Hoppa till innehållet
Avanet

Anslut Sophos Firewall via SSH

För många support- och felsökningsuppgifter behöver du tillgång till Sophos Firewall via SSH. Dessa inkluderar till exempel logganalyser, serviceomstarter, speciella diagnoskommandon eller arbete i Advanced Shell.

Men SSH är också en managementaccess med hög risk. Åtkomst bör därför endast tillåtas från pålitliga administratörsnätverk, via en riktad Local Service ACL-undantagsregel eller via tydligt definierad supportåtkomst. För generell härdning av lokala brandväggstjänster är Konfigurera Device Access korrekt också lämpligt.

Krav

För en SSH-anslutning till Sophos Firewall behöver du:

  • Administrativ åtkomst till Sophos Firewall.
  • Brandväggens IP-adress eller DNS-namn.
  • Tillgång till användaren admin.
  • En pålitlig administratörskälla, till exempel hanteringsnätverk, VPN eller fast admin-IP.
  • På macOS eller Linux: den förinstallerade Terminal-appen med SSH.
  • På Windows: Windows Terminal med OpenSSH eller PuTTY.
  • Tillåten SSH-åtkomst under Administration > Device access eller via en ACL-undantagsregel för lokala tjänster.
  • För planerade ändringar i Advanced Shell: backup, underhållsfönster och rensa återställningsväg.

⚠️ SSH bör endast tillåtas från betrodda nätverk. För produktiva miljöer är det bättre att begränsa åtkomsten till ett hanterings-IP eller adminnätverk i stället för att släppa SSH generellt.

Förklara i förväg vad SSH behövs för

Inte varje analys behöver Advanced Shell. Innan du loggar in bör det vara klart vilken konsol som krävs och hur allvarligt ingreppet är.

  • Routing, DNS, Ping, enkla systemkommandon: Device Console. Sophos CLI, mindre riskabel än Advanced Shell.
  • Läs loggfiler, tail, grep, less: Advanced Shell. Skrivskyddad, ändra eller ta inte bort filer.
  • Kontrollera tjänstens status eller felsök: Advanced Shell. Aktivera bara debug specifikt och inaktivera det igen.
  • Utför okända kommandon: Kontrollera först eller öppna ett supportärende. Försök inte i produktionssystemet.

Skillnaden är viktig eftersom Device Console och Advanced Shell använder olika syntax. Många fel uppstår helt enkelt för att ett korrekt kommando har skrivits in på fel ställe. En bredare översikt finns i Sophos Firewall Felsökning: Services och loggar.

SSH Tillåt åtkomst på brandväggen

För att en anslutning ska vara möjlig måste Sophos Firewall tillåta SSH på lämplig zon eller via en Local Service ACL undantagsregel.

  1. Logga in på webbadministratören för Sophos Firewall.
  2. Öppna Administration.
  3. Välj Device access.
  4. Kontrollera om SSH är tillåtet för den önskade zonen.

För interna administrationsnätverk kan SSH aktiveras direkt för lämplig zon, till exempel för LAN. Om åtkomsten ska begränsas mer specifikt, är en Local Service ACL-undantagsregel meningsfull.

Device Access styr åtkomst till själva brandväggen. Detta är inte samma sak som en vanlig brandväggsregel som tillåter trafik genom brandväggen. Om SSH i Device Access är aktiverat för brett, kommer en klient att nå brandväggens lokala SSH-tjänst oavsett om en klassisk LAN till WAN-regel är renbyggd.

I fallet med ett ACL-undantag bör värdena sättas så snävt som möjligt:

  • Källzon: zonen från vilken administrationen sker
  • Källnätverk/värd: administratörs-IP eller hanteringsnätverk
  • Services: SSH
  • Åtgärd: Acceptera
Sophos Firewall Local Service ACL undantagsregel för SSH-åtkomst
Exempel på en undantagsregel för lokal tjänst ACL som endast tillåter SSH-åtkomst från ett definierat källobjekt.

SSH ska inte vara tillgänglig okontrollerat från Internet. Om extern åtkomst är nödvändig bör detta endast tillåtas via en tydligt definierad käll-IP, VPN eller dedikerad supportåtkomst.

Lagra offentlig nyckel för admin

För SSH-åtkomst är autentisering med publik nyckel den föredragna metoden. På Sophos Firewall kan den publika nyckeln för användaren admin lagras under Administration > Device access. Lösenordsinloggning kan vara nödvändig i nödsituationer, men bör inte förbli den mest bekväma standardåtkomsten.

⚠️ En SSH-inloggning till Sophos Firewall är endast möjlig med användaren admin. Andra WebAdmin-användare kan inte logga in via SSH.

Viktigt: Endast standardadministratören kan ändra autentiseringen av den offentliga nyckeln för SSH, d.v.s. lägga till eller ta bort nycklar. För operationer betyder detta: Nyckeländringar hör hemma i en dokumenterad adminprocess och ska inte behandlas som en spontan supportgenväg.

