VPN-Anbindung mit Sophos-Firewalls - 12 I 20 Sonderdruck für Sophos Technology
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
12 I 20 Sonderdruck für Sophos Technology VPN-Anbindung mit Sophos-Firewalls www.it-administrator.de
VPN-Anbindung mit Sophos-Firewalls
Draht ins
Unternehmen
von Thomas Zeller
Die Corona-Pandemie ließ viele Firmen praktisch von
RF
einem auf den anderen Tag die Mitarbeiter ins Home
123
ok –
Office schicken. Unternehmen, die eine Firewall von
hong
Sophos einsetzen, sind für diesen Fall zumindest gut
p
ikorn
gerüstet, denn das Einrichten von Remote-Zugängen
: kitt
oder die transparente Anbindung kleiner Arbeitsgrup-
lle
Que
pen in Zweigstellen ist mit Systemen dieses Herstellers
leicht umzusetzen. Wir zeigen, welche Funktionen die
Sophos-UTM- beziehungsweise XG-Firewalls hierfür bie-
ten und wie Sie diese einrichten.
B
ei der Anbindung von Remote-Ar- Devices (RED) um eine Sophos-eigene kostenpflichtigen Sophos-IPsec-Client oder
beitsplätzen per Virtual Private Net- Technik: REDs sind einfache und preis- nutzen den kostenfreien Sophos Connect
work ist grundsätzlich zwischen einer Netz- werte Geräte, die an den Remote-Standort (IPSec-Client) [1], der bei der Sophos-XG-
zu-Netz-Kopplung (Site-to-Site) und der verschickt und mithilfe eines Provisionie- Firewall nun standardmäßig zum Einsatz
Anbindung einzelner Arbeitsplätze (Client- rungsservice vom Admin an der zentralen kommt.
to-Site) zu unterscheiden. Einer Netz-zu- Firewall in Betrieb genommen und ver-
Netz-Kopplung wird der Admin immer waltet werden. Als besonders einfache Zugriffsform für
dann den Vorzug geben, wenn mehrere Per- Remote-Verbindungen, die ohne Installa-
sonen beziehungsweise ganze Arbeitsgrup- Am entfernten Standort muss das Gerät le- tion eines Clients auf Seiten des Benutzers
pen von einem entfernten Standort (Branch diglich per DHCP eine IP-Adresse aus dem auskommt, bietet sich der sogenannte
Office) auf Ressourcen des zentralen Un- dortigen Netzwerk erhalten und auf das In- "Clientless access" (Sophos XG Firewall)
ternehmensstandorts zugreifen müssen. ternet zugreifen können. Mittels der Seri- beziehungsweise "HTML-5 VPN Portal"
ennummer finden sich die Geräte über den (Sophos UTM/SG Firewall) an. Details da-
In diesem Fall übernimmt ein VPN-Gate- Sophos-RED-Dienst und die Site-to-Site- zu finden Sie im Abschnitt "Clientless Re-
way die Initialisierung der Tunnelverbin- VPN-Verbindung wird vollautomatisch ein- mote Access über HTML5".
