Momentan steht Homeoffice hoch im Kurs und wird oft hastig angeordnet. Damit die Sicherheit nicht auf der Strecke bleibt, ist hier ein einfaches Kochrezept, um mit kostenfreien Mitteln einen sicheren Zugang zur Sophos UTM einzurichten:

Zutaten

Vorbereitungen

Lokale Nutzer an der UTM sind schnell eingerichtet, aber bei einer Backend Authentifizierung an der ADS erhöht sich die Nutzerakzeptanz. Der einfache Nutzer muss sich kein zusätzliches Passwort merken und Passwortänderungen wie Nutzersperrungen sind auch einfacher umzusetzen.

Dazu wird einfach eine Sicherheitsgruppe in der ADS (hier „AD_SophosConnect“) angelegt und mit den entsprechenden Nutzern befüllt. Wenn in der UTM die „Authentication Server“ schon eingerichtet sind, kann eine dynamische Gruppe schnell erzeugt werden:

Schön ist auch das automatische Anlegen eine Nutzerkontos bei Anmeldung am UTM Userportal:

Weiterhin sollte die 2-Faktor Authentisierung mittels One-Time-Passwort (OTP) vorbereitet werden:

Das „User Portal“ und „IPSec Remote Access“ muss markiert sein. Achtung: Abhängig von der geplanten Authenticator-App (namentlich beim Google Authenticator) muss eventuell beim Hash SHA-1 statt SHA-256 gewählt werden.

Und so sollte es dann aussehen, wenn sich ein Benutzer (hier Otto, Mitglied der Gruppe AD_SophosConnect, und noch nicht als lokaler Benutzer an der UTM erstellt) am User Portal anmeldet:

Benutzername = ADS Konto / Passwort = ADS Kennwort

  • Nutzer wird automatisch an der UTM erstellt und mit dem Backend verknüpft
  • OTP Hash wird automatisch erstellt, dem Nutzer präsentiert und nach erfolgreichem ersten Login abgespeichert

Den QR-Code sollte der Nutzer mit seinem Smartphone und der Authenticator-App einscannen. Es sollte dann etwa so aussehen:

(Der QR-Code kann unter Definitions & User / Authentication Services / One-Time Password  mit Klick auf das „i“ in der Tokenliste erneut angezeigt werden.)

Login erfolgt nun mit Benutzername = ADS Konto / Passwort = ADS Kennwort + Token

So haben wir einen „self-Service“ eingerichtet, um Nutzer automatisiert zu erstellen und mit einer 2FA auszustatten.

IPSec Remote Access einrichten

Jetzt erfolgt die eigentliche Konfiguration des IPSec Remote Access:

  • Interface: Externes Interface der UTM (feste IP empfohlen, DynDNS sollte auch funktionieren)
  • Local Networks: Netzwerke oder Hosts, auf die zugegriffen werden soll (Gruppen sind hier nicht möglich). Ruhig großzügig sein, die Einschränkung erfolgt dann über Firewall Regeln.
  • Virtual IP Pool: Vordefinierter Pool, aus dem der Remote Client eine IP zugewiesen bekommt (kann angepasst werden)
  • Policy: AES-256 empfohlen (Sicher und schnell)
  • Authentication Type: Preshared Key (mit allen anderen Methoden habe ich keine Verbindung herstellen können)
  • Preshared Key: schön lang und zusammenhanglos (im Zweifel mit Keypass generieren)
  • Enable XAUTH: Hier wird die zusätzliche Abfrage nach Benutzer + Passwort (+ Token) erzwungen

Folgende Einstellungen sollten auch überprüft bzw. angepasst werden:

Firewall Regeln für Remote Access erstellen

Jetzt werden noch entsprechende Firewall Regeln benötigt. Man kann die Einstellungen großzügig oder granular vornehmen, da eine Festlegung auf Basis des VPN-Pools, der Gruppe oder des einzelnen Nutzers möglich ist.

