VPN-Anbindung mit Sophos-Firewalls

Bei der Anbindung von Remote-Arbeitsplätzen per Virtual Private Network ist grundsätzlich zwischen einer Netz-zu-Netz-Kopplung (Site-to-Site) und der Anbindung einzelner Arbeitsplätze (Client-to-Site) zu unterscheiden. Einer Netz-zu-Netz-Kopplung wird der Admin immer dann den Vorzug geben, wenn mehrere Personen beziehungsweise ganze Arbeitsgruppen von einem entfernten Standort (Branch Office) auf Ressourcen des zentralen Unternehmensstandorts zugreifen müssen.

In diesem Fall übernimmt ein VPN-Gateway die Initialisierung der Tunnelverbindung, an den Arbeitsplätzen muss also weder VPN-Software installiert sein noch müssen die Mitarbeiter selbst für den Verbindungsaufbau sorgen. Für die Netz-zu-Netz-Kopplung stellen Sophos-UTM- und Sophos-XG-Firewallsysteme folgende Modi beziehungsweise Protokolle zur Verfügung:

- Sophos RED (Remote Ethernet Device)

- IPSec

- SSL-/OpenVPN Site-to-Site

Während sich IPSec und SSL-/OpenVPN prinzipiell interoperabel zwischen Geräten unterschiedlicher Hersteller nutzen lassen, handelt es sich bei den Remote Ethernet Devices (RED) um eine Sophos-eigene Technik: REDs sind einfache und preiswerte Geräte, die an den Remote-Standort verschickt und mithilfe eines Provisionierungsservice vom Admin an der zentralen Firewall in Betrieb genommen und verwaltet werden.

Am entfernten Standort muss das Gerät lediglich per DHCP eine IP-Adresse aus dem dortigen Netzwerk erhalten und auf das Internet zugreifen können. Mittels der Seriennummer finden sich die Geräte über den Sophos-RED-Dienst und die Site-to-Site-VPN-Verbindung wird vollautomatisch eingerichtet. Nach der erfolgreichen Provisionierung kommunizieren die Geräte nur noch direkt miteinander, die VPN-Verbindung läuft also nicht über Sophos-Server.

Remote-Access-Verbindungen (Client-to-Site) sind ebenfalls über die Protokolle IPSec und SSL-/OpenVPN möglich, als Alternative stehen aber zusätzlich noch die Protokolle Layer 2

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.