dung, an den Arbeitsplätzen muss also we- gerichtet. Nach der erfolgreichen Provisio-
der VPN-Software installiert sein noch nierung kommunizieren die Geräte nur VPN-Absicherung
müssen die Mitarbeiter selbst für den Ver- noch direkt miteinander, die VPN-Verbin- VPNs erzeugen mit ihrer Verschlüsselung
bindungsaufbau sorgen. Für die Netz-zu- dung läuft also nicht über Sophos-Server. einen virtuellen privaten Tunnel in öffent-
Netz-Kopplung stellen Sophos-UTM- und lichen Netzwerken wie dem Internet. Doch
Sophos-XG-Firewallsysteme folgende Modi Remote-Access-Verbindungen (Client-to- die Verschlüsselung alleine genügt nicht,
beziehungsweise Protokolle zur Verfügung: Site) sind ebenfalls über die Protokolle IP- um VPN-Verbindungen hinreichend ab-
- Sophos RED (Remote Ethernet Device) Sec und SSL-/OpenVPN möglich, als Al- zusichern. Eine zentrale Bedeutung kommt
- IPSec ternative stehen aber zusätzlich noch die auch der Authentifizierung zu. Je nach ver-
- SSL-/OpenVPN Site-to-Site Protokolle Layer 2 Tunneling Protocol wendetem Protokoll stehen unterschiedli-
(L2TP) und das (veraltete) Point-to-Point- che Authentifizierungsmechanismen be-
Während sich IPSec und SSL-/OpenVPN Tunneling-Protocol (PPTP) zur Verfügung. ziehungsweise Kombinationen aus diesen
prinzipiell interoperabel zwischen Geräten Für Remote-Access per IPSec ist auf Client- Verfahren zur Verfügung: Passwort, Pre-
unterschiedlicher Hersteller nutzen lassen, seite ein IPSec-VPN-Client nötig. Sophos- shared Key, Zertifikate oder zusätzliche
handelt es sich bei den Remote Ethernet UTM-9.x-Kunden benötigen entweder den Faktoren wie One-Time-Passwords (OTP).
2 Auszug aus IT-Administrator Dezember 2020 www.it-administrator.de
VPN-Anbindung mit Sophos-Firewalls Praxis
Verfügbare VPN-Protokolle Letzteres wird kaum ein Administrator
Prinzipiell bieten beide Sophos-Firewall- seinen Anwendern zumuten können, da-
systeme die gleichen VPN-Protokolle an: her bleibt alternativ noch das zeitgesteuerte
IPSec, SSL-VPN/OpenVPN, L2TP over IP- Hochfahren der Rechner, beispielsweise
Sec, PPTP, Sophos RED und HTML-5- mit einem Clientmanagement-System,
VPN-Portal (UTM) beziehungsweise skriptgesteuert oder mithilfe eines Wake-
Clientless Access (XG). Im Detail betrachtet on-LAN-Gateways. Darüber hinaus muss
gibt es aber durchaus Unterschiede. So un- auf den betreffenden Rechnern natürlich
terstützt das IPSec-Modul der XG-Firewall auch der Remotedesktop aktiviert und der
beispielsweise das Schlüsseltauschverfahren Zugriff über RDP in der Windows-Firewall
IKEv2, während auf den UTM-Systemen freigeschaltet werden.
lediglich IKE zur Verfügung steht. Darüber
hinaus kann die UTM-Software von Haus SSL-VPN für
aus mit einer Amazon-Webservices-(AWS)- Heimarbeitsplätze aktivieren
Instanz kommunizieren. Dafür ist lediglich Wie bereits erwähnt, bieten beide Sophos-
der Import einer VPC-Konfigurationsdatei Firewalls Unterstützung für verschiedene
erforderlich, die der Administrator in AWS VPN-Protokolle. Für Remote-Access-Ver-
erzeugen kann. Die XG-Firewall nutzt als bindungen (also Client-to-Site) kommen
Connector für die Public-Cloud hingegen prinzipiell IPSec, L2TP, PPTP, SSL-VPN
grundsätzlich einen IPSec-Tunnel. und der Clientless Access über einen
HTML5-Desktop in Frage. Welches Pro-
Bild 1: Sophos-UTM-Systeme erzeugen die VPN ist nur die halbe Miete tokoll sich für Ihren Anwendungsfall am
erforderlichen Firewallregeln beim Anlegen Die Anbindung per VPN alleine nutzt den besten eignet, hängt vor allem von den auf
neuer SSL-VPN-Benutzer automatisch. Mitarbeitern im Home Office allerdings we- den Clients genutzten Betriebssystemen
nig. Sie wollen mit ihren gewohnten Appli- ab. SSL-VPN (OpenVPN) bietet gegenüber
Das veraltete PPTP-Protokoll ist das ein- kationen und Daten aus dem Unterneh- den anderen Protokollen verschiedene
zige, dessen Sicherheit sich ausschließlich mensnetzwerk weiterarbeiten. Lässt sich der Vorteile. So ist es plattformunabhängig
auf das Passwortverfahren verlässt. Die Zugriff auf Ordner und Dateien über VPN und Clients stehen für Windows, macOS,
Nutzung von PPTP ist daher nicht mehr meist noch problemlos über den Windows Linux, iOS und Android zur Verfügung.
