Saltar para o conteudo
Avanet

Configurar servidor RADIUS no Sophos Firewall

RADIUS é uma ponte importante entre Sophos Firewall e serviços de autenticação existentes. Exemplos típicos são Microsoft NPS, um gateway MFA, um Identity Provider com interface RADIUS ou uma plataforma central de autenticação já usada para VPN, Wi-Fi ou outros serviços de rede.

Este artigo explica como adicionar um servidor RADIUS em Authentication > Servers, quais os campos importantes, como preparar Microsoft NPS como contraparte e como testar a configuração. Para consultas clássicas de utilizadores e grupos de um domínio Windows, muitas vezes é mais adequado ligar Active Directory ao Sophos Firewall. Para cenários modernos de Remote Access, Microsoft Entra ID SSO para Sophos Connect e VPN Portal também pode ser melhor.

Quando RADIUS faz sentido

RADIUS é útil quando o Sophos Firewall não deve assumir toda a lógica de identidade. O firewall envia um pedido ao servidor RADIUS. O servidor RADIUS decide se utilizador, palavra-passe, condição de grupo, MFA ou policy correspondem.

Casos típicos:

  • Remote Access VPN com Microsoft NPS.
  • Solução MFA externa via RADIUS.
  • Autenticação central para VPN Portal, SSL VPN, IPsec Remote Access ou Captive Portal.
  • Solução de transição quando AD/LDAP não deve ser ligado diretamente ao firewall.
  • Ambientes mistos com vários dispositivos de rede que usam o mesmo serviço RADIUS.

RADIUS não substitui regras de acesso bem definidas. Depois da autenticação, regras firewall, zonas VPN, grupos, pools IP e logging continuam a ter de corresponder. Para Remote Access, consultar configurar Sophos Firewall SSL VPN Remote Access; para designs MFA, ativar MFA para Sophos Firewall WebAdmin, VPN Portal e Remote Access.

Planear antes da configuração

Antes de clicar em Add, deve estar claro qual é o papel do RADIUS. Caso contrário, o teste de ligação pode funcionar, mas o login produtivo falhar mais tarde por serviço, grupo ou timeout errado.

Fonte de identidade e contraparte

Em ambientes Microsoft, RADIUS é frequentemente um servidor Microsoft NPS. O NPS pode validar utilizadores contra Active Directory, avaliar Network Policies e escrever accounting. Na prática, Sophos Firewall é o RADIUS client e o servidor NPS é o RADIUS server.

Papéis:

  • Sophos Firewall: envia o pedido de autenticação.
  • Servidor RADIUS: verifica utilizador, palavra-passe, policy e opcionalmente MFA.
  • Active Directory ou Identity Provider: fornece utilizadores e grupos em segundo plano.
  • Regra firewall ou configuração VPN: decide para onde o utilizador pode aceder depois do login.

Caminho de rede e portas

O servidor RADIUS deve ser alcançável a partir do firewall.

FinalidadePorta padrãoDireção
Authentication1812/UDPSophos Firewall para servidor RADIUS
Accounting1813/UDPSophos Firewall para servidor RADIUS

Ambientes antigos ou produtos específicos podem ainda usar 1645/UDP e 1646/UDP. Usar apenas se a contraparte realmente o exigir.

Shared secret e timeouts

O Shared secret é o segredo técnico comum entre firewall e servidor RADIUS. Não é uma palavra-passe de utilizador. A Sophos indica para este campo um limite de 48 caracteres.

O timeout deve ajustar-se ao caso de uso. Para uma simples verificação de palavra-passe, um valor curto costuma chegar. Com Push-MFA, chamada telefónica ou challenge externo, um timeout demasiado curto pode interromper o login apesar de utilizador e palavra-passe corretos. A Sophos permite valores Time-out de 1 a 60 segundos.

Adicionar o servidor RADIUS no Sophos Firewall

Caminho:

Authentication > Servers

Procedimento:

  1. Abrir Add.
  2. Em Server type, selecionar RADIUS server.
  3. Definir um Server name claro, por exemplo NPS-HQ-RADIUS ou MFA-RADIUS.
  4. Em Server IP, inserir o endereço IP do servidor RADIUS.
  5. Verificar Authentication port, normalmente 1812.
  6. Definir Time-out. Para logins simples, 3 a 5 segundos podem chegar; para MFA, escolher mais alto conforme o fornecedor.
  7. Ativar Enable accounting apenas se o servidor RADIUS deve processar accounting.
  8. Se accounting estiver ativo, verificar Accounting port, normalmente 1813.
  9. Inserir o Shared secret exatamente como no servidor RADIUS.
  10. Opcionalmente definir Domain name, sobretudo quando AD e RADIUS são usados em paralelo.
  11. Opcionalmente inserir Group name attribute se o servidor RADIUS devolver informações de grupo utilizáveis.
  12. Se necessário, abrir Enable additional settings e definir NAS-identifier ou NAS-port-type.
  13. Executar Test connection com um utilizador de teste real.
  14. Guardar.

