Configurar servidor RADIUS no Sophos Firewall
RADIUS é uma ponte importante entre Sophos Firewall e serviços de autenticação existentes. Exemplos típicos são Microsoft NPS, um gateway MFA, um Identity Provider com interface RADIUS ou uma plataforma central de autenticação já usada para VPN, Wi-Fi ou outros serviços de rede.
Este artigo explica como adicionar um servidor RADIUS em Authentication > Servers, quais os campos importantes, como preparar Microsoft NPS como contraparte e como testar a configuração. Para consultas clássicas de utilizadores e grupos de um domínio Windows, muitas vezes é mais adequado ligar Active Directory ao Sophos Firewall. Para cenários modernos de Remote Access, Microsoft Entra ID SSO para Sophos Connect e VPN Portal também pode ser melhor.
Quando RADIUS faz sentido
RADIUS é útil quando o Sophos Firewall não deve assumir toda a lógica de identidade. O firewall envia um pedido ao servidor RADIUS. O servidor RADIUS decide se utilizador, palavra-passe, condição de grupo, MFA ou policy correspondem.
Casos típicos:
- Remote Access VPN com Microsoft NPS.
- Solução MFA externa via RADIUS.
- Autenticação central para VPN Portal, SSL VPN, IPsec Remote Access ou Captive Portal.
- Solução de transição quando AD/LDAP não deve ser ligado diretamente ao firewall.
- Ambientes mistos com vários dispositivos de rede que usam o mesmo serviço RADIUS.
RADIUS não substitui regras de acesso bem definidas. Depois da autenticação, regras firewall, zonas VPN, grupos, pools IP e logging continuam a ter de corresponder. Para Remote Access, consultar configurar Sophos Firewall SSL VPN Remote Access; para designs MFA, ativar MFA para Sophos Firewall WebAdmin, VPN Portal e Remote Access.
Planear antes da configuração
Antes de clicar em Add, deve estar claro qual é o papel do RADIUS. Caso contrário, o teste de ligação pode funcionar, mas o login produtivo falhar mais tarde por serviço, grupo ou timeout errado.
Fonte de identidade e contraparte
Em ambientes Microsoft, RADIUS é frequentemente um servidor Microsoft NPS. O NPS pode validar utilizadores contra Active Directory, avaliar Network Policies e escrever accounting. Na prática, Sophos Firewall é o RADIUS client e o servidor NPS é o RADIUS server.
Papéis:
- Sophos Firewall: envia o pedido de autenticação.
- Servidor RADIUS: verifica utilizador, palavra-passe, policy e opcionalmente MFA.
- Active Directory ou Identity Provider: fornece utilizadores e grupos em segundo plano.
- Regra firewall ou configuração VPN: decide para onde o utilizador pode aceder depois do login.
Caminho de rede e portas
O servidor RADIUS deve ser alcançável a partir do firewall.
| Finalidade | Porta padrão | Direção |
|---|---|---|
| Authentication | 1812/UDP | Sophos Firewall para servidor RADIUS |
| Accounting | 1813/UDP | Sophos Firewall para servidor RADIUS |
Ambientes antigos ou produtos específicos podem ainda usar 1645/UDP e 1646/UDP. Usar apenas se a contraparte realmente o exigir.
Shared secret e timeouts
O Shared secret é o segredo técnico comum entre firewall e servidor RADIUS. Não é uma palavra-passe de utilizador. A Sophos indica para este campo um limite de 48 caracteres.
O timeout deve ajustar-se ao caso de uso. Para uma simples verificação de palavra-passe, um valor curto costuma chegar. Com Push-MFA, chamada telefónica ou challenge externo, um timeout demasiado curto pode interromper o login apesar de utilizador e palavra-passe corretos. A Sophos permite valores Time-out de 1 a 60 segundos.
Adicionar o servidor RADIUS no Sophos Firewall
Caminho:
Authentication > Servers
Procedimento:
- Abrir Add.
- Em Server type, selecionar RADIUS server.
