Bei der Anbindung von Remote-Arbeitsplätzen per Virtual Private Network ist grundsätzlich zwischen einer Netz-zu-Netz-Kopplung (Site-to-Site) und der Anbindung einzelner Arbeitsplätze (Client-to-Site) zu unterscheiden. Einer Netz-zu-Netz-Kopplung wird der Admin immer dann den Vorzug geben, wenn mehrere Personen beziehungsweise ganze Arbeitsgruppen von einem entfernten Standort (Branch Office) auf Ressourcen des zentralen Unternehmensstandorts zugreifen müssen.

In diesem Fall übernimmt ein VPN-Gateway die Initialisierung der Tunnelverbindung, an den Arbeitsplätzen muss also weder VPN-Software installiert sein noch müssen die Mitarbeiter selbst für den Verbindungsaufbau sorgen. Für die Netz-zu-Netz-Kopplung stellen Sophos-UTM- und Sophos-XG-Firewallsysteme folgende Modi beziehungsweise Protokolle zur Verfügung:

- Sophos RED (Remote Ethernet Device)

- IPSec

- SSL-/OpenVPN Site-to-Site

Während sich IPSec und SSL-/OpenVPN prinzipiell interoperabel zwischen Geräten unterschiedlicher Hersteller nutzen lassen, handelt es sich bei den Remote Ethernet Devices (RED) um eine Sophos-eigene Technik: REDs sind einfache und preiswerte Geräte, die an den Remote-Standort verschickt und mithilfe eines Provisionierungsservice vom Admin an der zentralen Firewall in Betrieb genommen und verwaltet werden.

Am entfernten Standort muss das Gerät lediglich per DHCP eine IP-Adresse aus dem dortigen Netzwerk erhalten und auf das Internet zugreifen können. Mittels der Seriennummer finden sich die Geräte über den Sophos-RED-Dienst und die Site-to-Site-VPN-Verbindung wird vollautomatisch eingerichtet. Nach der erfolgreichen Provisionierung kommunizieren die Geräte nur noch direkt miteinander, die VPN-Verbindung läuft also nicht über Sophos-Server.

Remote-Access-Verbindungen (Client-to-Site) sind ebenfalls über die Protokolle IPSec und SSL-/OpenVPN möglich, als Alternative stehen aber zusätzlich noch die Protokolle Layer 2 Tunneling Protocol (L2TP) und das (veraltete) Point-to-Point-Tunneling-Protocol (PPTP) zur Verfügung. Für Remote-Access per IPSec ist auf Clientseite ein IPSec-VPN-Client nötig. Sophos-UTM-9.x-Kunden benötigen entweder den kostenpflichtigen Sophos-IPsec-Client oder nutzen den kostenfreien Sophos Connect (IPSec-Client) [1], der bei der Sophos-XG-Firewall nun standardmäßig zum Einsatz kommt.

Als besonders einfache Zugriffsform für Remote-Verbindungen, die ohne Installation eines Clients auf Seiten des Benutzers auskommt, bietet sich der sogenannte "Clientless access" (Sophos XG Firewall) beziehungsweise "HTML-5 VPN Portal" (Sophos UTM/SG Firewall) an. Details dazu finden Sie im Abschnitt "Clientless Remote Access über HTML5".

VPNs erzeugen mit ihrer Verschlüsselung einen virtuellen privaten Tunnel in öffentlichen Netzwerken wie dem Internet. Doch die Verschlüsselung alleine genügt nicht, um VPN-Verbindungen hinreichend abzusichern. Eine zentrale Bedeutung kommt auch der Authentifizierung zu. Je nach verwendetem Protokoll stehen unterschiedliche Authentifizierungsmechanismen beziehungsweise Kombinationen aus diesen Verfahren zur Verfügung: Passwort, Pre-shared Key, Zertifikate oder zusätzliche Faktoren wie One-Time-Passworte (OTP).