O teste de ligação confirma a comunicação básica. Não prova que VPN Portal, SSL VPN, IPsec Remote Access, Captive Portal ou WebAdmin funcionem no fluxo produtivo. Estes serviços devem ser testados separadamente.

Definir Domain name conscientemente

O campo Domain name é importante em ambientes mistos. Se RADIUS funciona sem domínio e Active Directory cria utilizadores com domínio, podem surgir entradas locais duplicadas.

Quando AD e RADIUS são usados em paralelo, deve definir-se um Domain name adequado e verificar em Authentication > Users como os novos utilizadores aparecem.

Não adivinhar Group name attribute

O Group name attribute tem de corresponder à contraparte. Com NPS ou integrações MFA, depende dos atributos que o servidor RADIUS realmente devolve e de como o firewall deve avaliá-los.

Se o grupo é importante, testar todo o fluxo:

  1. Fazer login no portal ou VPN de destino.
  2. Verificar em Authentication > Users se o utilizador aparece com o grupo esperado.
  3. No Log Viewer, verificar que regra firewall e que utilizador aparecem para o tráfego.
  4. Com NPS, verificar também Event Viewer e Network Policy.

Preparar Microsoft NPS como contraparte

Se Microsoft NPS for usado, o Sophos Firewall deve ser registado no servidor NPS como RADIUS client. Na consola NPS, isto fica em RADIUS Clients and Servers > RADIUS Clients.

Fluxo mínimo:

  1. Abrir Network Policy Server.
  2. Abrir RADIUS Clients and Servers > RADIUS Clients.
  3. Criar um New RADIUS Client.
  4. Inserir um Friendly name, por exemplo Sophos-Firewall-HQ.
  5. Em Address (IP or DNS), inserir o IP do Sophos Firewall que envia os pedidos RADIUS.
  6. Usar normalmente RADIUS standard como Vendor.
  7. Inserir o mesmo Shared secret que no Sophos Firewall.
  8. Criar ou verificar Connection Request Policy e Network Policy.
  9. Preparar Event Viewer e logs NPS para os testes.

Em clusters HA ou com vários firewalls, é preciso verificar que IP de origem o NPS vê. Se o NPS vê outro IP que não o RADIUS client configurado, o pedido é rejeitado ou não corresponde à policy esperada.

Ativar RADIUS para serviços firewall

Depois de guardar, o servidor RADIUS não fica automaticamente ativo para todos os logins. A atribuição é feita em:

Authentication > Services

Decidir por serviço:

  • Firewall authentication methods: autenticação geral do firewall.
  • VPN portal authentication methods: login no VPN Portal.
  • SSL VPN authentication methods: login SSL VPN.
  • VPN (IPsec/dial-in/L2TP/PPTP) authentication methods: métodos relevantes de Remote Access VPN.
  • Captive portal authentication methods: login Captive Portal.

A ordem dos servidores é importante. Se vários servidores estiverem selecionados, o firewall consulta-os na ordem configurada. Isto pode ser desejado, mas também pode fazer com que utilizadores sejam autenticados por AD em vez de RADIUS e MFA não seja aplicado.

Validar depois de guardar

Um bom teste tem vários níveis. Test connection sozinho não chega.

Teste de ligação

Abrir o servidor RADIUS em Authentication > Servers e executar Test connection com um utilizador de teste. Se falhar, verificar primeiro caminho de rede, IP de origem, Shared Secret, cliente NPS, porta e palavra-passe do utilizador.

Teste do serviço

Depois testar o fluxo real:

  1. Abrir VPN Portal com o utilizador de teste.
  2. Fazer login por SSL VPN ou Sophos Connect com um perfil de teste.
  3. Testar Captive Portal se for usado.
  4. Para acesso administrativo, verificar permissões locais, papel e autenticação.

Com RADIUS-MFA, o challenge ou push completo deve ser testado com o cliente real. Um teste de servidor bem-sucedido não prova que Sophos Connect, VPN Portal ou WebAdmin tratem o challenge da mesma forma.