zu empfehlen und es steht in den So- Explorer und die Bearbeitung von Dateien Außerdem ist es Proxy-fähig und so kann
phos-Firewalls ausschließlich aus Kom- mit lokal installierten Office-Anwendungen OpenVPN Verbindungen auch über Web-
patibilitätsgründen zur Verfügung. Die realisieren, wird es bei der Nutzung von Un- Proxies aufbauen. Nachfolgend beschrei-
Wahl des Authentifizierungsverfahrens ternehmenssoftware schon schwieriger. ben wir daher exemplarisch die Aktivie-
orientiert sich in der Regel an den An- Denn Clients für ERP-, CRM-, Archivsys- rung und Einrichtung von OpenVPN auf
forderungen für die Vertraulichkeit der teme und andere Business-Anwendungen Sophos-UTM- und XG-Firewalls.
jeweiligen Anbindung. Site-to-Site-Tun- sind meist nur auf den Desktop-Rechnern
nel für entfernte Standorte sind daher im Unternehmen, nicht aber auf den mo- OpenVPN auf Sophos UTM
meist mit Pre-Shared-Keys gesichert, bilen Geräten der Mitarbeiter installiert. Für Die nun dargestellten Schritte beziehen
während für Client-to-Site-Verbindun- Remote-Benutzer stellen Administratoren sich auf Version 9.7 von Sophos-UTM-
gen in der Regel X.509-Zertifikate und daher meist eine Terminalserver- oder VDI- Systemen. Sie sollten aber weitestgehend
Passworte zum Einsatz kommen. Infrastruktur bereit. Nach dem Aufbau der auch für ältere Releases Gültigkeit haben.
VPN-Verbindung starten die Benutzer dann Die folgenden Punkte sind für die Ein-
Grundsätzlich gilt: Je weniger vertrauens- einen Citrix-, RDP- oder PCoIP-Client, um richtung von OpenVPN durchzuführen:
würdig die Umgebung ist, aus der sich der Zugang zu virtuellen Desktops oder freige- - Anlegen beziehungsweise Definition
Client einwählt, desto stärker sollte das gebenen Applikationen im Unternehmens- der VPN-Benutzer.
eingesetzte Authentifizierungsverfahren netzwerk zu erhalten. - Aktivieren und Konfigurieren eines
sein. Wählen sich VPN-User beispielsweise SSL-VPN-Profils.
über öffentliche Hotspots ein, sollten Sie Ist keine Terminalserver- oder VDI-Infra- - Definition der Parameter für den VPN-
zusätzlich zu Zertifikaten eine Zwei-Fak- struktur vorhanden, bietet sich alternativ Server.
tor- beziehungsweise Multifaktor-Authen- der Remote-Zugriff auf die Desktop-Rech- - Aktivieren des User-Portals.
tifizierung einsetzen. Für die Einwahl von ner über VPN an. Damit das funktioniert, - Installieren des VPN-Clients auf den
Administratoren und anderen privilegier- müssen die Desktop-Rechner in der Firma Geräten der Benutzer.
ten Benutzern bietet sich aus Sicherheits- entweder dauerhaft eingeschaltet bleiben
und Compliance-Gründen grundsätzlich oder per Wake-on-LAN aus der Ferne bei Der VPN-Client beziehungsweise Kon-
eine Multifaktor-Authentifizierung an. Bedarf eingeschaltet werden. figurationsprofile für OpenVPN-Clients
www.it-administrator.de Auszug aus IT-Administrator Dezember 2020 3
Praxis VPN-Anbindung mit Sophos-Firewalls
wort in das User-Portal einloggen. Dieses
ist standardmäßig unter der URL "https://
" erreichbar. Im Bedarfsfall können
Sie aber auf dem "Advanced"-Tab des
User-Portals auch einen anderen Hostna-
men beziehungsweise eine andere Adresse
sowie einen abweichenden Port für den
Zugriff auf das Portal angeben.
