Sophos UTM 9 OpenVPN SSO

Mitglied: Julian94

Julian94 (Level 1) - Jetzt verbinden

17.02.2016 um 10:42 Uhr, 3163 Aufrufe, 2 Kommentare

Guten Morgen allerseits,

wir haben seit Freitag 2 Sophos SG330 im Einsatz und möchten nun den Außendienst per SSL VPN anbinden.

Am liebsten würden wir dies über den OpenVPN Dienst machen, da dieser sich schon vor der Anmeldung verbindet und somit eine saubere Domänenanmeldung möglich ist. Wie umgeht man in diesem Fall die Passwort abfrage, bzw. wie gibt man dem Dienst die Zugangsdaten mit? Wäre hier SSO möglich?

Die Lösung mit "auth-user-pass password.txt" finde ich sehr unglücklich da das Passwort im Klartext auf der Festplatte abgelegt wird. Und außerdem muss es nach jeder Passwortänderung angepasst werden.

Hat jemand bei sich im Hause so etwas schon realisiert? Bin für jegliche Lösungsansätze zu haben!
Mitglied: em-pie
21.02.2016 um 17:11 Uhr
Hi,

also wir haben 'ne SG230 im Einsatz und meines Wissens nach ist es mit den ausgelieferten Sophos configs nicht möglich, dass sich der OpenVPN SSL Client VOR der Benutzernameldung am Laptop/ PC mit der SG verbindet (lasse mich aber gerne belehren :) face-smile).
Wäre aus meiner Sicht auch sicherheitstechnisch sehr bedenklich:
Laptop wird gestohlen, Dieb steckt USB Stick mit Viren ein und euer Netzwerk freut sich ;)

Zudem: Warum sollte sich denn das Laptop mit der SG via VPN verbinden, wenn der Außendienstler dann mal im Büro ist?

Wir haben es so, dass es für die relevanten User im AD eine UserGroup gibt, in der alle relevanten VPN-User hinterlegt sind.
Will der MA von Unternwegs einen VPN-Tunnel aufbauen, so startet er den OpenVPN Client, meldet sich mit seinen Windows-Anmeldedaten an, wird an der SG gegen das AD authentifiziert und ist fertig. GPOs werden doch eh im Laufe der Zeit synchronisiert. WSUS Updates werden dann auch über den Tunnel gezogen, sobald die Verbindung besteht...
Und das Problem mit geänderten Kennwörtern ist dann auch hinfällig, da ja eh im AD synchronisiert.

Wenn es nicht zwingen SSL VPN sein muss, könnte vllt. der Weg via IPSec funktionieren.
http://www.ed.ac.uk/information-services/computing/desktop-personal/vpn ...

Mit IPSec habe ich aber bisher noch nicht auf der SG gearbeitet (S2S mal ausgenommen).



Gruß
em-pie
Bitte warten ..
Mitglied: Julian94
24.02.2016 um 07:55 Uhr
Moin,

erstmal danke für die Antwort! Deine Sicherheitsbedenken verstehe ich, habe ich bis jetzt noch nicht drüber nach gedacht.

Es gibt User die nur 1-2 mal im Jahr (wenn überhaupt) bei uns am Netzwerk sind. Deshalb auch VPN, damit sich die Clients möglichst regelmäßig ihre GPOs abholen und diese Zentral verwaltbar werden.

Es gibt leider keinen kostenlosen IPSec Client der gut funktioniert, oder? Hatten früher LANCOM im Einsatz, hat eigentlich auch ganz gut mit IPSec funktioniert.

Gruß Julian
Bitte warten ..
Heiß diskutierte Inhalte
LAN, WAN, Wireless
Starlink im Unternehmen?
0xFFFFVor 1 TagFrageLAN, WAN, Wireless41 Kommentare

Guten Morgen Admins, leider leiden wir darunter, dass wir uns hier in DE noch in einem Entwicklungsland was die Internetanbindung angeht, sehr. Nun kam ...

Off Topic
Klimaanlage im Serverraum
gelöst imebroVor 23 StundenFrageOff Topic20 Kommentare

Hallo, wir haben einen kleinen Serverraum (viell. 5 - 6 m²), in dem ein Serverschrank steht. Der Raum hat kein Fenster!!! Darin befinden sich ...

Microsoft
Datenkrake - Browser
DennisWeberVor 1 TagErfahrungsberichtMicrosoft13 Kommentare

Hallo zusammen, ich empfehle euch mal definitiv in "Temp" Verzeichnis eures Browsers zu schauen. Es war für mich erschreckend, wie viele wichtige Dokumente und ...

Netzwerkmanagement
Sicherheitsrisiken Synology DS Admin Konto
RitchtoolsVor 1 TagFrageNetzwerkmanagement6 Kommentare

Hallo Zusammen, ich habe die Pflege von einem Firmen NAS übernommen (Synology) es sind mehrere Rechner im Netzwerk die auf Daten zugreifen. Leider hat ...

Windows 10
Windows 10 hängt bei Neustart immer bei "Bitte warten" über Stunden
gelöst Odde23Vor 1 TagFrageWindows 1023 Kommentare

Ich habe seit längerem, um genau zu sein seit gut einem Jahr, da wurde der Rechner gekauft, das Problem, dass der Rechner bei einem ...

Microsoft
Meine Gruppenrichtlinie wird nicht angewendet oder ich bin zu dumm
gelöst RandonDudeVor 17 StundenFrageMicrosoft14 Kommentare

Hallo zusammen, ich bin Hobby-Admin für einen Versicherungsmakler. Wir haben ein Active Directory im Einsatz. Ich möchte verhindern, dass sich Benutzer an PCs anmelden, ...

Windows Server
Igel + Terminalserver + VoIP + Softphone
Asgard-LokiVor 18 StundenFrageWindows Server13 Kommentare

Gude Kolleginnen und Kollegen, ich habe da mal eine Frage zu einem Thema was für mich relativ neu ist. Wir wollen unsere Telefonie gerne ...

Weiterbildung
Das Impostersyndrom oder: "Was kann ich eigentlich?"
AnduinVor 20 StundenFrageWeiterbildung6 Kommentare

Werte Mitadmins, ich würde mich heute gerne mit einem mir wichtigen Thema an euch wenden. Ich bin 40 Jahre alt und seit 21 Jahren ...