Das veraltete PPTP-Protokoll ist das einzige, dessen Sicherheit sich ausschließlich auf das Passwortverfahren verlässt. Die Nutzung von PPTP ist daher nicht mehr zu empfehlen und es steht in den Sophos-Firewalls ausschließlich aus Kompatibilitätsgründen zur Verfügung. Die Wahl des Authentifizierungsverfahrens orientiert sich in der Regel an den Anforderungen für die Vertraulichkeit der jeweiligen Anbindung. Site-to-Site-Tunnel für entfernte Standorte sind daher meist mit Pre-Shared-Keys gesichert, während für Client-to-Site-Verbindungen in der Regel X.509-Zertifikate und Passworte zum Einsatz kommen.

Grundsätzlich gilt: Je weniger vertrauenswürdig die Umgebung ist, aus der sich der Client einwählt, desto stärker sollte das eingesetzte Authentifizierungsverfahren sein. Wählen sich VPN-User beispielsweise über öffentliche Hotspots ein, sollten Sie zusätzlich zu Zertifikaten eine Zwei-Faktor- beziehungsweise Multifaktor-Authentifizierung einsetzen. Für die Einwahl von Administratoren und anderen privilegierten Benutzern bietet sich aus Sicherheits- und Compliance-Gründen grundsätzlich eine Multifaktor-Authentifizierung an.

Prinzipiell bieten beide Sophos-Firewallsysteme die gleichen VPN-Protokolle an: IPSec, SSL-VPN/OpenVPN, L2TP over IPSec, PPTP, Sophos RED und HTML-5-VPN-Portal (UTM) beziehungsweise Clientless Access (XG). Im Detail betrachtet gibt es aber durchaus Unterschiede. So unterstützt das IPSec-Modul der XG-Firewall beispielsweise das Schlüsseltauschverfahren IKEv2, während auf den UTM-Systemen lediglich IKE zur Verfügung steht. Darüber hinaus kann die UTM-Software von Haus aus mit einer Amazon-Webservices-(AWS)-Instanz kommunizieren. Dafür ist lediglich der Import einer VPC-Konfigurationsdatei erforderlich, die der Administrator in AWS erzeugen kann. Die XG-Firewall nutzt als Connector für die Public-Cloud hingegen grundsätzlich einen IPSec-Tunnel.

Die Anbindung per VPN alleine nutzt den Mitarbeitern im Home Office allerdings wenig. Sie wollen mit ihren gewohnten Applikationen und Daten aus dem Unternehmensnetzwerk weiterarbeiten. Lässt sich der Zugriff auf Ordner und Dateien über VPN meist noch problemlos über den Windows Explorer und die Bearbeitung von Dateien mit lokal installierten Office-Anwendungen realisieren, wird es bei der Nutzung von Unternehmenssoftware schon schwieriger. Denn Clients für ERP-, CRM-, Archivsysteme und andere Business-Anwendungen sind meist nur auf den Desktop-Rechnern im Unternehmen, nicht aber auf den mobilen Geräten der Mitarbeiter installiert. Für Remote-Benutzer stellen Administratoren daher meist eine Terminalserver- oder VDI-Infrastruktur bereit. Nach dem Aufbau der VPN-Verbindung starten die Benutzer dann einen Citrix-, RDP- oder PCoIP-Client, um Zugang zu virtuellen Desktops oder freigegebenen Applikationen im Unternehmensnetzwerk zu erhalten.

Ist keine Terminalserver- oder VDI-Infrastruktur vorhanden, bietet sich alternativ der Remote-Zugriff auf die Desktop-Rechner über VPN an. Damit das funktioniert, müssen die Desktop-Rechner in der Firma entweder dauerhaft eingeschaltet bleiben oder per Wake-on-LAN aus der Ferne bei Bedarf eingeschaltet werden.

Letzteres wird kaum ein Administrator seinen Anwendern zumuten können, daher bleibt alternativ noch das zeitgesteuerte Hochfahren der Rechner, beispielsweise mit einem Clientmanagement-System, skriptgesteuert oder mithilfe eines Wake-on-LAN-Gateways. Darüber hinaus muss auf den betreffenden Rechnern natürlich auch der Remotedesktop aktiviert und der Zugriff über RDP in der Windows-Firewall freigeschaltet werden.

