Sophos UTM 9 OpenVPN SSO

Mitglied: Julian94

Julian94 (Level 1)

17.02.2016 um 10:42 Uhr, 3176 Aufrufe, 2 Kommentare

Guten Morgen allerseits,

wir haben seit Freitag 2 Sophos SG330 im Einsatz und möchten nun den Außendienst per SSL VPN anbinden.

Am liebsten würden wir dies über den OpenVPN Dienst machen, da dieser sich schon vor der Anmeldung verbindet und somit eine saubere Domänenanmeldung möglich ist. Wie umgeht man in diesem Fall die Passwort abfrage, bzw. wie gibt man dem Dienst die Zugangsdaten mit? Wäre hier SSO möglich?

Die Lösung mit "auth-user-pass password.txt" finde ich sehr unglücklich da das Passwort im Klartext auf der Festplatte abgelegt wird. Und außerdem muss es nach jeder Passwortänderung angepasst werden.

Hat jemand bei sich im Hause so etwas schon realisiert? Bin für jegliche Lösungsansätze zu haben!
2 Kommentare
Mitglied: em-pie
21.02.2016 um 17:11 Uhr
Hi,

also wir haben 'ne SG230 im Einsatz und meines Wissens nach ist es mit den ausgelieferten Sophos configs nicht möglich, dass sich der OpenVPN SSL Client VOR der Benutzernameldung am Laptop/ PC mit der SG verbindet (lasse mich aber gerne belehren :) face-smile).
Wäre aus meiner Sicht auch sicherheitstechnisch sehr bedenklich:
Laptop wird gestohlen, Dieb steckt USB Stick mit Viren ein und euer Netzwerk freut sich ;)

Zudem: Warum sollte sich denn das Laptop mit der SG via VPN verbinden, wenn der Außendienstler dann mal im Büro ist?

Wir haben es so, dass es für die relevanten User im AD eine UserGroup gibt, in der alle relevanten VPN-User hinterlegt sind.
Will der MA von Unternwegs einen VPN-Tunnel aufbauen, so startet er den OpenVPN Client, meldet sich mit seinen Windows-Anmeldedaten an, wird an der SG gegen das AD authentifiziert und ist fertig. GPOs werden doch eh im Laufe der Zeit synchronisiert. WSUS Updates werden dann auch über den Tunnel gezogen, sobald die Verbindung besteht...
Und das Problem mit geänderten Kennwörtern ist dann auch hinfällig, da ja eh im AD synchronisiert.

Wenn es nicht zwingen SSL VPN sein muss, könnte vllt. der Weg via IPSec funktionieren.
http://www.ed.ac.uk/information-services/computing/desktop-personal/vpn ...

Mit IPSec habe ich aber bisher noch nicht auf der SG gearbeitet (S2S mal ausgenommen).



Gruß
em-pie
Mitglied: Julian94
24.02.2016 um 07:55 Uhr
Moin,

erstmal danke für die Antwort! Deine Sicherheitsbedenken verstehe ich, habe ich bis jetzt noch nicht drüber nach gedacht.

Es gibt User die nur 1-2 mal im Jahr (wenn überhaupt) bei uns am Netzwerk sind. Deshalb auch VPN, damit sich die Clients möglichst regelmäßig ihre GPOs abholen und diese Zentral verwaltbar werden.

Es gibt leider keinen kostenlosen IPSec Client der gut funktioniert, oder? Hatten früher LANCOM im Einsatz, hat eigentlich auch ganz gut mit IPSec funktioniert.

Gruß Julian