmin e VPN

Acessos administrativos e portais de Remote Access não devem ser protegidos apenas com nome de utilizador e palavra-passe. Com Multi-Factor Authentication, ou MFA, a Sophos Firewall exige um segundo fator adicional, por exemplo um código OTP temporário de uma Authenticator App.

Este guia mostra como planear, ativar e testar MFA de forma sensata. O foco está em WebAdmin, VPN Portal e Remote Access.

Quando MFA faz sentido

MFA deve ser ativada, no mínimo, para todas as contas que podem aceder a interfaces administrativas ou funções de Remote Access.

Áreas típicas de utilização:

  • Login no WebAdmin.
  • Login no VPN Portal.
  • SSL VPN ou Sophos Connect Remote Access.
  • Acesso para prestadores externos.
  • Acesso para administradores privilegiados.

MFA reduz o risco de palavras-passe roubadas, mas não substitui uma limitação de acesso bem feita. SSH, WebAdmin e portais devem continuar acessíveis apenas a partir de redes de confiança ou através de acessos de gestão claramente definidos.

Limitar também o acesso com regras ACL

Antes de ativar MFA, deve-se verificar de onde WebAdmin, SSH, User Portal e VPN Portal estão acessíveis.

O caminho de menu é System > Administration > Device access.

Existem aí duas áreas relevantes:

  • Local service ACL: acesso básico por zona, por exemplo LAN, VPN ou WAN.
  • Local service ACL exception rule: exceções específicas para redes de origem, Hosts ou acessos de suporte.

Em ambientes produtivos, WebAdmin e SSH não devem ser ativados genericamente para a zona WAN. É melhor limitar o acesso a:

  • um IP de gestão,
  • uma rede de administração,
  • uma rede VPN,
  • um Support Host dedicado,
  • ou uma exceção FQDN/Host claramente definida.

Se SSH for necessário, o acesso deve ser adicionalmente limitado e, idealmente, usado com Public Key. Ver também: Sophos Firewall per SSH verbinden

⚠️ MFA protege contra credenciais roubadas, mas não contra serviços expostos sem necessidade. WebAdmin, SSH e portais nunca devem estar mais acessíveis do que o necessário.

Pré-requisitos

Antes da ativação, deve-se verificar:

  • A hora do sistema da Firewall está correta.
  • Existe um NTP Server funcional configurado.
  • Os utilizadores existem localmente, via AD, LDAP, RADIUS ou outro serviço de autenticação suportado.
  • Os utilizadores afetados conseguem iniciar sessão no User Portal ou no serviço correspondente.
  • Existe pelo menos um acesso administrativo de fallback funcional.

⚠️ Com Admin-MFA é preciso ter especial cuidado. Não atives MFA diretamente para todos os administradores sem antes testar um utilizador de teste, um segundo administrador e um acesso de fallback. Uma configuração MFA incorreta pode fazer com que fiques sem acesso ao WebAdmin ou ao VPN Portal.

Sophos MFA ou MFA externa via RADIUS?

A Sophos Firewall inclui uma solução MFA própria. Neste caso, os OTP Tokens são geridos diretamente na Firewall. A configuração é rápida e funciona sem infraestrutura adicional.

Vantagens da MFA própria da Sophos:

  • Não é necessária integração adicional com RADIUS ou Identity Provider.
  • Rollout rápido para utilizadores locais e ambientes pequenos.
  • Tokens podem ser criados e geridos diretamente na Firewall.
  • Adequado para WebAdmin, User Portal, VPN Portal, SSL VPN Remote Access e IPsec Remote Access.

Desvantagens:

  • Os utilizadores podem ter de manter uma Authenticator App adicional ou um Token adicional.
  • O Token fica separado de Microsoft 365, Entra ID ou outros processos MFA existentes.
  • Dependendo do ecrã de login, não existe um campo OTP separado.
  • Em determinados portais, os utilizadores têm de inserir palavra-passe e Token diretamente um a seguir ao outro.