Wie bereits erwähnt, bieten beide Sophos-Firewalls Unterstützung für verschiedene VPN-Protokolle. Für Remote-Access-Verbindungen (also Client-to-Site) kommen prinzipiell IPSec, L2TP, PPTP, SSL-VPN und der Clientless Access über einen HTML5-Desktop in Frage. Welches Protokoll sich für Ihren Anwendungsfall am besten eignet, hängt vor allem von den auf den Clients genutzten Betriebssystemen ab. SSL-VPN (OpenVPN) bietet gegenüber den anderen Protokollen verschiedene Vorteile. So ist es plattformunabhängig und Clients stehen für Windows, macOS, Linux, iOS und Android zur Verfügung. Außerdem ist es Proxy-fähig und so kann OpenVPN Verbindungen auch über Web-Proxies aufbauen. Nachfolgend beschreiben wir daher exemplarisch die Aktivierung und Einrichtung von OpenVPN auf Sophos-UTM- und XG-Firewalls.

Die nun dargestellten Schritte beziehen sich auf Version 9.7 von Sophos-UTM-Systemen. Sie sollten aber weitestgehend auch für ältere Releases Gültigkeit haben. Die folgenden Punkte sind für die Einrichtung von OpenVPN durchzuführen:

- Anlegen beziehungsweise Definition der VPN-Benutzer.

- Aktivieren und Konfigurieren eines SSL-VPN-Profils.

- Definition der Parameter für den VPN-Server.

- Aktivieren des User-Portals.

- Installieren des VPN-Clients auf den Geräten der Benutzer.

Der VPN-Client beziehungsweise Konfigurationsprofile für OpenVPN-Clients werden von der UTM dann automatisch inklusive der X.509-Zertifikate erstellt und über das User-Portal bereitgestellt.

Legen Sie unter dem Punkt "Definitions & Users / Users & Groups / User / New User" nun zunächst die gewünschten Benutzer sowie ein Passwort und eine E-Mail-Adresse je Benutzer an. Mit dem Passwort können sich die Anwender später ins User-Portal einloggen, um dort ihren VPN-Client oder eine Konfigurationsdatei herunterzuladen. Das X.509-Zertifikat für den jeweiligen VPN-User wird auf Basis der E-Mail-Adresse des Benutzers ausgestellt. Als Nächstes erzeugen Sie unter "Remote Access / SSL / Profiles" ein neues Remote-Access-Profil und fügen diesem per Drag-and-Drop die erlaubten Benutzer oder Gruppen sowie die lokalen Netzwerke hinzu, auf die die VPN-Benutzer später zugreifen dürfen. Sollten die Netze noch nicht definiert sein, können Sie diese hier auch gleich anlegen. Setzen Sie das Häkchen bei "Automatic firewall rules", die Firewall erzeugt dann automatisch die erforderlichen Firewall-Regeln, sobald das VPN-Profil aktiviert ist. Deaktivieren Sie das VPN-Profil später wieder, werden auch die Firewallregeln wieder entfernt.

Auf dem Reiter "Remote Access / SSL / Settings" legen Sie fest, auf welchem Interface der VPN-Server läuft (üblicherweise WAN) und über welchen TCP- oder UDP-Port er kommunizieren soll. Die Voreinstellung hierfür lautet "TCP 443" und mit dieser Konfiguration ist der VPN-Server auch aus Netzwerken erreichbar, die nur HTTPS-Verkehr zulassen oder den Internet-Traffic über einen Web-Proxy erzwingen. Wählen Sie nun den gewünschten "Virtual IP Pool" aus. Die VPN-Clients erhalten bei der Einwahl eine IP-Adresse aus dem hier ausgewählten Pool-Netzwerk, mit der sie Zugriff auf die freigegebenen internen Netze haben.

