Sophos UTM 9 OpenVPN SSO

Mitglied: Julian94

Julian94 (Level 1) - Jetzt verbinden

17.02.2016 um 10:42 Uhr, 3183 Aufrufe, 2 Kommentare

Guten Morgen allerseits,

wir haben seit Freitag 2 Sophos SG330 im Einsatz und möchten nun den Außendienst per SSL VPN anbinden.

Am liebsten würden wir dies über den OpenVPN Dienst machen, da dieser sich schon vor der Anmeldung verbindet und somit eine saubere Domänenanmeldung möglich ist. Wie umgeht man in diesem Fall die Passwort abfrage, bzw. wie gibt man dem Dienst die Zugangsdaten mit? Wäre hier SSO möglich?

Die Lösung mit "auth-user-pass password.txt" finde ich sehr unglücklich da das Passwort im Klartext auf der Festplatte abgelegt wird. Und außerdem muss es nach jeder Passwortänderung angepasst werden.

Hat jemand bei sich im Hause so etwas schon realisiert? Bin für jegliche Lösungsansätze zu haben!
Mitglied: em-pie
21.02.2016 um 17:11 Uhr
Hi,

also wir haben 'ne SG230 im Einsatz und meines Wissens nach ist es mit den ausgelieferten Sophos configs nicht möglich, dass sich der OpenVPN SSL Client VOR der Benutzernameldung am Laptop/ PC mit der SG verbindet (lasse mich aber gerne belehren :) face-smile).
Wäre aus meiner Sicht auch sicherheitstechnisch sehr bedenklich:
Laptop wird gestohlen, Dieb steckt USB Stick mit Viren ein und euer Netzwerk freut sich ;)

Zudem: Warum sollte sich denn das Laptop mit der SG via VPN verbinden, wenn der Außendienstler dann mal im Büro ist?

Wir haben es so, dass es für die relevanten User im AD eine UserGroup gibt, in der alle relevanten VPN-User hinterlegt sind.
Will der MA von Unternwegs einen VPN-Tunnel aufbauen, so startet er den OpenVPN Client, meldet sich mit seinen Windows-Anmeldedaten an, wird an der SG gegen das AD authentifiziert und ist fertig. GPOs werden doch eh im Laufe der Zeit synchronisiert. WSUS Updates werden dann auch über den Tunnel gezogen, sobald die Verbindung besteht...
Und das Problem mit geänderten Kennwörtern ist dann auch hinfällig, da ja eh im AD synchronisiert.

Wenn es nicht zwingen SSL VPN sein muss, könnte vllt. der Weg via IPSec funktionieren.
http://www.ed.ac.uk/information-services/computing/desktop-personal/vpn ...

Mit IPSec habe ich aber bisher noch nicht auf der SG gearbeitet (S2S mal ausgenommen).



Gruß
em-pie
Bitte warten ..
Mitglied: Julian94
24.02.2016 um 07:55 Uhr
Moin,

erstmal danke für die Antwort! Deine Sicherheitsbedenken verstehe ich, habe ich bis jetzt noch nicht drüber nach gedacht.

Es gibt User die nur 1-2 mal im Jahr (wenn überhaupt) bei uns am Netzwerk sind. Deshalb auch VPN, damit sich die Clients möglichst regelmäßig ihre GPOs abholen und diese Zentral verwaltbar werden.

Es gibt leider keinen kostenlosen IPSec Client der gut funktioniert, oder? Hatten früher LANCOM im Einsatz, hat eigentlich auch ganz gut mit IPSec funktioniert.

Gruß Julian
Bitte warten ..
Heiß diskutierte Inhalte
Windows 10
Wie komme ich von WIN10pro auf Windows 10 Enterprise
LegofrauVor 13 StundenFrageWindows 1058 Kommentare

Guten Tag, Wie komme ich auf legale weiße von Windows 10 professionell auf Windows 10 Enterprise? Ich habe viele widersprüchliche Antworten gefunden. Also muss ...

Router & Routing
FB und Archer 2 getrennte Netze mit einer WAN-Verbindung
neuhier14Vor 1 TagFrageRouter & Routing27 Kommentare

Hallo, ich habe eine Fritzbox 7490 und einen Archer C5 mit OpenWRT. Die Fritzbox ist mein Hauptrouter. Ich würde daneben gerne ein komplett getrenntes ...

Off Topic
Bewerbungsfragen FISI
IT-ProVor 1 TagFrageOff Topic14 Kommentare

Hi, Ja, der Titel mag etwas komisch klingen. Aber das wird sich in den folgenden Zeilen hoffentlich lösen. Ich habe mich hier gerade durch ...

Linux
Bootable Win7 stick from Raspberry commandline
winlinVor 1 TagFrageLinux12 Kommentare

Hallo zusammen Ich benötige einen bootfähigen Win7 USB Stick. Muss diesen über meine Raspberry erstellen. Was ist die beste Variante habe schon ein paar ...

Windows Server
Remotedesktopgateway Zertifikat - Zugriff überall
lukas0209Vor 1 TagFrageWindows Server9 Kommentare

Guten Abend zusammen, ich habe eine Frage bzgl. des Windows Remotedesktopgateways. Wir nutzen einen Windows Server 2016 Essentials, dieser bringt von Haus aus die ...

Off Topic
Verwaltungskosten von Passwörtern
IT-ProVor 1 TagFrageOff Topic4 Kommentare

Guten Morgen liebe Menschen. Ich benötigte für die Erstellung meiner IHK-Projektarbeit ein paar Informationen zu den Kosten von Passwörtern. Ich habe aus folgendem Beitrag ...

Exchange Server
Mails fehlen im Exchange-Server 2016
it-basixsVor 1 TagFrageExchange Server4 Kommentare

Moin, moin zusammen. Ich habe leider ein Problem mit einem Exchange Server 2016 CU20 inkl. aller Patches. Laut Ereignisanzeige von POPcon, werden die Mails ...

Microsoft
Client verhält sich im Home Office wie Gerät vor 10 Jahren
Finchen961988Vor 14 StundenFrageMicrosoft8 Kommentare

Hallo liebes Forum, ich mal wieder und ich habe riesen ??? über den Kopf! Das Verhalten zu beschreiben wird nicht ganz einfach, da ich ...