 

IPSec Konfiguration herunterladen

Nun kann das IPSec Profil heruntergeladen werden, entweder im User Portal durch den Nutzer oder im Webadmin:

 

Bis hierher war es eigentlich nichts Neues. In den meisten Fällen wurde die Konfiguration in einen (kostenpflichtigen) IPSec Client importiert. Nun kommt der Sophos Connect Client ins Spiel.

Sophos Connect IPSec Client

Der Sophos Connect Client ist der kostenfreie IPSec Client für die Sophos XG Firewall. Seit Ende 2019 ist dieser Client auch im Zusammenspiel mit der Sophos UTM oder Sophos SG supportet.

Folgende Vorteile hat die Verwendugn dieses Clients:

  • kostenfrei
  • In obiger Konfiguration (PSK + XAUTH) kann eine einheitliche Konfiguration an viele Clients verteilt werden.
  • Separate Eingabe des zusätzlichen Tokens für 2FA sorgt für weniger Verwirrung beim Nutzer.
  • Benutzername / Passwort kann gespeichert werden. Es erfolgt dann nur noch die Abfrage des Einmalpassworts (Token).
  • Spätere Migration zur Sophos XG kann ohne neues Rollout des IPSec Clients erfolgen.

Zur Migration der UTM IPSec Konfiguration (kompatibel mit UTM/NCP IPSec Client, *.ini) in das Sophos Connect Format (*.scx) wird der Sophos Connect Admin benötigt. Leider ist diese Software nur in der Sophos XG enthalten und es existiert kein Download-Link auf der Sophos Webseite (soweit mir bekannt, Stand 12.03.2020). Allerdings kann man trotzdem an die Software gelangen:

Öffnen der Sophos XG Demo im Web (https://secure2.sophos.com/de-de/products/next-gen-firewall/free-trial/xg-firewall-demo.aspx, vorher muss natürlich der Vertrieb mit Daten gefüttert werden) und Download des Sophos Connect Client Installers. Hier sind beide Clients (Windows und MacOS), sowie das Admin Tool enthalten.

Mit dem Sophos Connetc Admin kann nun die Konfiguration angepasst und im Sophos Connect Format exportiert werden:

  • Connection Name: Name der Verbindung, wie sie am Client angezeigt wird (sollte geändert werden)
  • Target Host: nicht verändern (muss zur VPN-ID der UTM im Webadmin passen, Änderungen dort wirken sich ggf. auf Site-2-Site Tunnel aus!)
  • Prompt for 2FA: Eigenes Feld für Einmal-Passwort (sollte eingeschaltet werden)
  • Networks: nicht verändern (muss zur IPSec SA der Verbindung im Webadmin passen)

Abspeichern und in den installierten Sophos Connect Client importieren (für alle remote Benutzer mit dem gleichen IPSec-Profil kann diese *.scx Datei genutzt werden):

Bei der Einwahl dann kann der Benutzername und das Kennwort gespeichert werden. Es wird dann nur noch das Einmal-Passwort angefragt.

 

Einmal so vorbereitet, können die Benutzer für das Homeoffice einfach bei der IT-Abteilung antreten:

  1. Benutzer in Active Directory zur Gruppe AD_SophosConnect hinzufügen.
  2. Kompatible Authenticator App auf Smartphone installieren.
  3. Benutzer meldet sich am User Portal an, scannt den QR-Code und loggt sich einmal damit ein (Benutzername = ADS Konto / Passwort = ADS Kennwort + Token).
  4. Vorbereitetes Notebook mit Sophos Connect Client und importierter Konfiguration aushändigen.

Viel Spaß in der Quarantäne und gute Besserung allen Betroffenen!

Sophos Knowledgebase Eintrag zum Nachlesen (bleibt ein wenig unkonkret an den entscheidenden Stellen) : https://community.sophos.com/kb/en-us/134050