Verificar logs

Locais importantes:

  • Log Viewer no Sophos Firewall para decisões de autenticação e tráfego.
  • Authentication > Users para utilizadores criados automaticamente e grupos.
  • NPS Event Viewer no Windows para pedidos aceites ou rejeitados.
  • Logs do fornecedor RADIUS ou MFA, se houver terceiro envolvido.
  • Logs das regras firewall se o login funciona, mas o tráfego não é permitido.

Se o utilizador está autenticado mas não alcança aplicações, RADIUS normalmente já não é a primeira causa. Verificar zona VPN, pool IP, regra firewall, condição de grupo, NAT e routing. Para essa parte, usar Sophos Firewall: verificar porque uma regra não corresponde.

Erros típicos

Test connection falha

Causas comuns são IP de origem errado, Shared Secret errado, porta UDP bloqueada, RADIUS client em falta no NPS ou uma policy NPS que não permite o utilizador de teste. No Windows, Event Viewer mostra se o pedido chega.

Test connection funciona, mas o login VPN não

O servidor RADIUS está acessível, mas o serviço provavelmente não está configurado corretamente para RADIUS. Em Authentication > Services, verificar o servidor para VPN Portal, SSL VPN ou IPsec Remote Access e a sua posição.

O push MFA chega tarde ou não chega

Com MFA externa, timeouts são frequentemente decisivos. Timeout do Sophos Firewall, policy NPS, gateway MFA e cliente têm de combinar. Para Push-MFA ou chamada telefónica, não começar com três segundos demasiado agressivos.

O utilizador é criado duas vezes

Isto acontece muitas vezes quando AD e RADIUS são usados em paralelo e RADIUS funciona sem Domain name. Verificar Domain name, formato de login e ordem dos servidores.

O login funciona, mas a regra não corresponde

Verificar matching de utilizador e grupo: grupo importado, entrada local do utilizador, posição da regra, source zone, pool IP VPN e tráfego real no Log Viewer.

Operação e segurança

RADIUS deve ser operado como um serviço de identidade produtivo. Se o servidor RADIUS falhar, Remote Access ou acesso a portais podem ser afetados.

Pontos importantes:

  • Documentar o Shared Secret de forma segura e rodá-lo conscientemente após mudanças de pessoal ou fornecedor.
  • Reter logs NPS ou RADIUS tempo suficiente.
  • Monitorizar o servidor RADIUS, não apenas o firewall.
  • Testar timeouts MFA por tipo de cliente e portal.
  • Definir acesso admin de fallback, mas não o expor amplamente.
  • Após alterações em AD, NPS, fornecedor MFA ou serviços firewall, testar um login real.

RADIUS é um bom componente quando é operado corretamente. Sem monitoring, atribuição clara de servidores e testes reais de serviço, os problemas de login apenas passam do firewall para outro sistema.

FAQ

Qual é a diferença entre RADIUS e Active Directory no Sophos Firewall?

Active Directory é ligado diretamente como fonte de utilizadores e grupos. RADIUS é um protocolo de autenticação em que o firewall envia um pedido a um servidor RADIUS, como Microsoft NPS ou um sistema MFA. Em muitos ambientes, esse servidor continua a verificar Active Directory em segundo plano.

RADIUS também precisa de ser ativado em Authentication > Services?

Sim. Adicionar o servidor em Authentication > Servers não chega. O servidor RADIUS deve ser atribuído ao serviço correto em Authentication > Services, por exemplo VPN Portal, SSL VPN ou Captive Portal.

Porque é que Test connection funciona, mas o login VPN falha?

O teste de ligação verifica apenas a comunicação básica com o servidor RADIUS. O login VPN real depende também de Authentication Services, configuração VPN, grupos, timeouts, comportamento do cliente, regras firewall e possivelmente MFA.

Microsoft Entra MFA pode ser usado via RADIUS?

Sim, normalmente via Microsoft NPS com a extensão Entra MFA ou através de outro sistema MFA compatível com RADIUS. São importantes matching UPN, policy NPS, timeout, registo do utilizador e teste com o cliente VPN ou portal real.

Que porta usa Sophos Firewall para RADIUS?

Authentication usa normalmente 1812/UDP, Accounting usa 1813/UDP. Os valores podem ser alterados, mas têm de corresponder exatamente à contraparte e às regras firewall entre Sophos Firewall e o servidor RADIUS.