- Definir um Server name claro, por exemplo
NPS-HQ-RADIUSouMFA-RADIUS. - Em Server IP, inserir o endereço IP do servidor RADIUS.
- Verificar Authentication port, normalmente
1812. - Definir Time-out. Para logins simples,
3a5segundos podem chegar; para MFA, escolher mais alto conforme o fornecedor. - Ativar Enable accounting apenas se o servidor RADIUS deve processar accounting.
- Se accounting estiver ativo, verificar Accounting port, normalmente
1813. - Inserir o Shared secret exatamente como no servidor RADIUS.
- Opcionalmente definir Domain name, sobretudo quando AD e RADIUS são usados em paralelo.
- Opcionalmente inserir Group name attribute se o servidor RADIUS devolver informações de grupo utilizáveis.
- Se necessário, abrir Enable additional settings e definir NAS-identifier ou NAS-port-type.
- Executar Test connection com um utilizador de teste real.
- Guardar.
O teste de ligação confirma a comunicação básica. Não prova que VPN Portal, SSL VPN, IPsec Remote Access, Captive Portal ou WebAdmin funcionem no fluxo produtivo. Estes serviços devem ser testados separadamente.
Definir Domain name conscientemente
O campo Domain name é importante em ambientes mistos. Se RADIUS funciona sem domínio e Active Directory cria utilizadores com domínio, podem surgir entradas locais duplicadas.
Quando AD e RADIUS são usados em paralelo, deve definir-se um Domain name adequado e verificar em Authentication > Users como os novos utilizadores aparecem.
Não adivinhar Group name attribute
O Group name attribute tem de corresponder à contraparte. Com NPS ou integrações MFA, depende dos atributos que o servidor RADIUS realmente devolve e de como o firewall deve avaliá-los.
Se o grupo é importante, testar todo o fluxo:
- Fazer login no portal ou VPN de destino.
- Verificar em Authentication > Users se o utilizador aparece com o grupo esperado.
- No Log Viewer, verificar que regra firewall e que utilizador aparecem para o tráfego.
- Com NPS, verificar também Event Viewer e Network Policy.
Preparar Microsoft NPS como contraparte
Se Microsoft NPS for usado, o Sophos Firewall deve ser registado no servidor NPS como RADIUS client. Na consola NPS, isto fica em RADIUS Clients and Servers > RADIUS Clients.
Fluxo mínimo:
- Abrir Network Policy Server.
- Abrir RADIUS Clients and Servers > RADIUS Clients.
- Criar um New RADIUS Client.
- Inserir um Friendly name, por exemplo
Sophos-Firewall-HQ. - Em Address (IP or DNS), inserir o IP do Sophos Firewall que envia os pedidos RADIUS.
- Usar normalmente RADIUS standard como Vendor.
- Inserir o mesmo Shared secret que no Sophos Firewall.
- Criar ou verificar Connection Request Policy e Network Policy.
- Preparar Event Viewer e logs NPS para os testes.
Em clusters HA ou com vários firewalls, é preciso verificar que IP de origem o NPS vê. Se o NPS vê outro IP que não o RADIUS client configurado, o pedido é rejeitado ou não corresponde à policy esperada.
Ativar RADIUS para serviços firewall
Depois de guardar, o servidor RADIUS não fica automaticamente ativo para todos os logins. A atribuição é feita em:
Authentication > Services
Decidir por serviço:
- Firewall authentication methods: autenticação geral do firewall.
- VPN portal authentication methods: login no VPN Portal.
- SSL VPN authentication methods: login SSL VPN.
- VPN (IPsec/dial-in/L2TP/PPTP) authentication methods: métodos relevantes de Remote Access VPN.
- Captive portal authentication methods: login Captive Portal.
A ordem dos servidores é importante. Se vários servidores estiverem selecionados, o firewall consulta-os na ordem configurada. Isto pode ser desejado, mas também pode fazer com que utilizadores sejam autenticados por AD em vez de RADIUS e MFA não seja aplicado.
Validar depois de guardar
Um bom teste tem vários níveis. Test connection sozinho não chega.