Em ambientes maiores, uma solução MFA externa via RADIUS pode fazer mais sentido. Nesse caso, MFA é implementada, por exemplo, através de Microsoft Entra ID, NPS com extensão MFA ou outro serviço MFA compatível com RADIUS. Para os utilizadores, isto é muitas vezes mais agradável, porque usam a MFA de Microsoft 365 já conhecida ou uma solução empresarial existente.

A desvantagem de uma solução externa é a maior complexidade. RADIUS, grupos, timeouts, comportamento de challenge e fallback têm de ser bem planeados e testados.

Planear MFA

Em ambientes produtivos, normalmente é melhor ativar MFA primeiro para um pequeno grupo piloto.

Esta sequência tem funcionado bem:

  1. Preparar utilizador de teste ou grupo piloto.
  2. Verificar NTP e hora da Firewall.
  3. Ativar MFA para a área de teste.
  4. Testar login com Authenticator App.
  5. Só depois incluir outros grupos de utilizadores.

Para prestadores externos, recomenda-se um grupo de utilizadores próprio. Assim, MFA pode ser exigida de forma direcionada e o acesso pode ser removido mais facilmente no futuro.

Para administradores, deve-se planear adicionalmente:

  • Quem é o primeiro admin de teste?
  • Existe um segundo admin com acesso funcional?
  • O acesso é possível através de uma rede de gestão ou VPN?
  • O admin predefinido está protegido separadamente?
  • Está documentado como substituir um Token perdido?

Ativar MFA na Sophos Firewall

As definições de MFA encontram-se em Configure > Authentication > Multi-factor authentication.

  1. Inicia sessão no WebAdmin da Sophos Firewall.
  2. Abre Configure > Authentication.
  3. Muda para o separador Multi-factor authentication.
  4. Em One-time password (OTP), escolhe para quem MFA deve aplicar-se:
    • No OTP: MFA está desativada.
    • All users: MFA aplica-se a todos os utilizadores.
    • Specific users and groups: MFA aplica-se apenas a utilizadores ou grupos selecionados.
  5. Ativa Generate OTP token with next sign-in, se os utilizadores tiverem de configurar o seu Token no próximo login.
  6. Em Require MFA for, seleciona para que serviços MFA será exigida.
  7. Guarda a configuração com Apply.
Sophos Firewall - definições de Multi-factor authentication em Authentication
Sophos Firewall - Authentication > Multi-factor authentication

Opções típicas em Require MFA for:

  • User portal
  • Web admin console
  • VPN portal
  • SSL VPN remote access
  • IPsec remote access
  • Web application firewall

Dependendo do ambiente, MFA pode ser aplicada de forma diferente a serviços ou grupos de utilizadores individuais. Para administradores, MFA deve ser imposta de forma consistente, mas primeiro testada de forma controlada.

MFA para o default admin

O utilizador local predefinido admin é um caso especial. A Sophos indica no ecrã MFA que a MFA para este utilizador não é ativada diretamente neste separador.

O caminho de menu é System > Administration > Device access.

Aí é possível ativar MFA for default admin. Isto só deve ser feito quando:

  • a hora do sistema está correta,
  • um segundo administrador foi testado,
  • o acesso através de uma rede de gestão de confiança funciona,
  • e está claro como recuperar acesso administrativo em caso de emergência.

Para o admin predefinido aplica-se: não desativar, não expor desprotegido à Internet e não usar como utilizador normal do dia a dia. É uma conta Break-Glass ou de emergência.

Configurar Tokens para utilizadores

Após a ativação, o utilizador tem de configurar o segundo fator. Se Generate OTP token with next sign-in estiver ativo, o utilizador inicia sessão no User Portal ou VPN Portal e lê o QR Code com uma Authenticator App.

Apps adequadas incluem, por exemplo:

  • Microsoft Authenticator.
  • Google Authenticator.
  • 1Password.
  • Bitwarden.
  • Outras Authenticator Apps compatíveis com TOTP.