Den offentliga nyckeln läggs till i området Autentisering av offentlig nyckel för admin:

  1. Öppna Administration.
  2. Välj Device access.
  3. Bläddra till området Autentisering av offentlig nyckel för admin.
  4. Aktivera Aktivera autentisering.
  5. Lägg till den publika nyckeln under Authorized keys.
  6. Spara med Ansök.
Sophos Firewall Public Key Authentication för administratörsanvändaren
Föredragen metod: Aktivera autentisering med offentlig nyckel för SSH-åtkomst med administratörsanvändaren.

Den privata nyckeln finns alltid kvar på administratörsklienten och får inte delas. Endast den publika nyckeln lagras på brandväggen.

Om flera administratörer använder SSH ska inte samma privata nyckel delas. Det är bättre att ha separata administratörsklienter, dokumenterade publika nycklar och en genomgång av vilka nycklar som fortfarande behövs. Efter byten av personal eller tjänsteleverantörer bör området Authorized keys kontrolleras.

Nyckeltyper för SSH som stöds

Inte alla moderna SSH-nyckeltyper är lika lämpliga för Sophos Firewall. Innan du rullar ut bör du kontrollera om nyckeltypen stöds.

  • RSA: Använd minst 2048 bitar.
  • DSA: Minst 2048 bitar, om nödvändigt av kompatibilitetsskäl.
  • ECDSA: Stöd; ED25519 accepteras inte för detta ändamål.
  • ED25519: För SSH Public Key Authentication, använd inte på Sophos Firewall.

För ny administratörsåtkomst är en korrekt hanterad RSA eller ECDSA-nyckel som stöds vanligtvis mer pragmatisk än en modern nyckeltyp som brandväggen eller ett äldre SSH-verktyg inte accepterar.

Anslut till macOS eller Linux

En SSH-klient finns vanligtvis redan på macOS och Linux. Anslutningen upprättas i terminalen.

Exempel:

ssh admin@192.0.2.1

192.0.2.1 ersätts av IP-adressen eller DNS-namnet för din egen Sophos Firewall.

När anslutningen upprättas för första gången frågar SSH-klienten om målsystemets fingeravtryck ska accepteras. Detta fingeravtryck bör kontrolleras och sedan bekräftas. Om en varning om en ändrad värdnyckel visas efter en ombild, maskinvarubyte eller IP-ändring, ska det nya fingeravtrycket inte bli blint accepterat. Kontrollera först om samma brandvägg faktiskt har ersatts, installerats om eller flyttats till en ny IP. Först då kan den gamla posten i ~/.ssh/known_hosts rensas upp och det nya fingeravtrycket accepteras.

Beroende på konfigurationen begärs sedan lösenordet för användaren admin eller så utförs inloggningen med den lagrade SSH-nyckeln.

Om en specifik privat nyckel ska användas:

ssh -i ~/.ssh/sophos-admin-key admin@192.0.2.1

För återkommande åtkomst bör nyckelvägen, den tillåtna käll-IP och syftet dokumenteras. known_hosts-posten ska inte kopieras till biljetter eller chatthistorik; För värdnyckelvarningar är ändringshistoriken viktigare än en snabb lösning.

Anslut till PuTTY

Under Windows kan du antingen använda Windows Terminal med OpenSSH eller använda PuTTY.

Med Windows Terminal fungerar upprättandet av en anslutning på samma sätt som macOS eller Linux:

ssh admin@192.0.2.1

För PuTTY:

  1. Öppna PuTTY.
  2. Ange IP-adressen eller DNS-namnet för Sophos Firewall under Värdnamn.
  3. Ställ in Port till 22.
  4. Ställ in Anslutningstyp till SSH.
  5. Anslut med Öppna.
  6. Kontrollera och bekräfta SSH-fingeravtrycket.
  7. Logga in som användare admin och använd lösenord eller SSH nyckel beroende på konfigurationen.

Efter inloggning visas konsolmenyn för Sophos Firewall.

Om PuTTY används med en privat nyckel måste nyckeln matcha den publika nyckeln som finns lagrad på brandväggen. Efter byte av personal eller tjänsteleverantör bör inte bara lösenordet ändras; gamla offentliga nycklar måste också tas bort från Authorized keys.

Öppna Device Console eller Advanced Shell

Efter lyckad inloggning via SSH visar brandväggen en konsolmeny. Vilket alternativ du väljer beror på vad du vill få gjort.

För många SFOS-kommandon använder du:

4. Device Console

För djupare Linux- eller filsystemuppgifter, använd Advanced Shell via:

5. Device Management > Advanced Shell

Advanced Shell erbjuder mycket omfattande åtkomst till systemet. Kommandon ska bara utföras där om det är tydligt vad de gör.

  • Device Console: ping, dnslookup, traceroute, show, routing eller systemalternativ.
  • Advanced Shell: Läs /log, tail -f, grep, less, service -S, Felsökningsloggar.

För logganalys, tjänstnamn och typiska felmönster är Sophos Firewall Felsökning: Services och loggar en bättre utgångspunkt än att memorera enskilda kommandon.