Ist der Schalter "Duplicate CN" gesetzt, können VPN-Nutzer mehrere parallele Sessions aufbauen, ansonsten ist je Benutzer nur eine Verbindung zur selben Zeit erlaubt. Auf dem Karteireiter "Advanced" legen Sie zuletzt noch den Verschlüsselungs- und Authentifizierungsmechanismus sowie die Schlüssellänge und -gültigkeitsdauer fest und wählen aus, welches Serverzertifikat Sie für den VPN-Server verwenden möchten. Beachten Sie, dass die UTM hier keine Verwendung von Wildcard-Zertifikaten oder durch Intermediate-CAs unterschriebene Zertifikate erlaubt. Im Zweifelsfall nutzen Sie daher einfach das Appliance-Zertifikat. Zuletzt aktivieren Sie noch das User-Portal, indem Sie den Schalter unter "Management / User Portal / Global" auf aktiv setzen und unter "Allowd Networks" jene Netze hinzufügen, aus denen der Zugriff auf das Portal möglich sein soll (üblicherweise "any").

Damit ist die Einrichtung des VPN-Servers abgeschlossen und die Benutzer können sich mit dem zuvor definierten Passwort in das User-Portal einloggen. Dieses ist standardmäßig unter der URL "https:// <IP-Adresse-oder-Hostname-der-Firewall>" erreichbar. Im Bedarfsfall können Sie aber auf dem "Advanced"-Tab des User-Portals auch einen anderen Hostnamen beziehungsweise eine andere Adresse sowie einen abweichenden Port für den Zugriff auf das Portal angeben.

Nach dem erfolgreichen Login steht den Benutzern im Bereich "Remote Access" des User-Portals nun entweder ein vollständiges Installationspaket inklusive Zertifikat und Konfigurationsdatei für Windows oder eine OpenVPN-Konfigurationsdatei inklusive Zertifikat für die Nutzung mit einem bereits installierten OpenVPN-Client unter Windows, Linux, macOS, iOS oder Android zur Verfügung. Nachdem die Benutzer den SSL-VPN-Client auf ihren Systemen installiert haben, können sie sich mit ihrem Benutzernamen und Passwort per VPN ins Unternehmensnetzwerk einwählen. Optional lassen sich sowohl die VPN-Einwahl als auch der Zugriff auf das Portal mit der integrierten Zweifaktor-Authentifizierung absichern, dazu später mehr.

Seit Anfang März ist die neue Version "SFOS 18" der XG-Firewall verfügbar. Die Einrichtung des SSL-VPN unterscheidet sich aber nicht zur Vorgängerversion (17.5), daher bietet sich die folgende Anleitung auch für Administratoren der Vorversion an. Gegenüber der UTM gibt es allerdings kleinere Unterschiede bei der Einrichtung: So aktivieren Sie beispielsweise das User-Portal über den "Device Access" und die Firewallregeln für den Zugriff der VPN-Benutzer auf Netzwerkressourcen werden nicht automatisch generiert. Daraus ergibt sich die folgende abweichende Vorgehensweise für die XG-Firewall:

- Anlegen oder Definieren einer Benutzergruppe und der VPN-Benutzer.

- Erstellen und Konfigurieren eines SSL-VPN-Profils.

- Definieren der SSL-VPN-Einstellungen.

- Aktivieren des User-Portals und des VPN-Profils für den Device Access.

- Erstellen der Firewallregeln für den Zugriff der SSL-VPN-Gruppe auf Netzwerkressourcen.

- Installieren des VPN-Clients auf den Geräten der Benutzer.

Definieren Sie zunächst unter "Authentication / Group" eine neue Gruppe für Benutzer mit VPN-Remote-Access, in unserem Beispiel verwenden wir als Gruppenname "Remote Access VPN Gruppe". Danach legen Sie unter "Authentication / Users" die gewünschten Benutzer mit Loginnamen, E-Mail-Adresse und Passwort an und fügen diese der zuvor erstellten Remote-Access-VPN-Gruppe hinzu. Prüfen Sie, ob unter "Authentication / User portal authentication methods" und "Authentication / SSL VPN authentication methods" jeweils "Lokal" als Authentication Server eingetragen ist.