Nach dem erfolgreichen Login steht den
Benutzern im Bereich "Remote Access"
des User-Portals nun entweder ein voll-
ständiges Installationspaket inklusive
Zertifikat und Konfigurationsdatei für
Bild 2: Das Bereitstellen der VPN-Clients beziehungsweise Konfigurationsprofile erfolgt bei Windows oder eine OpenVPN-Konfigu-
Sophos-UTM- und -XG-Firewalls über das User-Portal. rationsdatei inklusive Zertifikat für die
Nutzung mit einem bereits installierten
werden von der UTM dann automatisch 443" und mit dieser Konfiguration ist der OpenVPN-Client unter Windows, Linux,
inklusive der X.509-Zertifikate erstellt VPN-Server auch aus Netzwerken er- macOS, iOS oder Android zur Verfü-
und über das User-Portal bereitgestellt. reichbar, die nur HTTPS-Verkehr zulassen gung. Nachdem die Benutzer den SSL-
oder den Internet-Traffic über einen Web- VPN-Client auf ihren Systemen installiert
Legen Sie unter dem Punkt "Definitions Proxy erzwingen. Wählen Sie nun den haben, können sie sich mit ihrem Benut-
& Users / Users & Groups / User / New gewünschten "Virtual IP Pool" aus. Die zernamen und Passwort per VPN ins Un-
User" nun zunächst die gewünschten Be- VPN-Clients erhalten bei der Einwahl ei- ternehmensnetzwerk einwählen. Optio-
nutzer sowie ein Passwort und eine E- ne IP-Adresse aus dem hier ausgewählten nal lassen sich sowohl die VPN-Einwahl
Mail-Adresse je Benutzer an. Mit dem Pool-Netzwerk, mit der sie Zugriff auf die als auch der Zugriff auf das Portal mit
Passwort können sich die Anwender spä- freigegebenen internen Netze haben. der integrierten Zweifaktor-Authentifi-
ter ins User-Portal einloggen, um dort zierung absichern, dazu später mehr.
ihren VPN-Client oder eine Konfigura- Ist der Schalter "Duplicate CN" gesetzt,
tionsdatei herunterzuladen. Das X.509- können VPN-Nutzer mehrere parallele SSL-VPN mit Sophos XG
Zertifikat für den jeweiligen VPN-User Sessions aufbauen, ansonsten ist je Be- Seit Anfang März ist die neue Version
wird auf Basis der E-Mail-Adresse des nutzer nur eine Verbindung zur selben "SFOS 18" der XG-Firewall verfügbar. Die
Benutzers ausgestellt. Als Nächstes erzeu- Zeit erlaubt. Auf dem Karteireiter "Ad- Einrichtung des SSL-VPN unterscheidet
gen Sie unter "Remote Access / SSL / Pro- vanced" legen Sie zuletzt noch den Ver- sich aber nicht zur Vorgängerversion (17.5),
files" ein neues Remote-Access-Profil und schlüsselungs- und Authentifizierungs- daher bietet sich die folgende Anleitung
fügen diesem per Drag-and-Drop die er- mechanismus sowie die Schlüssellänge auch für Administratoren der Vorversion
laubten Benutzer oder Gruppen sowie die und -gültigkeitsdauer fest und wählen an. Gegenüber der UTM gibt es allerdings
lokalen Netzwerke hinzu, auf die die aus, welches Serverzertifikat Sie für den kleinere Unterschiede bei der Einrichtung:
VPN-Benutzer später zugreifen dürfen. VPN-Server verwenden möchten. Be- So aktivieren Sie beispielsweise das User-
Sollten die Netze noch nicht definiert achten Sie, dass die UTM hier keine Ver- Portal über den "Device Access" und die Fi-
sein, können Sie diese hier auch gleich wendung von Wildcard-Zertifikaten oder rewallregeln für den Zugriff der VPN-Be-
anlegen. Setzen Sie das Häkchen bei "Au- durch Intermediate-CAs unterschriebene nutzer auf Netzwerkressourcen werden
tomatic firewall rules", die Firewall er- Zertifikate erlaubt. Im Zweifelsfall nutzen nicht automatisch generiert. Daraus ergibt
zeugt dann automatisch die erforderlichen Sie daher einfach das Appliance-Zertifi- sich die folgende abweichende Vorgehens-
Firewall-Regeln, sobald das VPN-Profil kat. Zuletzt aktivieren Sie noch das User- weise für die XG-Firewall:
aktiviert ist. Deaktivieren Sie das VPN- Portal, indem Sie den Schalter unter "Ma- - Anlegen oder Definieren einer Benut-
Profil später wieder, werden auch die Fi- nagement / User Portal / Global" auf aktiv zergruppe und der VPN-Benutzer.