Teste de ligação
Abrir o servidor RADIUS em Authentication > Servers e executar Test connection com um utilizador de teste. Se falhar, verificar primeiro caminho de rede, IP de origem, Shared Secret, cliente NPS, porta e palavra-passe do utilizador.
Teste do serviço
Depois testar o fluxo real:
- Abrir VPN Portal com o utilizador de teste.
- Fazer login por SSL VPN ou Sophos Connect com um perfil de teste.
- Testar Captive Portal se for usado.
- Para acesso administrativo, verificar permissões locais, papel e autenticação.
Com RADIUS-MFA, o challenge ou push completo deve ser testado com o cliente real. Um teste de servidor bem-sucedido não prova que Sophos Connect, VPN Portal ou WebAdmin tratem o challenge da mesma forma.
Verificar logs
Locais importantes:
- Log Viewer no Sophos Firewall para decisões de autenticação e tráfego.
- Authentication > Users para utilizadores criados automaticamente e grupos.
- NPS Event Viewer no Windows para pedidos aceites ou rejeitados.
- Logs do fornecedor RADIUS ou MFA, se houver terceiro envolvido.
- Logs das regras firewall se o login funciona, mas o tráfego não é permitido.
Se o utilizador está autenticado mas não alcança aplicações, RADIUS normalmente já não é a primeira causa. Verificar zona VPN, pool IP, regra firewall, condição de grupo, NAT e routing. Para essa parte, usar Sophos Firewall: verificar porque uma regra não corresponde.
Erros típicos
Test connection falha
Causas comuns são IP de origem errado, Shared Secret errado, porta UDP bloqueada, RADIUS client em falta no NPS ou uma policy NPS que não permite o utilizador de teste. No Windows, Event Viewer mostra se o pedido chega.
Test connection funciona, mas o login VPN não
O servidor RADIUS está acessível, mas o serviço provavelmente não está configurado corretamente para RADIUS. Em Authentication > Services, verificar o servidor para VPN Portal, SSL VPN ou IPsec Remote Access e a sua posição.
O push MFA chega tarde ou não chega
Com MFA externa, timeouts são frequentemente decisivos. Timeout do Sophos Firewall, policy NPS, gateway MFA e cliente têm de combinar. Para Push-MFA ou chamada telefónica, não começar com três segundos demasiado agressivos.
O utilizador é criado duas vezes
Isto acontece muitas vezes quando AD e RADIUS são usados em paralelo e RADIUS funciona sem Domain name. Verificar Domain name, formato de login e ordem dos servidores.
O login funciona, mas a regra não corresponde
Verificar matching de utilizador e grupo: grupo importado, entrada local do utilizador, posição da regra, source zone, pool IP VPN e tráfego real no Log Viewer.
Operação e segurança
RADIUS deve ser operado como um serviço de identidade produtivo. Se o servidor RADIUS falhar, Remote Access ou acesso a portais podem ser afetados.
Pontos importantes:
- Documentar o Shared Secret de forma segura e rodá-lo conscientemente após mudanças de pessoal ou fornecedor.
- Reter logs NPS ou RADIUS tempo suficiente.
- Monitorizar o servidor RADIUS, não apenas o firewall.
- Testar timeouts MFA por tipo de cliente e portal.
- Definir acesso admin de fallback, mas não o expor amplamente.
- Após alterações em AD, NPS, fornecedor MFA ou serviços firewall, testar um login real.
RADIUS é um bom componente quando é operado corretamente. Sem monitoring, atribuição clara de servidores e testes reais de serviço, os problemas de login apenas passam do firewall para outro sistema.
FAQ
Qual é a diferença entre RADIUS e Active Directory no Sophos Firewall?
RADIUS também precisa de ser ativado em Authentication > Services?
Porque é que Test connection funciona, mas o login VPN falha?
Microsoft Entra MFA pode ser usado via RADIUS?
Que porta usa Sophos Firewall para RADIUS?
1812/UDP, Accounting usa 1813/UDP. Os valores podem ser alterados, mas têm de corresponder exatamente à contraparte e às regras firewall entre Sophos Firewall e o servidor RADIUS.