Hoppa till innehållet
Avanet

Konfigurera Avanet-supportåtkomst på Sophos Firewall

För supportärenden, planerade ändringar eller gemensam felsökning kan det vara lämpligt att tillfälligt ge Avanet åtkomst till en Sophos Firewall. Denna åtkomst bör dock inte innebära att WebAdmin eller SSH blir allmänt tillgängliga från internet. Det är bättre med en tydligt begränsad supportåtkomst med en egen administratörsanvändare, definierad källa och dokumenterad återställning.

Denna guide beskriver en typisk procedur för åtkomst via HTTPS/WebAdmin och valfritt SSH. För allmänna grunder om lokala brandväggstjänster passar även Device Access och Local Service ACL på Sophos Firewall. Om SSH används bör även Ansluta till Sophos Firewall via SSH vara känt.

⚠️ En supportåtkomst är en administrativ åtkomst till brandväggen. Den bör endast vara aktiv under den tid som behövs, begränsas så mycket som möjligt till supportkällan och efter avslutat ärende kontrolleras eller tas bort.

Klargör innan du konfigurerar

Innan åtkomst ges bör det vara klart vilken åtkomst som verkligen behövs. För många uppgifter räcker HTTPS/WebAdmin. SSH bör endast aktiveras om loggfiler, CLI eller Advanced Shell verkligen behövs. Dessutom bör det fastställas från vilken källa åtkomst tillåts, när åtkomsten ska tas bort och om en aktuell säkerhetskopia finns innan större ändringar görs.

Om det redan finns ett allmänt administratörs- eller partnerkonto bör inte bara ett ytterligare permanent konto skapas. I sådana fall är det oftast bättre att kontrollera den befintliga åtkomsten, kontrollera MFA och roller och endast tillfälligt tillåta källan.

Säkerhetsmodell för supportåtkomst

Supportåtkomst bör inte behandlas som ett vanligt permanent konto. Det är en operativ åtkomst som ska vara tydlig, begränsad och enkel att ta bort igen efter supportärendet.

Möjliga varianter:

  • Tillfällig användare avanet: lämpligt när ett supporttillfälle är planerat och åtkomsten ska tas bort efteråt.
  • Dedikerad support-admin: lämpligt vid regelbunden support, men bara med starkt lösenord, MFA och begränsade åtkomstkällor.
  • Kortvarig aktivering av SSH eller WebAdmin: lämpligt för ett specifikt troubleshooting-fönster, men ska därefter stängas av eller begränsas igen.
  • Åtkomst via Sophos Central eller fjärrsession: lämpligt när ingen direkt inbound management access ska öppnas.

Det viktiga är att åtkomst, autentiseringsmetod, källbegränsning och återställning definieras före mötet. Vid ändringar på produktiva firewalls ska det också vara klart vem som godkänner ändringen och var den dokumenteras. För audit trails är configuration audit logs och, vid större ändringar, Config Studio användbara uppföljningsämnen.

Definiera lösenord, MFA och överlämningsväg

Teknisk åtkomst är bara en del av supportförberedelsen. Minst lika viktigt är hur inloggningsuppgifter överlämnas och hur åtkomsten skyddas.

  • Använd ett unikt lösenord endast för denna firewall och denna supportåtkomst.
  • Skicka inte lösenord tillsammans med alla åtkomstdetaljer i samma kanal.
  • Aktivera MFA om kontot förblir aktivt längre eller ger WebAdmin-åtkomst.
  • Dokumentera om åtkomsten är tillfällig eller permanent.
  • Definiera vem som inaktiverar eller tar bort kontot efter supportärendet.
  • Om SSH krävs, föredra public key authentication där det är möjligt.

För adminkonton är MFA för Sophos Firewall den bättre kompletterande artikeln. För SSH är public key-metoden att föredra när den passar supportflödet.