Im nächsten Schritt definieren Sie unter "Hosts & Services / IP host" einen Eintrag für Netze, auf die die Remote-Access-Clients später zugreifen dürfen (Local Network), und ein weiteres Netzwerk, dessen IP-Adressen später an die VPN-Clients verteilt werden (SSL VPN Pool). In unserem Fall sieht das wie folgt aus:

Die IP-Netze passen Sie natürlich an die Gegebenheiten Ihres Netzwerks an. Danach legen Sie unter "VPN / SSL VPN (remote access)" eine neue Policy an, zum Beispiel mit dem Namen "OpenVPN", und fügen unter "Policy Members" die zuvor erstellte Gruppe "Remote Access VPN Gruppe" hinzu. Überprüfen Sie unter "VPN / Show VPN Settings / SSL VPN", ob dort das korrekte Subnetz für die SSL-VPN-Range eingetragen ist und korrigieren Sie gegebenenfalls die "Protocol Settings" (TCP oder UDP) und den Port. Wie bei der UTM ist die Voreinstellung auch in der XG-Firewall "TCP 443". Aktivieren Sie unter "Administration / Device Access" nun noch "SSL VPN" und "User Portal" für die gewünschten Zonen, zum Beispiel LAN und WAN.

Im letzten Schritt legen wir jetzt noch eine passende Firewallregel unter "Rules and policies / Add Firewall Rule" nach dem folgenden Schema an:

Aktivieren Sie dabei "Match known Users" und fügen Sie der Regel die Gruppe "Remote Access VPN Gruppe" hinzu. Speichern Sie die Regel dann mit "Save", damit sich die Benutzer mit ihren Credentials am User-Portal unter der URL "https://<IP-Adresse-oder-Hostname-der-Firewal>" einloggen können. Der SSL-VPN-Client beziehungsweise die Konfigurationsprofile stehen dort unter dem Menüpunkt "SSL VPN" zum Download bereit. Nach der Installation des Clients können sich Ihre Benutzer nun per VPN an der Firewall anmelden. Unter "Current Activities / Remote Users" sehen Sie die aktuell per VPN oder im User-Portal angemeldeten Benutzer und können VPN-Verbindungen im Bedarfsfall auch serverseitig trennen.

Sowohl Sophos-UTM- als auch Sophos-XG-Firewalls verfügen über eine integrierte Zweifaktor-Authentifizierung, mit der Sie den Zugriff auf verschiedene Dienste zusätzlich mit einem Einmalpasswort (OTP) absichern können. Die One-time-Password-Authentifizierung von Sophos basiert auf dem OATH-Standard und arbeitet daher mit gängigen OATH-Clients wie dem Google Authenticator zusammen.

Sophos bietet in den App­stores von Apple und Google aber auch eine eigene App namens "Sophos Authenticator" an. Zu beachten ist, dass die integrierte Zweifaktor-Authentifizierung ausschließlich von der Firewall selbst bereitgestellte Dienste absichern kann. Es ist also nicht möglich, andere Dienste wie Outlook Webaccess oder Ähnliches über die integrierte Zweifaktor-Authentifizierung abzusichern. Obwohl das Aktivieren der OTP-Funktion auf beiden Firewalls im Prinzip gleich funktioniert, unterstützen die Systeme doch eine unterschiedliche Anzahl von Diensten:

- Sophos UTM: WebAdmin, User-Portal, Web-Application-Firewall, IPSec-Remote-Access, SSL-VPN-Remote-Access, Shell-Access und Hotspot

- Sophos XG: WebAdmin, User-Portal, IPSec-Remote-Access, SSL-VPN-Remote-Access

Und so nehmen Sie die OTP-Funktion – hier exemplarisch für das User-Portal und SSL-VPN-Remote-Access – in Betrieb: Stellen Sie sicher, dass die vorgesehenen Benutzer den Sophos Authenticator auf ihrem Mobilgerät installiert haben. Auf der Sophos-UTM aktivieren Sie die Funktion zunächst im Menü "Authentication Services / One-time-Password". Unter "Authentication Settings" fügen Sie entweder die Benutzer hinzu, für die Sie die Zweifaktor-Authentifizierung einschalten möchten oder wählen "All users must use one-time-passwords". Setzen Sie danach jeweils das Häkchen bei "Auto-create OTP tokens for users" sowie bei "User Portal" und "SSL VPN Remote Access".

