Hantera Sophos Firewall CAPTCHA för WebAdmin och User Portal
Sedan SFOS 18.0 MR3 kan Sophos Firewall visa en CAPTCHA för WebAdmin-inloggningen och för User Portal. Detta skydd infördes efter en säkerhetsrisk och är avsett att försvåra automatiska inloggningsförsök.
Du kan avaktivera eller återaktivera CAPTCHA via Device Console. Men detta bör bara ske medvetet. WebAdmin, User Portal, VPN Portal och SSH är en del av brandväggens direkta attackyta. Om dessa tjänster är tillgängliga från osäkra nätverk bör CAPTCHA inte vara den enda skyddsåtgärden och bör inte tas bort slarvigt.
Klassificering
CAPTCHA är inte en ersättning för en ren administrationsdesign i SFOS. Det är ett extra hinder innan vissa inloggningssidor. Det som fortfarande är avgörande är om dessa inloggningssidor måste vara tillgängliga från WAN, VPN, gästnätverk eller breda interna nätverk.
Vilka inloggningssidor som berörs
Enhetskonsolkommandona i den här artikeln styr CAPTCHA för två specifika inloggningssidor:
- WebAdmin-konsol:
webadminconsole. WebAdmin lokalt gränssnitt admin inloggning. - User Portal:
userportal. Användarportal för VPN-konfigurationer, OTP och användarfunktioner.
Sophos beskriver CAPTCHA för administratörer på WebAdmin och för lokala eller gästanvändare på User Portal vid åtkomst via WAN- eller VPN-gränssnitt. Detta är inte detsamma som att fullständigt säkra alla fjärråtkomsttjänster. VPN Portal, SSL VPN, IPsec, SSH, DNS, SNMP och andra lokala brandväggstjänster måste också styras via Administration > Device access, Local Service ACL, MFA, loggning och ett rent fjärråtkomstkoncept.
Portarna hjälper också vid bedömningen: WebAdmin använder som standard 4444, User Portal använder 4443 och VPN Portal använder 443. Sedan SFOS 20.0 är VPN Portal en separat tjänst. Vid uppgraderingar kan den tidigare User Portal-porten därför flyttas till VPN Portal, medan User Portal flyttas till 4443 eller, om porten inte är ledig, till 65040. Före ett CAPTCHA-test bör man därför alltid kontrollera vilken inloggningssida och vilken port som faktiskt öppnas.
Det dokumenterade standardvärdet för både globala och VPN-specifika kommandon är enabled. Om en inloggning från ett LAN-gränssnitt inte visar CAPTCHA är det inte automatiskt en felkonfiguration: Sophos kräver inte CAPTCHA för inloggningar från LAN. Lokala användare i detta sammanhang är Sophos Firewall-användare, inte användare från en extern autentiseringsserver som Active Directory.
Enligt Sophos är CAPTCHA inte tillgängligt på XG 85 och XG 85w. Om en sådan appliance inte visar CAPTCHA är det därför inte ett normalt avaktiveringsfall, utan en plattformsbegränsning.
Viktigt: Misslyckade CAPTCHA-försök är inte detsamma som misslyckade inloggningar. Om en CAPTCHA misslyckas innan du faktiskt loggar in bör du därför utvärdera inloggningslås, autentiseringsloggar och portalåtkomst separat.
För den grundläggande logiken för lokala brandväggstjänster är Device Access och Local Service ACL på Sophos Firewall den viktigaste anslutningsartikeln. Om det inte är klart om åtkomst kontrolleras via vanliga brandväggsregler eller via Device Access, Sophos Firewall-regeln gäller inte: kontrollera orsaker hjälper.
Vad den här artikeln inte täcker
Artikeln täcker endast den globala CAPTCHA-inställningen för WebAdmin-konsolen och User Portal. Detta ersätter inte förstärkning av fjärråtkomst och är inte en guide för att säkra SSL VPN, IPsec, Sophos Connect eller Microsoft Entra ID SSO.
När det gäller fjärråtkomst är andra frågor viktigare:
- Ställ in och testa SSL VPN: Sophos Firewall SSL VPN Installation av fjärråtkomst.
- Förbered Sophos Connect: Konfigurera Sophos Connect på Sophos Firewall.
- MFA för administratörer och fjärråtkomst: Aktivera MFA för Sophos Firewall WebAdmin, VPN Portal och fjärråtkomst.
- Begränsa portal- och tjänståtkomst: Konfigurera Device Access korrekt.
SPX Portal och andra portal- eller e-postfunktioner bör inte heller härledas från dessa kommandon. Med SPX-portalen förblir CAPTCHA aktiv och kan inte stängas av med dessa enhetskonsolkommandon.
När ska man inte inaktivera CAPTCHA
CAPTCHA bör förbli aktiv om något av dessa gäller:
- WebAdmin kan nås från
WANeller från breda interna nätverk. - User Portal är tillgänglig från Internet.
- VPN Portal eller SSL VPN är allmänt tillgängliga.
- MFA är inte konsekvent aktiverad för administratörer och användare med fjärråtkomst.
- Det finns många misslyckade inloggningsförsök i loggen.
- Det finns inget dedikerat ledningsnätverk.
- Tillgång till WebAdmin eller SSH är inte begränsad via Device Access.
CAPTCHA förhindrar inte riktade attacker och ersätter inte MFA. Det minskar dock automatiska inloggningsförsök och bakgrundsljud. Om CAPTCHA tas bort måste andra kontroller fungera korrekt.
Beslut och förberedelser
Lämna aktiv eller inaktivera tillfälligt?
I praktiken finns det få goda skäl att stänga av CAPTCHA. Detta beslut bör behandlas som en liten säkerhetsändring.
- WebAdmin eller User Portal är tillgänglig från Internet: Lämna CAPTCHA aktivt och kontrollera tillgänglighet, MFA och loggar först.
- Endast hanteringsnätverk eller admin VPN tillåts åtkomst: Tillfällig inaktivering kan vara motiverad om dokumenterad.
- Tillgänglighetsproblem med enskilda administratörer eller användare: Begränsa källan, lämna MFA aktiv och dokumentundantag.
- Automatiserat test i laboratoriemiljö: endast isolerat, inte för produktiva portaler.
- Supportärende med tidsbegränsad ändring: Spara statusen i förväg, återaktivera den efteråt eller dokumentera ett avsiktligt undantag.
Om motiveringen bara är “bekvämare” bör CAPTCHA inte inaktiveras. Det är bättre att utforma åtkomsten till WebAdmin eller User Portal på ett sådant sätt att auktoriserade användare har färre hinder, utan att inloggningssidan exponeras onödigt brett.
Bättre alternativ: minska tillgängligheten
Ofta är det faktiska problemet inte CAPTCHA, utan snarare en inloggningssida som är för allmänt tillgänglig. Om en portal bara används ibland är det oftast renare att minska tillgängligheten snarare än att ta bort ytterligare inloggningsskydd.
Typiska beslut:
- Administratörer bör nå WebAdmin utan offentligt inloggningsbrus: Tillåt endast WebAdmin från ledningsnätverket, admin VPN eller fast admin IP.
- Användare behöver bara User Portal för den första nedladdningen av VPN: Gör portalen tillgänglig under en begränsad tid eller endast från interna/VPN nätverk.
- Externt stöd behöver kortsiktig tillgång: Använd tillfällig Local Service ACL undantagsregel med granskningsdatum.
- CAPTCHA stör automatiserad labbtestning: avaktivera endast i en isolerad testmiljö, inte överförd till produktiva portaler.
Denna ordning är viktig: Minska först attackytan, bestäm sedan CAPTCHA. Om WebAdmin, User Portal eller VPN Portal förblir allmänt tillgängliga, bör avaktiveringen vara mycket väl motiverad och dessutom säkrad med MFA, loggning och regelbundna granskningar.
Kontrollera innan du inaktiverar
Innan du gör några ändringar bör dessa punkter kontrolleras:
- Device Access: Är WebAdmin eller User Portal endast tillgänglig från betrodda källor?
- MFA: Är MFA aktiv för WebAdmin, VPN Portal och fjärråtkomst?
- Loggning: Är misslyckade inloggningar och portalåtkomst kontrollerade?
- SSH-åtkomst: Är SSH endast tillåten tillfälligt eller från ett hanteringsnätverk?
- Tillbakagång: Är det klart hur man återaktiverar CAPTCHA om det behövs?
- Orsak: Finns det verkligen en teknisk orsak, såsom tillgänglighet, automatisering i ett isolerat labb eller ett tillfälligt supportscenario?
För åtkomstbegränsning är Konfigurera Device Access korrekt den centrala artikeln. För administratörs- och portalinloggningar bör MFA för Sophos Firewall WebAdmin, VPN Portal och aktivera fjärråtkomst också kontrolleras.
⚠️ Obs: CAPTCHA bör inte inaktiveras för att göra allmänt tillgängliga portaler mer bekväma. Minska först tillgängligheten, aktivera MFA och kontrollera loggar.
Ändring i Device Console
Öppna SSH och Device Console
CAPTCHA-inställningen ändras via Device Console. För detta behöver du SSH-åtkomst till brandväggen.
- Tillåt SSH åtkomst under Administration > Device access endast för en pålitlig källa.
- Anslut till användaren
adminvia SSH. - Öppna Device Console i konsolöversikten.
Instruktionerna Anslut Sophos Firewall via SSH beskriver säker SSH-åtkomst med macOS, Linux och Windows.
Efter ändringen bör SSH återigen begränsas till det nödvändiga minimumet. Följande system captcha-authentication-global-kommandon hör hemma i Device Console, inte i Advanced Shell. Om loggfiler kontrolleras med tail, grep eller less istället, är Advanced Shell korrekt. Skillnaden förklaras i Sophos Firewall Felsökning: Services och loggar.
Visa CAPTCHA status
Innan du gör några ändringar bör den aktuella statusen först kontrolleras.
För global inställning av WebAdmin:
system captcha-authentication-global show for webadminconsole
För global inställning av User Portal:
system captcha-authentication-global show for userportal
Kommandot visar om CAPTCHA är aktivt för respektive inloggningssida. Resultatet bör dokumenteras med datum, brandvägg, admin och anledning så att förändringen kan spåras senare.
Om inget medvetet undantag är dokumenterat bör det förväntade normalvärdet vara enabled.
Förändring globalt eller bara VPN-specifik?
De globala kommandona gäller för WebAdmin Console och User Portal via WAN eller VPN gränssnitt. Om du inaktiverar den kommer du också att åsidosätta den VPN-specifika CAPTCHA-inställningen.
Den säkra utgångspunkten är därför: behåll den globala inställningen enabled, kontrollera status med show och ändra bara den VPN-specifika inställningen vid ett tydligt VPN-specifikt fall.
Om problemet bara påverkar användare eller administratörer som har åtkomst via VPN, bör du först kontrollera om en VPN-specifik ändring är tillräcklig:
system captcha-authentication-vpn show for webadminconsole
system captcha-authentication-vpn show for userportal
En VPN-specifik inaktivering är smalare än en global inaktivering. Trots detta gäller även här: dokumentera orsaken, testa den riktiga inloggningen och bestäm medvetet igen efter supportärendet om CAPTCHA ska förbli aktiv.
Specialfall: IPsec-tunnel med Remote Subnet Any
Vid site-to-site-IPsec-anslutningar kan CAPTCHA slå till oväntat om en tunnel är konfigurerad med Remote Subnet Any. Då kan brandväggen behandla åtkomst via denna anslutning bredare än avsett. Det är särskilt relevant när administratörer eller lokala användare når WebAdmin eller User Portal via en site-to-site-tunnel.
Innan CAPTCHA ändras i sådana miljöer bör man kontrollera:
- Finns det policy-based IPsec-anslutningar med Remote Subnet
Any? - Går åtkomsten till WebAdmin eller User Portal via en site-to-site-tunnel?
- Är denna tunnel verkligen rätt hanteringsväg eller bara historiskt uppkommen?
- Räcker en riktad IPsec-route för enskilda remote hosts eller remote networks?
- Vore ett dedikerat management network eller admin-VPN renare?
Om endast vissa remote hosts eller nät berörs är en riktad IPsec-route ofta renare än att inaktivera CAPTCHA globalt. Förloppet beskrivs i Skapa IPsec-route på Sophos Firewall. En routingkorrigering ersätter ändå inte kontroll av Device Access, MFA och Log Viewer.
Inaktivera CAPTCHA för WebAdmin
Om CAPTCHA medvetet skulle avaktiveras för WebAdmin-inloggningen:
system captcha-authentication-global disable for webadminconsole
Om endast VPN-åtkomster påverkas, överväg det här smalare kommandot istället:
system captcha-authentication-vpn disable for webadminconsole
Du bör då omedelbart kontrollera:
- Testa WebAdmin-inloggningen från hanteringsnätverket.
- WebAdmin Testa inloggning från obehöriga nätverk.
- Kontrollera Log Viewer för misslyckade inloggningar.
- Kontrollera MFA för administratörer.
WebAdmin ska inte vara tillgänglig från någon källa. Om extern åtkomst är nödvändig är VPN, Sophos Central Brandväggshantering, en fast admin IP eller en Local Service ACL undantagsregel den bästa grunden.
Inaktivera CAPTCHA för User Portal
Om CAPTCHA medvetet skulle avaktiveras för User Portal:
system captcha-authentication-global disable for userportal
Om endast VPN-användare påverkas, överväg det här smalare kommandot istället:
system captcha-authentication-vpn disable for userportal
User Portal ska bara vara tillgänglig när den verkligen behövs, till exempel för VPN-konfigurationer, OTP-tokens eller användarfunktioner. I många miljöer krävs portalen en gång för installation och förblir sedan öppen i onödan.
Kontrollera efter ändring:
- Testa User Portal inloggning med en normal användare.
- Kontrollera MFA eller OTP-processen om den används.
- Kontrollera tillgängligheten från
WAN, VPN, LAN och gästnätverk. - Kontrollera misslyckade inloggningar i Log Viewer.
Om User Portal måste förbli allmänt tillgänglig bör MFA, starka lösenord, loggning, begränsade källor och, om nödvändigt, Sophos Firewall Threat Feeds kontrolleras.
Återaktivera CAPTCHA
För WebAdmin:
system captcha-authentication-global enable for webadminconsole
För User Portal:
system captcha-authentication-global enable for userportal
För VPN specifik inställning:
system captcha-authentication-vpn enable for webadminconsole
system captcha-authentication-vpn enable for userportal
Efter aktivering bör du visa status igen:
system captcha-authentication-global show for webadminconsole
system captcha-authentication-global show for userportal
system captcha-authentication-vpn show for webadminconsole
system captcha-authentication-vpn show for userportal
Om CAPTCHA avaktiverades på grund av ett supportärende, bör det återaktiveras efter att ärendet stängts eller så ska inaktiveringen medvetet dokumenteras.
Efterbesiktning och drift
Efterbesiktning efter ändringen
Efter en CAPTCHA-ändring bör du inte bara köra kommandot show. Det avgörande är om den berörda inloggningssidan fortfarande bara kan nås från de avsedda nätverken och om inloggningshändelserna förblir spårbara.
Användbar uppföljningskontroll:
- Kontrollera status för WebAdmin och User Portal med
show. - Öppna Administration > Device access och kontrollera tillåtna zoner för WebAdmin, User Portal, SSH, VPN Portal och SSL VPN.
- Testa WebAdmin eller User Portal från ett tillåtet nätverk.
- Testa åtkomst från ett obehörigt nätverk om detta är möjligt utan risk.
- Kontrollera misslyckade och lyckade inloggningshändelser i Log Viewer.
- Styr MFA separat för administratörer och användare med fjärråtkomst.
- Ta bort eller begränsa SSH-åtkomsten strikt igen efter ändringen.
