Názory na SSL VPN klienta nebo tento ‘nový’ Sophos Connect Client? - Firewally Sophos XG
SSL klient je dobrý (je založen na OpenVPN). Jediný problém je, že jej nelze nasadit pro uživatele - musí jít na portál a stáhnout si ho/instalovat sami (potřebují administrátorská práva). Pokud máte malý počet uživatelů, kteří to potřebují, je to v pohodě, ale pro větší nasazení je to nepřijatelné.
Nový connect klient vypadá solidně, s dobrým nástrojem pro nasazení. Problém je, že není žádný způsob, jak hromadně přidat uživatele nebo skupiny (zřejmě "přijde v 18.5)… Takže zatím musíte uživatele přidávat ručně jednotlivě.
Pro větší nasazení jsou oba trochu k ničemu. Ale samotní klienti jsou v pořádku.
mám SSLVPN na mnoha místech, má snadné 2FA, funguje spolehlivě, pokud zajistíte správnost DNS a změníte port z 8443 na 443, a jede to.
Neměl jsem s Sophos Connect vážnější problémy. Ale je opravdu “nový” a nedělá některé věci, které by měl. Největší problém je, že ne registruje počítače v DNS a jediným řešením je vytváření hrozné plánované úlohy a PowerShell skriptu pro manuální vynucení.
Řekl bych, že zatím je lepší držet se starých věcí.
Líbí se mi to, nový connect klient podporuje IPsec i SSL VPN profily, což je docela skvělé, když máte více terminálních bodů, do kterých se chci ‘připojit’.
Líbí se mi automatické provisioning a nasazení klienta je jednodušší. A při změnách na serverové straně nemusíte přemýšlet, jak to dostat ke klientům, klient si je stáhne při dalším připojení – což usnadňuje změny.
Řekl bych, že na teď je důležité používat 2FA – používám Sophos Authenticator app pro sledování spousty tokenů na jiných stránkách, ale mám také hardwarový token pro jedno konkrétní místo, do kterého se připojuji (Feitan C200 – které teď směřují k ukončení životnosti!).
Ahoj,
doporučuji přečíst si několik článků o Sophos Connect Client, mohly by ti pomoci.
https://community.sophos.com/kb/en-us/133555
–
S pozdravem,
^KG
Vytváření nebo nasazení IPsec profilů v Sophos Connect má určité základní bezpečnostní rizika. Konfigurační soubory jsou viditelné v prostém textu a jasně ukazují PSK. Takže je třeba “skrýt konfigurační soubor” před uživateli. Je to trochu goofy.
Oprah otázka, zatím jsem toho moc nedělal, ale je používání LDAP typu ověřování ulehčí hromadné přidávání uživatelů nebo je potřeba nějaká konfigurace na XG? Dělal jsem jen menší konfigurace, tak jsem zvědavý.
Protože je založené na OpenVPN. Je nutné používat jejich vlastní klient? Pro nasazení můžeš předinstalovat Sophos SSL VPN klienta na každém počítači pomocí jakéhokoliv prostředku (GPO/RMM/atd.). Poté směřuj uživatele ke stažení jejich konfiguračního souboru. Myslím, že to obejde problémy s administrátorskými právy.
Musíš používat 2FA přes jejich aplikaci Sophos? Mluvíš o portálu pro uživatele nebo o portu používaném pro SSL VPN a jak jsi ho změnil?
To je věc - Sophos nemá žádný způsob, jak ‘hromadně přidat’ pro connect klienta. Musíš ručně přidat každého uživatele zvlášť. Nemůžeš ani odkazovat na skupinu LDAP.
Takže zatímco LDAP/AD/RADIUS lze použít pro ověřování, stále musíš ručně přidat každého uživatele do skupiny ‘povolení uživatelé’, aby se mohl připojit. To je extrémně frustrující (a krátkozraké – jak může Sophos očekávat, že větší firmy budou schopny používat produkt s takovými omezeními).
Pravděpodobně je tento problém brzy vyřešen v 18.5, kdy bude možné používat skupiny AD/LDAP pro povolené uživatele.
Musíš používat jejich vlastní klient?
Nemám ponětí, nikdy jsem to nezkoušel.
Poté směřuj uživatele ke stažení jejich konfiguračního souboru. Myslím, že to obejde problémy s oprávněními správy.
Jistě, i když celý proces je zcela nevhodný pro větší společnosti.
Můžeš použít openvpn klienta a změnit konfigurační soubor.
2fa přes GAuthenticator. V nastavení VPN → VPN nastavení vlevo nahoře můžeš změnit port, tcp/udp, DNS server atd.
Pro 2FA to zapneš a když se uživatelé přihlásí na portál, budou vyzváni, a pak vloží kód z 2fa do svého hesla.
Jen abychom měli všechny informace:
Existuje nástroj Sophos Connect IPsec (jako synchronizace skupin AD v Centrále), který můžeš spustit na svém PC a přidat všechny uživatele do XG. Nástroj synchronizace Sophos Connect
Další informace: Sophos Connect byl přidán do EAP2.0 OpenVPN (SSL VPN). https://community.sophos.com/products/xg-firewall/sfos-eap/sophos-connect-eap/ Je možné tento nástroj hromadně poskytnout všem uživatelům. Sophos Connect si stáhne konfiguraci za uživatele. Už žádná “per uživatelské” nastavení. Jedna konfigurace pro všechny uživatele.
Další zajímavý bod ohledně IPsec: Můžeš pracovat s objektem uživatele nebo konfigurací Sophos Connect. V Sophos Connect můžeš přidat “Všichni uživatelé” do konfigurace. Tímto způsobem budou všichni uživatelé přidáni, pokud jsou již v XG. Nebo můžeš upravit uživatele a přidat přepínač pro povolení Sophos Connect. Tato rozhraní lze také použít přes XML import/export. Jednoduše exportuj všechny uživatele v Webadminu, nahraď v textovém editoru disable za Enable, a znovu importuj tento soubor do XG. Tímto způsobem povolíš Sophos Connect pro všechny uživatele.
Co myslíš tím “nezačínající”?
Může to komunikovat s Google Authenticator nebo jakoukoli MFA platformou tak, že uživatelé mohou jen kliknout na “schválit” v takové aplikaci? Zadávání kódu a připojení hesla je pro více než 350 uživatelů bolestí.
Ano, o v2 a některých funkcích jsem slyšel. Skvělá zpráva. Těším se na vydání.
Mou jedinou výtkou je, jak dlouho to trvalo. Můj tip a zpětná vazba pro Sophos je, aby možná zvážili vydávací vzor typu tick/tock, kde verze .5 se zaměří na stabilitu a zlepšení jádra. Existují stále jiné základní aspekty XG, které jsou nedotažené.
To je věc - je to k ničemu. Když musíte nasadit VPN pro stovky/tisíce uživatelů, není možné je všechny manuálně přihlásit přes portál a dělat manuální kroky.
Toto je místo, kde mám výhrady k VPN od Sophos. Skvělé pro malou firmu do 5 lidí, ale úplně k ničemu pro větší firmy (kterým Sophos cílí).