rewallregeln wieder entfernt. setzen und unter "Allowd Networks" jene - Erstellen und Konfigurieren eines SSL-
Netze hinzufügen, aus denen der Zugriff VPN-Profils.
Auf dem Reiter "Remote Access / SSL / auf das Portal möglich sein soll (übli- - Definieren der SSL-VPN-Einstellungen.
Settings" legen Sie fest, auf welchem In- cherweise "any"). - Aktivieren des User-Portals und des
terface der VPN-Server läuft (üblicher- VPN-Profils für den Device Access.
weise WAN) und über welchen TCP- Damit ist die Einrichtung des VPN-Ser- - Erstellen der Firewallregeln für den Zu-
oder UDP-Port er kommunizieren soll. vers abgeschlossen und die Benutzer kön- griff der SSL-VPN-Gruppe auf Netz-
Die Voreinstellung hierfür lautet "TCP nen sich mit dem zuvor definierten Pass- werkressourcen.
4 Auszug aus IT-Administrator Dezember 2020 www.it-administrator.de
VPN-Anbindung mit Sophos-Firewalls Praxis
- Installieren des VPN-Clients auf den Type: Network mote Access VPN Gruppe" hinzu. Spei-
Geräten der Benutzer. IP address: 10.242.4.0 Subnet: /24 chern Sie die Regel dann mit "Save", damit
sich die Benutzer mit ihren Credentials am
Definieren Sie zunächst unter "Authen- Die IP-Netze passen Sie natürlich an die User-Portal unter der URL "https://
Praxis VPN-Anbindung mit Sophos-Firewalls
zur Verfügung, auf XG-Systemen heißt sie
dagegen schlicht "Clientless access". Be-
dienung und Funktionalität sind auf bei-
den Systemen weitestgehend identisch. Auf
XG-Firewalls stehen jedoch mehr Dienste
für den clientlosen Zugriff zur Verfügung
als auf UTM-Systemen:
- XG-Firewalls: RDP, Telnet, SSH, FTP,
FTPS, SFTP, SMB und VNC
- UTM-Firewalls: RDP, Telnet, SSH, VNC,
HTTP und HTTPS
Verbindungen zu HTTP- und HTTPS-
Servern im internen Netzwerk lassen sich
natürlich auch auf XG-Systemen mithilfe
der Web-Application-Firewall an externe
Bild 4: Die integrierte Zweifaktor-Authentifizierung ist auf Clients durchreichen. In den meisten Fäl-
Sophos-UTM- und -XG-Systemen schnell aktiviert. len dürfte aber der Zugriff auf interne
Windows-Systeme über RDP das Ziel sein.