O código gerado é baseado no tempo. Se a hora da Firewall ou do smartphone divergir muito, o login falha.

Se o User Portal estiver desativado, os utilizadores podem não conseguir configurar os seus Tokens autonomamente. Nesse caso, é necessário disponibilizar o portal de forma controlada ou preparar os Tokens administrativamente.

Nota importante sobre palavra-passe e Token

Dependendo do serviço Sophos, não existe um campo separado para o código OTP. Isto causa frequentemente confusão, especialmente no VPN Portal ou em logins de Remote Access.

Nestes casos, o utilizador tem muitas vezes de inserir a palavra-passe e o código OTP diretamente um a seguir ao outro.

Exemplo:

Palavra-passe: MinhaPalavraPasseSegura
Código OTP: 123456
Entrada:  MinhaPalavraPasseSegura123456

Isto deve ser comunicado claramente aos utilizadores antes do Rollout. Caso contrário, para o utilizador parece que a palavra-passe está errada, embora apenas falte o código OTP.

A Sophos descreve este comportamento na sua documentação OTP: OTP token.

Testar login

Testa MFA primeiro com um utilizador que não seja o único administrador.

Verifica:

  • Login no WebAdmin.
  • Login no VPN Portal.
  • Login no serviço de Remote Access.
  • Comportamento com código OTP incorreto.
  • Comportamento após expiração de um código OTP.
  • Acesso com um utilizador que não pertence ao grupo MFA.
  • Login com palavra-passe e código OTP anexado.
  • Acesso através das regras ACL planeadas.

Só quando estes testes forem bem-sucedidos é que MFA deve ser alargada a outros grupos.

Erros frequentes

Código OTP não é aceite

Verifica a hora do sistema da Firewall e a hora do smartphone. TOTP depende do tempo. Uma divergência significativa pode fazer com que códigos válidos sejam rejeitados.

Utilizador não vê QR Code

O utilizador tem de estar autorizado para MFA e iniciar sessão no portal correto. Verifica também se o utilizador é encontrado através da fonte de autenticação esperada.

Se o User Portal estiver desativado, o utilizador pode não conseguir configurar o Token autonomamente. Então o portal tem de ser disponibilizado temporariamente ou o Token criado administrativamente.

Administrador ficou sem acesso

Usa o acesso de fallback preparado. Se não existir fallback, o acesso tem de ser analisado conforme a situação através de consola, suporte ou métodos de recuperação.

MFA não se aplica a Remote Access

Verifica se a configuração de Remote Access usa o mesmo grupo de utilizadores para o qual MFA foi ativada. Muitas vezes o erro não está na MFA em si, mas em grupos diferentes nas regras de VPN e autenticação.

Utilizador insere apenas a palavra-passe

Se não aparecer um campo OTP separado, o utilizador tem de inserir palavra-passe e código OTP diretamente um a seguir ao outro. Este é um dos casos de suporte mais frequentes após ativar Sophos OTP.

MFA externa não funciona de forma fiável

Em soluções MFA baseadas em RADIUS, timeouts, comportamento de challenge e grupos têm de estar corretos. Se forem usados Push-MFA, Call-MFA ou respostas a challenges, deve-se testar todo o processo de login com o cliente afetado.

Recomendação

MFA deve ser padrão para acessos administrativos. É especialmente importante para WebAdmin, VPN Portal e todos os utilizadores com autorização de Remote Access.

Em ambientes pequenos, a função OTP própria da Sophos é muitas vezes suficiente. Em ambientes Microsoft 365 ou Entra ID, MFA externa via RADIUS pode ser mais agradável, porque os utilizadores não têm de aprender um segundo universo MFA.

Independentemente da variante MFA: primeiro limitar o acesso com regras ACL, testar Admin-MFA com cuidado, informar os utilizadores sobre palavra-passe+Token e só depois fazer o Rollout alargado.

Mais informações da Sophos: