Hoppa till innehållet
Avanet

Hantera Sophos Firewall CAPTCHA för WebAdmin och User Portal

Sedan SFOS 18.0 MR3 kan Sophos Firewall visa en CAPTCHA för WebAdmin-inloggningen och för User Portal. Detta skydd infördes efter en säkerhetsrisk och är avsett att försvåra automatiska inloggningsförsök.

Du kan avaktivera eller återaktivera CAPTCHA via Device Console. Men detta bör bara ske medvetet. WebAdmin, User Portal, VPN Portal och SSH är en del av brandväggens direkta attackyta. Om dessa tjänster är tillgängliga från osäkra nätverk bör CAPTCHA inte vara den enda skyddsåtgärden och bör inte tas bort slarvigt.

Sophos Firewall WebAdmin-inloggning med CAPTCHA
Sophos Firewall WebAdmin-inloggning med CAPTCHA
Sophos Firewall User Portal Login med CAPTCHA
Sophos Firewall User Portal Login med CAPTCHA

Klassificering

CAPTCHA är inte en ersättning för en ren administrationsdesign i SFOS. Det är ett extra hinder innan vissa inloggningssidor. Det som fortfarande är avgörande är om dessa inloggningssidor måste vara tillgängliga från WAN, VPN, gästnätverk eller breda interna nätverk.

Vilka inloggningssidor som berörs

Enhetskonsolkommandona i den här artikeln styr CAPTCHA för två specifika inloggningssidor:

  • WebAdmin-konsol: webadminconsole. WebAdmin lokalt gränssnitt admin inloggning.
  • User Portal: userportal. Användarportal för VPN-konfigurationer, OTP och användarfunktioner.

Sophos beskriver CAPTCHA för administratörer på WebAdmin och för lokala eller gästanvändare på User Portal vid åtkomst via WAN- eller VPN-gränssnitt. Detta är inte detsamma som att fullständigt säkra alla fjärråtkomsttjänster. VPN Portal, SSL VPN, IPsec, SSH, DNS, SNMP och andra lokala brandväggstjänster måste också styras via Administration > Device access, Local Service ACL, MFA, loggning och ett rent fjärråtkomstkoncept.

Portarna hjälper också vid bedömningen: WebAdmin använder som standard 4444, User Portal använder 4443 och VPN Portal använder 443. Sedan SFOS 20.0 är VPN Portal en separat tjänst. Vid uppgraderingar kan den tidigare User Portal-porten därför flyttas till VPN Portal, medan User Portal flyttas till 4443 eller, om porten inte är ledig, till 65040. Före ett CAPTCHA-test bör man därför alltid kontrollera vilken inloggningssida och vilken port som faktiskt öppnas.

Det dokumenterade standardvärdet för både globala och VPN-specifika kommandon är enabled. Om en inloggning från ett LAN-gränssnitt inte visar CAPTCHA är det inte automatiskt en felkonfiguration: Sophos kräver inte CAPTCHA för inloggningar från LAN. Lokala användare i detta sammanhang är Sophos Firewall-användare, inte användare från en extern autentiseringsserver som Active Directory.

Enligt Sophos är CAPTCHA inte tillgängligt på XG 85 och XG 85w. Om en sådan appliance inte visar CAPTCHA är det därför inte ett normalt avaktiveringsfall, utan en plattformsbegränsning.

Viktigt: Misslyckade CAPTCHA-försök är inte detsamma som misslyckade inloggningar. Om en CAPTCHA misslyckas innan du faktiskt loggar in bör du därför utvärdera inloggningslås, autentiseringsloggar och portalåtkomst separat.

För den grundläggande logiken för lokala brandväggstjänster är Device Access och Local Service ACL på Sophos Firewall den viktigaste anslutningsartikeln. Om det inte är klart om åtkomst kontrolleras via vanliga brandväggsregler eller via Device Access, Sophos Firewall-regeln gäller inte: kontrollera orsaker hjälper.

Vad den här artikeln inte täcker

Artikeln täcker endast den globala CAPTCHA-inställningen för WebAdmin-konsolen och User Portal. Detta ersätter inte förstärkning av fjärråtkomst och är inte en guide för att säkra SSL VPN, IPsec, Sophos Connect eller Microsoft Entra ID SSO.

När det gäller fjärråtkomst är andra frågor viktigare:

SPX Portal och andra portal- eller e-postfunktioner bör inte heller härledas från dessa kommandon. Med SPX-portalen förblir CAPTCHA aktiv och kan inte stängas av med dessa enhetskonsolkommandon.

När ska man inte inaktivera CAPTCHA

CAPTCHA bör förbli aktiv om något av dessa gäller:

  • WebAdmin kan nås från WAN eller från breda interna nätverk.
  • User Portal är tillgänglig från Internet.
  • VPN Portal eller SSL VPN är allmänt tillgängliga.
  • MFA är inte konsekvent aktiverad för administratörer och användare med fjärråtkomst.
  • Det finns många misslyckade inloggningsförsök i loggen.
  • Det finns inget dedikerat ledningsnätverk.
  • Tillgång till WebAdmin eller SSH är inte begränsad via Device Access.

CAPTCHA förhindrar inte riktade attacker och ersätter inte MFA. Det minskar dock automatiska inloggningsförsök och bakgrundsljud. Om CAPTCHA tas bort måste andra kontroller fungera korrekt.

Beslut och förberedelser

Lämna aktiv eller inaktivera tillfälligt?

I praktiken finns det få goda skäl att stänga av CAPTCHA. Detta beslut bör behandlas som en liten säkerhetsändring.

  • WebAdmin eller User Portal är tillgänglig från Internet: Lämna CAPTCHA aktivt och kontrollera tillgänglighet, MFA och loggar först.
  • Endast hanteringsnätverk eller admin VPN tillåts åtkomst: Tillfällig inaktivering kan vara motiverad om dokumenterad.
  • Tillgänglighetsproblem med enskilda administratörer eller användare: Begränsa källan, lämna MFA aktiv och dokumentundantag.
  • Automatiserat test i laboratoriemiljö: endast isolerat, inte för produktiva portaler.
  • Supportärende med tidsbegränsad ändring: Spara statusen i förväg, återaktivera den efteråt eller dokumentera ett avsiktligt undantag.

Om motiveringen bara är “bekvämare” bör CAPTCHA inte inaktiveras. Det är bättre att utforma åtkomsten till WebAdmin eller User Portal på ett sådant sätt att auktoriserade användare har färre hinder, utan att inloggningssidan exponeras onödigt brett.

Bättre alternativ: minska tillgängligheten

Ofta är det faktiska problemet inte CAPTCHA, utan snarare en inloggningssida som är för allmänt tillgänglig. Om en portal bara används ibland är det oftast renare att minska tillgängligheten snarare än att ta bort ytterligare inloggningsskydd.

Typiska beslut:

  • Administratörer bör nå WebAdmin utan offentligt inloggningsbrus: Tillåt endast WebAdmin från ledningsnätverket, admin VPN eller fast admin IP.
  • Användare behöver bara User Portal för den första nedladdningen av VPN: Gör portalen tillgänglig under en begränsad tid eller endast från interna/VPN nätverk.
  • Externt stöd behöver kortsiktig tillgång: Använd tillfällig Local Service ACL undantagsregel med granskningsdatum.
  • CAPTCHA stör automatiserad labbtestning: avaktivera endast i en isolerad testmiljö, inte överförd till produktiva portaler.

Denna ordning är viktig: Minska först attackytan, bestäm sedan CAPTCHA. Om WebAdmin, User Portal eller VPN Portal förblir allmänt tillgängliga, bör avaktiveringen vara mycket väl motiverad och dessutom säkrad med MFA, loggning och regelbundna granskningar.

Kontrollera innan du inaktiverar

Innan du gör några ändringar bör dessa punkter kontrolleras:

  1. Device Access: Är WebAdmin eller User Portal endast tillgänglig från betrodda källor?
  2. MFA: Är MFA aktiv för WebAdmin, VPN Portal och fjärråtkomst?
  3. Loggning: Är misslyckade inloggningar och portalåtkomst kontrollerade?
  4. SSH-åtkomst: Är SSH endast tillåten tillfälligt eller från ett hanteringsnätverk?
  5. Tillbakagång: Är det klart hur man återaktiverar CAPTCHA om det behövs?
  6. Orsak: Finns det verkligen en teknisk orsak, såsom tillgänglighet, automatisering i ett isolerat labb eller ett tillfälligt supportscenario?

För åtkomstbegränsning är Konfigurera Device Access korrekt den centrala artikeln. För administratörs- och portalinloggningar bör MFA för Sophos Firewall WebAdmin, VPN Portal och aktivera fjärråtkomst också kontrolleras.

⚠️ Obs: CAPTCHA bör inte inaktiveras för att göra allmänt tillgängliga portaler mer bekväma. Minska först tillgängligheten, aktivera MFA och kontrollera loggar.

Ändring i Device Console

Öppna SSH och Device Console

CAPTCHA-inställningen ändras via Device Console. För detta behöver du SSH-åtkomst till brandväggen.

  1. Tillåt SSH åtkomst under Administration > Device access endast för en pålitlig källa.
  2. Anslut till användaren admin via SSH.
  3. Öppna Device Console i konsolöversikten.

Instruktionerna Anslut Sophos Firewall via SSH beskriver säker SSH-åtkomst med macOS, Linux och Windows.

Efter ändringen bör SSH återigen begränsas till det nödvändiga minimumet. Följande system captcha-authentication-global-kommandon hör hemma i Device Console, inte i Advanced Shell. Om loggfiler kontrolleras med tail, grep eller less istället, är Advanced Shell korrekt. Skillnaden förklaras i Sophos Firewall Felsökning: Services och loggar.

Visa CAPTCHA status

Innan du gör några ändringar bör den aktuella statusen först kontrolleras.

För global inställning av WebAdmin:

system captcha-authentication-global show for webadminconsole

För global inställning av User Portal:

system captcha-authentication-global show for userportal

Kommandot visar om CAPTCHA är aktivt för respektive inloggningssida. Resultatet bör dokumenteras med datum, brandvägg, admin och anledning så att förändringen kan spåras senare.

Om inget medvetet undantag är dokumenterat bör det förväntade normalvärdet vara enabled.

Förändring globalt eller bara VPN-specifik?

De globala kommandona gäller för WebAdmin Console och User Portal via WAN eller VPN gränssnitt. Om du inaktiverar den kommer du också att åsidosätta den VPN-specifika CAPTCHA-inställningen.

Den säkra utgångspunkten är därför: behåll den globala inställningen enabled, kontrollera status med show och ändra bara den VPN-specifika inställningen vid ett tydligt VPN-specifikt fall.

Om problemet bara påverkar användare eller administratörer som har åtkomst via VPN, bör du först kontrollera om en VPN-specifik ändring är tillräcklig:

system captcha-authentication-vpn show for webadminconsole
system captcha-authentication-vpn show for userportal

En VPN-specifik inaktivering är smalare än en global inaktivering. Trots detta gäller även här: dokumentera orsaken, testa den riktiga inloggningen och bestäm medvetet igen efter supportärendet om CAPTCHA ska förbli aktiv.

Specialfall: IPsec-tunnel med Remote Subnet Any

Vid site-to-site-IPsec-anslutningar kan CAPTCHA slå till oväntat om en tunnel är konfigurerad med Remote Subnet Any. Då kan brandväggen behandla åtkomst via denna anslutning bredare än avsett. Det är särskilt relevant när administratörer eller lokala användare når WebAdmin eller User Portal via en site-to-site-tunnel.

Innan CAPTCHA ändras i sådana miljöer bör man kontrollera:

  • Finns det policy-based IPsec-anslutningar med Remote Subnet Any?
  • Går åtkomsten till WebAdmin eller User Portal via en site-to-site-tunnel?
  • Är denna tunnel verkligen rätt hanteringsväg eller bara historiskt uppkommen?
  • Räcker en riktad IPsec-route för enskilda remote hosts eller remote networks?
  • Vore ett dedikerat management network eller admin-VPN renare?

Om endast vissa remote hosts eller nät berörs är en riktad IPsec-route ofta renare än att inaktivera CAPTCHA globalt. Förloppet beskrivs i Skapa IPsec-route på Sophos Firewall. En routingkorrigering ersätter ändå inte kontroll av Device Access, MFA och Log Viewer.

Inaktivera CAPTCHA för WebAdmin

Om CAPTCHA medvetet skulle avaktiveras för WebAdmin-inloggningen:

system captcha-authentication-global disable for webadminconsole

Om endast VPN-åtkomster påverkas, överväg det här smalare kommandot istället:

system captcha-authentication-vpn disable for webadminconsole

Du bör då omedelbart kontrollera:

  1. Testa WebAdmin-inloggningen från hanteringsnätverket.
  2. WebAdmin Testa inloggning från obehöriga nätverk.
  3. Kontrollera Log Viewer för misslyckade inloggningar.
  4. Kontrollera MFA för administratörer.

WebAdmin ska inte vara tillgänglig från någon källa. Om extern åtkomst är nödvändig är VPN, Sophos Central Brandväggshantering, en fast admin IP eller en Local Service ACL undantagsregel den bästa grunden.

Inaktivera CAPTCHA för User Portal

Om CAPTCHA medvetet skulle avaktiveras för User Portal:

system captcha-authentication-global disable for userportal

Om endast VPN-användare påverkas, överväg det här smalare kommandot istället:

system captcha-authentication-vpn disable for userportal

User Portal ska bara vara tillgänglig när den verkligen behövs, till exempel för VPN-konfigurationer, OTP-tokens eller användarfunktioner. I många miljöer krävs portalen en gång för installation och förblir sedan öppen i onödan.

Kontrollera efter ändring:

  1. Testa User Portal inloggning med en normal användare.
  2. Kontrollera MFA eller OTP-processen om den används.
  3. Kontrollera tillgängligheten från WAN, VPN, LAN och gästnätverk.
  4. Kontrollera misslyckade inloggningar i Log Viewer.

Om User Portal måste förbli allmänt tillgänglig bör MFA, starka lösenord, loggning, begränsade källor och, om nödvändigt, Sophos Firewall Threat Feeds kontrolleras.

Återaktivera CAPTCHA

För WebAdmin:

system captcha-authentication-global enable for webadminconsole

För User Portal:

system captcha-authentication-global enable for userportal

För VPN specifik inställning:

system captcha-authentication-vpn enable for webadminconsole
system captcha-authentication-vpn enable for userportal

Efter aktivering bör du visa status igen:

system captcha-authentication-global show for webadminconsole
system captcha-authentication-global show for userportal
system captcha-authentication-vpn show for webadminconsole
system captcha-authentication-vpn show for userportal

Om CAPTCHA avaktiverades på grund av ett supportärende, bör det återaktiveras efter att ärendet stängts eller så ska inaktiveringen medvetet dokumenteras.

Efterbesiktning och drift

Efterbesiktning efter ändringen

Efter en CAPTCHA-ändring bör du inte bara köra kommandot show. Det avgörande är om den berörda inloggningssidan fortfarande bara kan nås från de avsedda nätverken och om inloggningshändelserna förblir spårbara.

Användbar uppföljningskontroll:

  1. Kontrollera status för WebAdmin och User Portal med show.
  2. Öppna Administration > Device access och kontrollera tillåtna zoner för WebAdmin, User Portal, SSH, VPN Portal och SSL VPN.
  3. Testa WebAdmin eller User Portal från ett tillåtet nätverk.
  4. Testa åtkomst från ett obehörigt nätverk om detta är möjligt utan risk.
  5. Kontrollera misslyckade och lyckade inloggningshändelser i Log Viewer.
  6. Styr MFA separat för administratörer och användare med fjärråtkomst.
  7. Ta bort eller begränsa SSH-åtkomsten strikt igen efter ändringen.

Om inloggningssidan förblir tillgänglig från WAN bör avaktivering ses särskilt kritiskt. I det här fallet är MFA, strikta källbegränsningar, loggning och en regelbunden granskning obligatoriska. Det är vanligtvis ännu bättre att inte göra WebAdmin eller User Portal allmänt tillgängliga från Internet.

Bedöm dessutom Administration > Admin and user settings > Login security separat. Enligt Sophos utlöser misslyckade CAPTCHA-försök ingen inloggningsblockering. Verkliga misslyckade inloggningar kan däremot, beroende på inställning, blockera åtkomst till WebAdmin, CLI, VPN Portal och User Portal från källans IP-adress. I Log Viewer bör man därför skilja mellan ett misslyckat CAPTCHA och en faktiskt misslyckad inloggning.

Dokumentera ändringar på ett begripligt sätt

Vid säkerhetsrelevanta ändringar bör det senare framgå varför CAPTCHA avaktiverades och om ändringen fortfarande är nödvändig. Det räcker ofta med en kort ingång i växlings- eller biljettsystemet.

Dokumentera:

  • Utgångsstatus för WebAdmin och User Portal.
  • Anledning till bytet.
  • Berörd brandvägg och SFOS version.
  • Tid, utföra admin och planerad demontering.
  • Vilka åtkomstbegränsningar och MFA-kontroller är aktiva under denna tid.
  • Resultat av uppföljningsinspektionen i Log Viewer.

Om flera administratörer arbetar på brandväggen är Sophos Firewall Audit Trail också till hjälp. Sophos Firewall Felsökning: Services och loggar är lämplig för felsökning av inloggning och service.

Rekommenderade skyddsåtgärder

Om CAPTCHA är inaktiverat bör åtminstone dessa kontroller vara på plats:

  • WebAdmin kan endast nås från förvaltningsnätverket, admin VPN eller fast admin IP.
  • SSH endast tillåten vid behov och endast från betrodda källor.
  • MFA aktiv för administratörer.
  • User Portal endast tillgänglig där det behövs.
  • VPN Portal och SSL VPN säkrade med MFA och loggning.
  • Misslyckade inloggningar kontrolleras regelbundet.
  • Externa portaler reduceras av Device Access, Local Service ACL, landsblockering eller hotflöden.

För allmänt tillgängliga tjänster är Sophos Firewall: Blockera länder och skadliga IP-adresser också lämplig. För en bredare säkerhetskontroll, Sophos Firewall Använd Health Check korrekt hjälper.

Typiska fel och felsökning

  • Inaktivera CAPTCHA eftersom det är obekvämt: Inloggningsgränssnitt attackeras lättare automatiskt. Begränsa åtkomst och aktivera MFA.
  • Lämna WebAdmin tillgänglig från WAN: direkt förvaltning attack yta. Använd Management IP, VPN eller Central Management.
  • Lämna User Portal permanent öppen: onödigt mål för bots och brute force. Gör portalen endast tillgänglig vid behov.
  • SSH lämna öppet efter byte: CLI-åtkomst förblir exponerad. SSH begränsa eller inaktivera igen.
  • Dokumentera inte status: senare examen kommer att bli svårt. före och efter körning show.
  • fel konsol används: Kommandot känns inte igen. i SSH menyval öppna Device Console.
  • VPN Portal förväxlas med User Portal: falska förväntningar på CAPTCHA beteende. Kontrollera påverkad inloggningssida och enhetsåtkomsttjänst separat.
  • User Portal delar port med SSL VPN: CAPTCHA visas inte som förväntat för User Portal eller så testas fel tjänst. planera unik portal och VPN-portar och testa med riktig användare.
  • Ändring förblir aktiv efter supportärende: Skyddet är permanent reducerat. Dokumentera nedmonteringstiden och granska i biljetten.

Vanliga frågor

Är det farligt att inaktivera CAPTCHA på Sophos Firewall?

Det beror på tillgängligheten. I ett isolerat ledningsnätverk är risken betydligt lägre än med allmänt tillgängliga WebAdmin eller User Portal. Utan MFA och åtkomstbegränsning bör CAPTCHA förbli aktiv.

Ersätter CAPTCHA MFA?

Nej. CAPTCHA komplicerar automatiska inloggningsförsök. MFA ger ytterligare skydd mot stulna eller gissade lösenord. MFA är viktigare för administratörsåtkomst och fjärråtkomst.

Kan du ändra CAPTCHA endast för WebAdmin eller endast för användarportalen?

Ja. Enhetskonsolens kommandon skiljer mellan webadminconsole och userportal.

Gäller CAPTCHA även för VPN Portal eller SSL VPN?

Kommandona som beskrivs här gäller för WebAdmin-konsolen och User Portal. VPN Portal, SSL VPN, IPsec och SSH måste säkras separat via Device Access, Local Service ACL, MFA, loggning och fjärråtkomstkonfiguration.

Bör SSH inaktiveras efter ändringen?

När SSH inte längre behövs, bör åtkomsten tas bort eller åtminstone begränsas till ett hanteringsnätverk.

Var kommer CAPTCHA-funktionen ifrån?

Funktionen introducerades med SFOS 18.0 MR3. Den lokala Avanet-releaseartikeln SFOS v18.0 MR3 - Nya funktioner dokumenterar introduktionen och enhetens konsolkommando vid den tiden.