SSL-VPN-Remote-Access – in Betrieb: Stel- diesen QR-Code mit der Sophos-Authen- Die Authentifizierung der externen Be-
len Sie sicher, dass die vorgesehenen Be- ticator-App, klickt auf "Proceed to Login" nutzer erfolgt in beiden Fällen über das
nutzer den Sophos Authenticator auf ihrem und wird danach wieder auf das Login- User-Portal, das daher aus dem Internet
Mobilgerät installiert haben. Auf der So- Formular des User-Portals umgeleitet. (WAN-Interface) erreichbar sein muss.
phos-UTM aktivieren Sie die Funktion zu- Aus Sicherheitsgründen sollten Sie auf je-
nächst im Menü "Authentication Services / Zur Authentifizierung gibt der Benutzer den Fall die Zweifaktor-Authentifizierung
One-time-Password". Unter "Authentica- hier dann wieder seinen Benutzernamen für das User-Portal aktivieren.
tion Settings" fügen Sie entweder die Be- und Passwort ein, hängt aber zusätzlich das
nutzer hinzu, für die Sie die Zweifaktor- in der Authenticator-App erzeugte Einmal- Fazit
Authentifizierung einschalten möchten passwort direkt an das Passwort an. Ab die- Die Sophos-Firewallsysteme bieten um-
oder wählen "All users must use one- sem Zeitpunkt ist die Zweifaktor-Authen- fangreiche Möglichkeiten der Standort-
time-passwords". Setzen Sie danach jeweils tifizierung dann für den Benutzer und die vernetzung oder für die sichere Anbindung
das Häkchen bei "Auto-create OTP tokens zuvor gewählten Dienste aktiv. Entspre- externer Benutzer an das Unternehmens-
for users" sowie bei "User Portal" und "SSL chend müssen die Benutzer für die Einwahl netzwerk. Neben Protokollen wie IPSec
VPN Remote Access". per SSL-VPN dann zur Authentifizierung und L2TP ist vor allem der Einsatz des
ebenfalls das Einmalpasswort an das regu- SSL-basierten OpenVPN interessant, das
Auf XG-Firewalls finden Sie die Funktion läre Benutzerpasswort anhängen. einen kostenfreien VPN-Client für prak-
unter "Authentication / One-time Pass- tisch alle relevanten Plattformen bietet.
word / Settings". Dort können Sie die Clientless-Remote-Access
Funktion global aktivieren und ebenfalls über HTML5 Mit dem HTML5-VPN-Portal beziehungs-
manuell Benutzer hinzufügen oder die Manchmal besteht für Benutzer keine weise Clientless Access können Benutzer
Zweifaktor-Authentifizierung für alle Be- Möglichkeit, sich aus der Ferne via VPN aus der Ferne auch ganz ohne VPN-Client
nutzer mit "Auto-create OTP Tokens" fest- ins Unternehmensnetzwerk einzuwählen, auf Dienste in der Zentrale zugreifen.
legen. Wählen Sie bei den "OTP facilities" zum Beispiel weil am verwendeten Gerät Dank einer integrierten Zwei-Faktor-Au-
wieder "User Portal" und "SSL VPN remote die Berechtigungen zur Installation der thentifizierung kann der Administrator
access" und übernehmen Sie die Einstel- VPN-Clientsoftware fehlen oder weil dem alle Arten von Remote-Verbindungen mit
lung mit einem Klick auf "Apply". Endgerät schlicht nicht vertraut wird. Für einer OATH-basierten One-Time-Pass-
solche Fälle stellen Sophos UTM und XG wort-Funktion ganz ohne Zusatzkosten
Aus Sicht der Anwender läuft die Aktivie- eine Alternative bereit, mit deren Hilfe Be- absichern. (dr)
rung von OTP bei beiden Systemen ab hier nutzer ohne die Installation eines VPN-
über das User-Portal. Meldet sich ein Be- Clients mit ihrem Webbrowser auf be- Link-Codes
nutzer mit Benutzernamen und Passwort stimmte Dienste im Firmennetzwerk
[1] Sophos-UTM-Downloads
am Portal an, erkennt die Firewall, dass für zugreifen können.
kap21
diesen Benutzer noch kein OTP-Token aus-
[2] Windows-10-RDP nutzen
gerollt wurde und zeigt zur Inbetriebnahme Auf UTM-Systemen steht diese Funktion
kap22
einen QR-Code an. Der Benutzer scannt unter dem Begriff "HTML-5 VPN Portal"
6 Auszug aus IT-Administrator Dezember 2020 Link-Codes eingeben auf www.it-administrator.deSie können auch lesen