Lägg till användaren avanet

Användaren avanet är avsedd för WebAdmin-åtkomst. Detta gör det lättare att spåra i Audit Trail att en ändring gjordes inom ramen för ett supportärende. Användaren bör få ett starkt lösenord och endast vara aktiv så länge den behövs.

  1. Öppna Authentication i den vänstra navigeringen.
  2. Välj Users.
  3. Klicka på Add.
Sophos Firewall - Lägg till användare med administratörsbehörigheter
Sophos Firewall - Lägg till användare med administratörsbehörigheter

Typiska värden:

  • Username: avanet
  • Full name: Avanet
  • Profile: Administrator, om Avanet behöver granska eller ändra brandväggen helt
  • Password: starkt engångs- eller supportlösenord från en lösenordshanterare
  • Email: till exempel service@avanet.com

Spara sedan med Save eller Add.

Om endast mycket begränsade uppgifter är planerade kan en snävare administratörsprofil vara mer lämplig. För många supportärenden behöver Avanet dock tillfälligt fullständiga rättigheter eftersom orsak, loggar, regler, NAT, VPN, routing och systemstatus ofta måste granskas tillsammans.

Skapa FQDN-värd för support.avanet.com

För att ACL-regeln inte ska gälla för godtyckliga internetkällor skapas först ett värdobjekt för Avanet-supportkällan.

  1. Öppna Hosts and services.
  2. Välj FQDN hosts.
Sophos Firewall - Lägg till FQDN-värd som källa
Sophos Firewall - Lägg till FQDN-värd som källa

Lägg sedan till ett nytt FQDN-objekt:

Sophos Firewall - Lägg till FQDN-värd
Sophos Firewall - Lägg till FQDN-värd
  • Name: support.avanet.com
  • FQDN: support.avanet.com
  • Description: Avanet Support-åtkomst

Spara med Save. Brandväggen löser FQDN via DNS och använder sedan objektet som källa i den lokala ACL-regeln.

Konfigurera Local Service ACL Exception Rule

Åtkomst till WebAdmin och SSH är lokala tjänster på brandväggen. För dessa ansvarar inte vanliga brandväggsregler, utan Administration > Device access och Local service ACL exception rule.

  1. Öppna Administration.
  2. Välj Device access.
  3. Scrolla till avsnittet Local service ACL exception rule.
  4. Klicka på Add.
Sophos Firewall - Device Access-behörigheter
Sophos Firewall - Device Access-behörigheter

Regeln bör sättas så snävt som möjligt:

Sophos Firewall - Lägg till Local Service ACL-regler
Sophos Firewall - Lägg till Local Service ACL-regler
  • Rule name: Avanet Support
  • Rule position: lämplig för den befintliga ACL-strukturen, ofta Bottom
  • IP version: IPv4, eller dessutom IPv6 om det uttryckligen behövs
  • Source zone: Zon från vilken supportåtkomst kommer, ofta WAN
  • Source Network / Host: FQDN-objekt support.avanet.com
  • Destination host: Any eller specifikt brandväggens adress, beroende på miljön
  • Services: HTTPS; SSH endast om det verkligen behövs
  • Action: Accept

Spara sedan och kontrollera regelpositionen. Om det finns en bredare avvisnings- eller undantagsregel ovanför kan den nya regeln vara verkningslös.

⚠️ Any som källa är inte en bra supportfrisläppning för WebAdmin eller SSH. Om källan inte är fastställd bör det först klargöras med Avanet vilken supportkälla som används. En bred frisläppning ökar omedelbart brandväggens attackyta.

Valfritt: Lägga till SSH Public Key

SSH behövs endast om en analys via Device Console, loggfiler eller Advanced Shell är nödvändig. För många supportärenden räcker WebAdmin.

Sophos Firewall - Lägg till SSH Public Key
Sophos Firewall - Lägg till SSH Public Key

Det är viktigt att skilja på: Den tidigare skapade användaren avanet är en WebAdmin-användare. SSH-åtkomst till Sophos Firewall sker vanligtvis med användaren admin. SSH Public Key läggs därför till under Public key authentication for admin.