Auf XG-Firewalls finden Sie die Funktion unter "Authentication / One-time Password / Settings". Dort können Sie die Funktion global aktivieren und ebenfalls manuell Benutzer hinzufügen oder die Zweifaktor-Authentifizierung für alle Benutzer mit "Auto-create OTP Tokens" festlegen. Wählen Sie bei den "OTP facilities" wieder "User Portal" und "SSL VPN remote access" und übernehmen Sie die Einstellung mit einem Klick auf "Apply".

Aus Sicht der Anwender läuft die Aktivierung von OTP bei beiden Systemen ab hier über das User-Portal. Meldet sich ein Benutzer mit Benutzernamen und Passwort am Portal an, erkennt die Firewall, dass für diesen Benutzer noch kein OTP-Token ausgerollt wurde und zeigt zur Inbetriebnahme einen QR-Code an. Der Benutzer scannt diesen QR-Code mit der Sophos-Authenticator-App, klickt auf "Proceed to Login" und wird danach wieder auf das Login-Formular des User-Portals umgeleitet.

Zur Authentifizierung gibt der Benutzer hier dann wieder seinen Benutzernamen und Passwort ein, hängt aber zusätzlich das in der Authenticator-App erzeugte Einmalpasswort direkt an das Passwort an. Ab diesem Zeitpunkt ist die Zweifaktor-Authentifizierung dann für den Benutzer und die zuvor gewählten Dienste aktiv. Entsprechend müssen die Benutzer für die Einwahl per SSL-VPN dann zur Authentifizierung ebenfalls das Einmalpasswort an das reguläre Benutzerpasswort anhängen.

Manchmal besteht für Benutzer keine Möglichkeit, sich aus der Ferne via VPN ins Unternehmensnetzwerk einzuwählen, zum Beispiel weil am verwendeten Gerät die Berechtigungen zur Installation der VPN-Clientsoftware fehlen oder weil dem Endgerät schlicht nicht vertraut wird. Für solche Fälle stellen Sophos UTM und XG eine Alternative bereit, mit deren Hilfe Benutzer ohne die Installation eines VPN-Clients mit ihrem Webbrowser auf bestimmte Dienste im Firmennetzwerk zugreifen können.

Auf UTM-Systemen steht diese Funktion unter dem Begriff "HTML-5 VPN Portal" zur Verfügung, auf XG-Systemen heißt sie dagegen schlicht "Clientless access". Bedienung und Funktionalität sind auf beiden Systemen weitestgehend identisch. Auf XG-Firewalls stehen jedoch mehr Dienste für den clientlosen Zugriff zur Verfügung als auf UTM-Systemen:

- XG-Firewalls: RDP, Telnet, SSH, FTP, FTPS, SFTP, SMB und VNC

- UTM-Firewalls: RDP, Telnet, SSH, VNC, HTTP und HTTPS

Verbindungen zu HTTP- und HTTPS-Servern im internen Netzwerk lassen sich natürlich auch auf XG-Systemen mithilfe der Web-Application-Firewall an externe Clients durchreichen. In den meisten Fällen dürfte aber der Zugriff auf interne Windows-Systeme über RDP das Ziel sein. Die Authentifizierung der externen Benutzer erfolgt in beiden Fällen über das User-Portal, das daher aus dem Internet (WAN-Interface) erreichbar sein muss. Aus Sicherheitsgründen sollten Sie auf jeden Fall die Zweifaktor-Authentifizierung für das User-Portal aktivieren.

Die Sophos-Firewallsysteme bieten umfangreiche Möglichkeiten der Standortvernetzung oder für die sichere Anbindung externer Benutzer an das Unternehmensnetzwerk. Neben Protokollen wie IPSec und L2TP ist vor allem der Einsatz des SSL-basierten OpenVPN interessant, das einen kostenfreien VPN-Client für praktisch alle relevanten Plattformen bietet.

Mit dem HTML5-VPN-Portal beziehungsweise Clientless Access können Benutzer aus der Ferne auch ganz ohne VPN-Client auf Dienste in der Zentrale zugreifen. Dank einer integrierten Zwei-Faktor-Authentifizierung kann der Administrator alle Arten von Remote-Verbindungen mit einer OATH-basierten One-Time-Passwort-Funktion ganz ohne Zusatzkosten absichern.