Avsluta anslutningen

När arbetet är klart bör SSH-sessionen avslutas rent:

exit

Om du befinner dig i en undermeny kan det vara nödvändigt att först växla tillbaka till huvudmenyn och sedan avsluta sessionen.

Om SSH endast aktiverades tillfälligt för ett supportärende, bör releasen tas bort eller avaktiveras. Detta gäller särskilt för ACL-undantag som kommer från externa käll-IP-adresser eller tjänsteleverantörsåtkomst.

Efter djupa ingrepp bör även följande kontrolleras:- Är felsökning inaktiverad igen?

  • Har en tillfällig undantagsregel för ACL tagits bort eller inaktiverats?
  • Fanns det inga tillfälliga filer, supportdumpar eller inspelningar kvar i onödan på brandväggen?
  • Dokumenteras loggutdrag, tid, kommando och resultat i biljetten eller ändringen?
  • Användes SSH-nyckeln endast för schemalagd administratörs- eller supportåtkomst?

Vanliga problem

Anslutning nekas

Om anslutningen avvisas är SSH vanligtvis inte tillåten på brandväggen för den valda zonen eller källan. I detta fall bör Administration > Device access kontrolleras. Kontrollera dessutom om en ACL-undantagsregel tillåter källan eller om en bredare enhetsåtkomstversion avsiktligt togs bort.

Tidsgräns för anslutningen

En timeout indikerar ofta att brandväggen inte kan nås via den valda IP-adressen, en rutt saknas eller en uppströmsbrandvägg blockerar åtkomst.

Inloggningen misslyckas

Om inloggningen misslyckas ska användaren admin, lösenordet eller SSH-nyckeln och de tillåtna källnätverken kontrolleras. Typiska meddelanden som Permission denied (publickey,password) indikerar ett felaktigt lösenord, en felaktig privat nyckel eller en saknad offentlig nyckelkonfiguration.

Om inloggningen av den offentliga nyckeln misslyckas, kontrollera dessutom nyckeltyp, nyckellängd, felaktig privat nyckel, PuTTY nyckelformat och posten under Authorized keys. En korrekt tillåten SSH-tjänst hjälper inte om nyckeln inte matchar den lagrade publika nyckeln.

Värdnyckelvarning visas

En värdnyckelvarning kan vara ofarlig om en brandvägg har installerats om eller ersatts. Varningen kan också indikera ett felaktigt målsystem eller en sammanblandning av IP-adresser. Kontrollera därför först brandvägg, IP-adress, DNS och ändringshistorik. Först då bör den gamla known_hosts-posten tas bort.

Fel konsol öppnad

Om ett kommando inte känns igen är fel konsol ofta öppen. Kommandon som system ... hör ofta hemma i Device Console. Filsystem och loggkommandon som tail, grep, less eller service -S hör hemma i Advanced Shell.

Operationell checklista

  • Tillåt endast SSH från betrodda administratörskällor.
  • Om möjligt, använd Local Service ACL undantagsregel istället för frigöring av breda zoner.
  • Föredrar Public Key Authentication för admin.
  • Använd nyckeltyp och dokumentnyckellängd som stöds.
  • Dela inte privata nycklar.
  • Kontrollera SSH fingeravtryck vid första inloggning.
  • Hantera medvetet värdnyckelvarningar efter reimage eller maskinvarubyte.
  • Blanda inte ihop Device Console och Advanced Shell.
  • Gör endast ändringar i Advanced Shell med ett tydligt syfte.
  • Ta bort tillfälliga SSH-utgåvor efter supportärenden.
  • Radera gamla offentliga nycklar efter att ha bytt personal eller tjänsteleverantör.

Vanliga frågor

Vilken användare används för SSH på Sophos Firewall?

För SSH använder du användaren admin på Sophos Firewall. Vanliga WebAdmin-användare, även med administrativa rättigheter, loggar inte in som sina egna SSH-användare.

Bör SSH vara aktiverat i WAN-zonen?

SSH bör inte aktiveras allmänt på WAN-zonen. Om extern åtkomst är nödvändig bör du använda en Local Service ACL smal källundantagsregel, VPN-åtkomst eller tydligt begränsad supportåtkomst.

Är autentisering med offentlig nyckel säkrare än lösenordsinloggning?

Public Key Authentication är vanligtvis den bättre metoden för återkommande administratörsåtkomst om privata nycklar är skyddade, inte delas och kontrolleras regelbundet. En publik nyckel ersätter dock inte snäva källbegränsningar eller en ren demontering av gammal åtkomst.

Vad betyder en SSH-värdnyckelvarning?

En värdnyckelvarning betyder att det lagrade fingeravtrycket inte längre matchar målet. Detta kan vara normalt efter en reimage, hårdvarubyte eller IP-ändring, men kan också indikera ett felaktigt målsystem. Kontrollera därför först brandvägg, DNS, IP-adress och ändringshistorik.

När behöver du Advanced Shell?

Advanced Shell behövs främst för loggfiler, filsystemrelaterad diagnostik eller vissa supportkommandon. Device Console räcker ofta för enkla tester som ping, DNS, routing eller standarddiagnostik.