Om inloggningssidan förblir tillgänglig från WAN bör avaktivering ses särskilt kritiskt. I det här fallet är MFA, strikta källbegränsningar, loggning och en regelbunden granskning obligatoriska. Det är vanligtvis ännu bättre att inte göra WebAdmin eller User Portal allmänt tillgängliga från Internet.
Bedöm dessutom Administration > Admin and user settings > Login security separat. Enligt Sophos utlöser misslyckade CAPTCHA-försök ingen inloggningsblockering. Verkliga misslyckade inloggningar kan däremot, beroende på inställning, blockera åtkomst till WebAdmin, CLI, VPN Portal och User Portal från källans IP-adress. I Log Viewer bör man därför skilja mellan ett misslyckat CAPTCHA och en faktiskt misslyckad inloggning.
Dokumentera ändringar på ett begripligt sätt
Vid säkerhetsrelevanta ändringar bör det senare framgå varför CAPTCHA avaktiverades och om ändringen fortfarande är nödvändig. Det räcker ofta med en kort ingång i växlings- eller biljettsystemet.
Dokumentera:
- Utgångsstatus för WebAdmin och User Portal.
- Anledning till bytet.
- Berörd brandvägg och SFOS version.
- Tid, utföra admin och planerad demontering.
- Vilka åtkomstbegränsningar och MFA-kontroller är aktiva under denna tid.
- Resultat av uppföljningsinspektionen i Log Viewer.
Om flera administratörer arbetar på brandväggen är Sophos Firewall Audit Trail också till hjälp. Sophos Firewall Felsökning: Services och loggar är lämplig för felsökning av inloggning och service.
Rekommenderade skyddsåtgärder
Om CAPTCHA är inaktiverat bör åtminstone dessa kontroller vara på plats:
- WebAdmin kan endast nås från förvaltningsnätverket, admin VPN eller fast admin IP.
- SSH endast tillåten vid behov och endast från betrodda källor.
- MFA aktiv för administratörer.
- User Portal endast tillgänglig där det behövs.
- VPN Portal och SSL VPN säkrade med MFA och loggning.
- Misslyckade inloggningar kontrolleras regelbundet.
- Externa portaler reduceras av Device Access, Local Service ACL, landsblockering eller hotflöden.
För allmänt tillgängliga tjänster är Sophos Firewall: Blockera länder och skadliga IP-adresser också lämplig. För en bredare säkerhetskontroll, Sophos Firewall Använd Health Check korrekt hjälper.
Typiska fel och felsökning
- Inaktivera CAPTCHA eftersom det är obekvämt: Inloggningsgränssnitt attackeras lättare automatiskt. Begränsa åtkomst och aktivera MFA.
- Lämna WebAdmin tillgänglig från WAN: direkt förvaltning attack yta. Använd Management IP, VPN eller Central Management.
- Lämna User Portal permanent öppen: onödigt mål för bots och brute force. Gör portalen endast tillgänglig vid behov.
- SSH lämna öppet efter byte: CLI-åtkomst förblir exponerad. SSH begränsa eller inaktivera igen.
- Dokumentera inte status: senare examen kommer att bli svårt. före och efter körning
show. - fel konsol används: Kommandot känns inte igen. i SSH menyval öppna Device Console.
- VPN Portal förväxlas med User Portal: falska förväntningar på CAPTCHA beteende. Kontrollera påverkad inloggningssida och enhetsåtkomsttjänst separat.
- User Portal delar port med SSL VPN: CAPTCHA visas inte som förväntat för User Portal eller så testas fel tjänst. planera unik portal och VPN-portar och testa med riktig användare.
- Ändring förblir aktiv efter supportärende: Skyddet är permanent reducerat. Dokumentera nedmonteringstiden och granska i biljetten.
Vanliga frågor
Är det farligt att inaktivera CAPTCHA på Sophos Firewall?
Ersätter CAPTCHA MFA?
Kan du ändra CAPTCHA endast för WebAdmin eller endast för användarportalen?
webadminconsole och userportal.
