Sophos UTM: Unterscheidung VPN Clients

Mitglied: ukulele-7

ukulele-7 (Level 2) - Jetzt verbinden

25.03.2021 um 15:56 Uhr, 694 Aufrufe, 6 Kommentare

Hi,

ich habe eine Sophos UTM (SG) im Einsatz, die Homeoffice-Clients sind per SSL-VPN unterwegs. Jetzt habe ich auf ein paar mobilen Endgeräten OpenVPN ausgerollt, das klappt gut. Die Mobilen machen darüber grundsätzlich erstmal nur Exchange, der von Außen vorerst nicht erreichbar ist.

Jetzt grübel ich etwas, sieht jemand einen eleganten Weg wie ich in der Firewall zwischen Windows PCs im Homeoffice und Mobilen Endgeräten unterscheiden kann? Ich möchte gerne die Mobilen restriktiver handhaben, aber dafür jetzt auch nicht komplett andere VPN-Techniken einsetzen oder jedem Benutzer einen separaten Account für sein Mobil-Gerät einrichten.

Es wäre auch okay mit verschiedenen DHCP-Ranges zu arbeiten, aber ich kann für SSL-VPN nur einen DHCP Pool angeben, das ist irgendwie vom gewöhnlichen DHCP entkoppelt. So die zündende Idee habe ich noch nicht...
Mitglied: aqui
25.03.2021 um 15:59 Uhr
Zumindestens bei OpenVPN Clients ist das sehr einfach, denn über deren Common Name kannst du Ihnen feste IP Adressen zuweisen mit denen du dann wieder explizite Firewall Regeln pro User oder User Gruppe umsetzen kannst.
Bitte warten ..
Mitglied: ukulele-7
25.03.2021 um 16:47 Uhr
Zitat von @aqui:

Zumindestens bei OpenVPN Clients ist das sehr einfach, denn über deren Common Name kannst du Ihnen feste IP Adressen zuweisen mit denen du dann wieder explizite Firewall Regeln pro User oder User Gruppe umsetzen kannst.
Den Common Name gibt derzeit meine Sophos vor und der Benutzer wird mit der AD gesynct. Es ist im Prinzip der selbe Benutzer einmal mit Windows-PC und zeitgleich mit Tablet drin, die Config bezieht er über das selbe User Portal. Ich vermute mal ich kann den Common Name in der Config anpassen, das müsste dann aber händisch am Gerät ablaufen (unter iOS wird das vermutlich gar nicht so einfach gehen, da muss ich dann eine vorher präparierte Config verschicken).

Ich hatte eigentlich die Hoffnung es mit Vendor-spezifischen DHCP-Ranges lösen zu können. Also angenommen ein Gerät kommt mit einer MAC a la aa:bb:cc:xx:xx:xx daher und wird als Apple-Gerät erkannt. Dann vergibt der DHCP eine IP aus einem eigenen Adress-Pool für Apple Geräte und den verwende ich in der Firewall (nicht schlimm wenn es manuell umgangen werden kann). Allerdings sehe ich noch mehrere Probleme:
1) Scheinbar hat Apple sehr sehr viele "OUI"s, also verschiedene MAC-Adressblöcke.
2) Man kann im DHCP MAC-spezifisch "Options" mit geben (habe ich noch nicht zum laufen gebracht), kann man überhaupt unterschiedliche IP-Ranges auf dem selben Interface abhängig von der MAC spezifizieren?
3) Die "normale" DHCP-Konfiguration stellt sich bei Sophos ganz anders dar als der "Adress-Pool" für SSL VPN, Kann ich für VPN überhaupt die selben Möglichkeiten nutzen? (Konsole?)
4) Ich hab doch eigentlich gar keine Ahnung ;-) face-wink
Bitte warten ..
Mitglied: aqui
LÖSUNG 25.03.2021, aktualisiert um 17:08 Uhr
Es ist egal unter welchem Betriebssystem oder Smartphone. Der Common Name ist bei OpenVPN ja immer fest an ein User Zertifikat gebunden und wird dann mit ifconfig-push... Client spezifisch gesetzt. In sofern spielt es keinerlei Rolle ob Winblows, Mac, Linux oder iOS oder was auch immer....
Ich hatte eigentlich die Hoffnung es mit Vendor-spezifischen DHCP-Ranges lösen zu können
Das geht natürlich auch aber scheidet zumindestens bei OpenVPN aus da dort die IP nicht per DHCP verteilt wird an die Clients. Wie dein SSL Client das macht musst du dann sehen. Wenn der DHCP nutzt (was aber vermutlich nicht der Fall ist) klappt das ggf.
Scheinbar hat Apple sehr sehr viele "OUI"s, also verschiedene MAC-Adressblöcke.
Sogar richtig viele im neuen iOS denn dort sich die zur Verhinderung des User Trackings dynamisch. Thema Probe_Requests. In jeder Shopping Mall und an der Autobahn mit den Zeiten zu bestimmten Zielen usw. usw wird das gemacht um Nutzerverhalten zu analysieren. Big Brother... ;-) face-wink
Ändern sich also permament. ;-) face-wink Apple nennt das "Private WLAN Adressen" ! Siehe:
https://support.apple.com/de-de/HT211227
Das ist aber abschaltbar so das klassisch wieder eine feste Mac benutzt wird.
Neueste Androiden machen das übrigens auch so im WLAN...
Bitte warten ..
Mitglied: ukulele-7
26.03.2021 um 09:04 Uhr
Zitat von @aqui:

Es ist egal unter welchem Betriebssystem oder Smartphone. Der Common Name ist bei OpenVPN ja immer fest an ein User Zertifikat gebunden und wird dann mit ifconfig-push... Client spezifisch gesetzt. In sofern spielt es keinerlei Rolle ob Winblows, Mac, Linux oder iOS oder was auch immer....
Leider nutzen alle Clients das selbe Zertifikat, der Common Name wird bei Sophos abhängig vom User gesetzt.
Zitat von @aqui:

Ich hatte eigentlich die Hoffnung es mit Vendor-spezifischen DHCP-Ranges lösen zu können
Das geht natürlich auch aber scheidet zumindestens bei OpenVPN aus da dort die IP nicht per DHCP verteilt wird an die Clients. Wie dein SSL Client das macht musst du dann sehen. Wenn der DHCP nutzt (was aber vermutlich nicht der Fall ist) klappt das ggf.
Das ist auf jeden Fall hilfreich, danke. Ich war mir nicht sicher ob das mit DHCP gemacht wird denn die Sophos definiert hier einen IPv4 Adresspool und der Client bezieht die Adressen automatisch.

Ich würde sagen immer noch denkbar aber viel zu aufwendig umzusetzen, nur um verschiedene Firewall-Regeln auf externe Geräte anzuwenden. Ich habe die Firewall für alle Geräte bereits auf die nötigen Protokolle eingeschränkt und werde die Regeln einfach weiter zerlegen je nach Zielsystem.
Bitte warten ..
Mitglied: aqui
26.03.2021, aktualisiert um 10:22 Uhr
Leider nutzen alle Clients das selbe Zertifikat
Tödlich !
Wer macht denn so einen Unsinn als verantwortungsvoller Netzwerker ?? Da hat wohl einer nicht wirklich nachgedacht.
Was ein Quatsch. Kompromitiert einer das Zertifikat oder verlässt die Firma muss für alle ein neues eingerichtet werden. Wie oft will man das machen... ?? Da war wohl jemand beim Setup etwas "geistig umnachtet".
Aber nungut. Damit beraubst du dich dann sämtlicher Optionen was dein Vorhaben anbetrifft, jedenfalls für die OpenVPN Ecke.
Da solltest du/ihr wohl besser nochmal in euch gehen und euch fragen ob ihr mit solch laienhafter Frickelei leben wollt. Für dein IP Adresskonzept ist es so oder so dann der Todesstoß.
Case closed...
Bitte warten ..
Mitglied: ukulele-7
26.03.2021, aktualisiert um 10:44 Uhr
Ne ich muss mich korrigieren, in der Config stehen 2 Zertifikate, nur das erste ist identisch und dann vermutlich der öffentliche Schlüssel der Sophos.

PS: Allerdings haben natürlich einige User (z.B. Administratoren) Zugriff auf alle Zertifikate. Damit wären sie dann in der Lage mitgeschnittene Daten, die von der Sophos an einem VPN User geschickt werden, zu entschlüsseln oder?
Bitte warten ..
Heiß diskutierte Inhalte
Netzwerkgrundlagen
Frage der anderen Art
NeuerleVor 1 TagFrageNetzwerkgrundlagen16 Kommentare

Hi an alle, Ich bin InformatikStudi. Habe Ende des Monats Klausur im Fach Netzwerke zu schreiben und komme gar nicht klar. Entweder ich bin ...

Ubuntu
Cups-Server mit SMB lehnt Verbindungen ab (smb.conf)?
ErikHeinemannVor 1 TagFrageUbuntu17 Kommentare

Guten Morgen, ich habe einen Ubuntu 20.04 Server mit Cups als Printspooler. Nun Soll noch Samba hinzugefügt werden für eine einfache Verwendung unter Windows. ...

Exchange Server
Kaspersky for Exchange Meldungen
gelöst wieoderwasVor 1 TagFrageExchange Server11 Kommentare

Guten Morgen, wir haben bei uns einen Exchange 2013 mit Kaspersky for Exchange und Sophos auf Dateiebene. Heute Morgen habe ich einige von diesen ...

Groupware
Lokale Mini-Groupware für Mail, Adressbuch und Kalender gesucht
AndreasKasselVor 1 TagFrageGroupware10 Kommentare

Hallo zusammen, ich habe insgesamt 2 PCs, 1 Notebook, 1 Android-Tablet und ein Android-Smartphone. Weiterhin habe ich 2 Mail-Adressen bei 1&1 mit einer eigenen ...

Grafikkarten & Monitore
Unerklärliche Aussetzer Bildschirm und Maus
nixwissenderVor 1 TagFrageGrafikkarten & Monitore10 Kommentare

hallo! wir haben aktuell das unerklärliche phänomen, dass sich am arbeitsplatz vom mitarbeiter eines der beiden bildschirme kurzzeitig ausschaltet (und zwar der, der per ...

CPU, RAM, Mainboards
CPU Lüfter ausbauen
gelöst ben1300Vor 1 TagFrageCPU, RAM, Mainboards9 Kommentare

Hallo zusammen, ich habe mir damals einen Fertig PC gekauft. Ich würde gerne den Arbeitsspeichern austauschen, allerdings muss ich dafür - so wie es ...

Backup
Backup Datei
gelöst KanrishaVor 1 TagFrageBackup5 Kommentare

Hallo Zusammen, ich habe eine Frage ich will eine Backup bat Datei schreiben habe jedoch ein kleines Problem. Ich möchte ein Laufwerk in das ...

DNS
Android 10 und mein DNS Server
gelöst CyborgWeaselVor 1 TagFrageDNS7 Kommentare

Hallo allesamt, ich spiele gerade etwas mit einer Synology herum, habe unter Anderem einen eigenen DNS jetzt aufgesetzt. Die lokale Domäne ist HomeDomain.local und ...