  1. Öppna Administration.
  2. Välj Device access.
  3. Scrolla till avsnittet Public key authentication for admin.
  4. Aktivera Enable authentication om Public-Key-autentisering inte redan är aktiv.
  5. Lägg till den Public Key som Avanet tillhandahållit under Authorized keys.
  6. Spara.

Exempel på Avanet Public Key:

ssh-rsa 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

Den privata nyckeln lagras inte på brandväggen och bör aldrig skickas via e-post eller chatt. På brandväggen hör endast Public Key till fältet för auktoriserade nycklar.

Testa åtkomsten

Efter att ha sparat bör åtkomsten inte blint betraktas som klar. En kort funktionstest är lämplig:

  1. Testa WebAdmin-åtkomst via den överenskomna Avanet-supportkällan.
  2. Kontrollera inloggning med användaren avanet.
  3. Om SSH behövs: testa anslutning med admin och Public Key.
  4. Kontrollera i Log viewer och vid behov i Audit Trail om inloggning och senare ändringar är spårbara.
  5. Dokumentera när åtkomsten ska inaktiveras eller tas bort.

Om åtkomsten inte fungerar, kontrollera först källan och ACL-regeln. Kontrollera sedan DNS-upplösning av FQDN-objektet, regelposition, Device Access, föregående NAT-enheter och routing.

Återställ åtkomst efter supportärendet

Efter avslutat supportärende bör åtkomsten inte förbli oförändrad. Beroende på överenskommelse finns det tre rena alternativ:

  • Inaktivera användare: Om ytterligare support förväntas senare men ingen åtkomst behövs just nu.
  • Inaktivera ACL-regel: Om kontot ska finnas kvar men ingen extern åtkomst får vara möjlig.
  • Ta bort användare och ACL-regel: Om åtkomsten endast behövdes en gång.

Dessutom bör det kontrolleras om en SSH Public Key kan tas bort igen. Om ändringar gjordes på brandväggen passar Backup och Restore på Sophos Firewall, Audit Trail Logs och vid regeländringar Config Studio för efterkontroll.

Checklista

  • Användaren avanet skapad med starkt lösenord.
  • Administratörsprofil medvetet vald och dokumenterad.
  • FQDN-värd support.avanet.com skapad.
  • Local Service ACL Exception Rule begränsad till Avanet-supportkällan.
  • Endast nödvändiga tjänster tillåtna: HTTPS, SSH endast vid behov.
  • SSH Public Key endast lagrad under Public key authentication for admin.
  • Åtkomst testad och dokumenterad i ärendet.
  • Återställning eller inaktivering planerad efter avslut.

Vanliga frågor

Måste SSH aktiveras för Avanet-supportåtkomst?

Nej. För många supportärenden räcker HTTPS/WebAdmin. SSH bör endast tillåtas om CLI, loggfiler, Device Console eller Advanced Shell verkligen behövs.

Kan Avanet logga in via SSH med användaren avanet?

Vanligtvis nej. Den extra användaren avanet är avsedd för WebAdmin. SSH-åtkomst till Sophos Firewall sker vanligtvis med användaren admin; Public Key lagras därför under Public key authentication for admin.

Vad händer om IP-adressen bakom support.avanet.com ändras?

Brandväggen använder FQDN-objektet och löser namnet via DNS. Vid en ändring av IP-adressen bör brandväggen använda den nya adressen efter DNS-uppdateringen. Om åtkomsten faller bort bör DNS-upplösning, cache och ACL-regel kontrolleras.

Bör Local Service ACL Source ställas in på Any?

Nej. För hanteringsåtkomst är Any som källa för bred. Det är bättre med ett FQDN-, värd- eller nätverksobjekt för den specifika supportkällan.

Vilka tjänster måste frisläppas för supportåtkomst?

Normalt räcker HTTPS för WebAdmin. SSH bör endast läggas till om det behövs för analysen. Ytterligare tjänster bör inte frisläppas i förväg.