Der Sophos SSL VPN Client war bisher die beliebteste Lösung, um mit der Sophos Firewall eine VPN Verbindung herzustellen. Sophos bietet mit dem neuen Sophos Connect Client aber mittlerweile eine alternative Variante an. In diesem Artikel lernst du die Vor- und Nachteile der beiden Clients kennen.

    Sophos SSL VPN Client

    Vorteile

    • OpenVPN – Beim Sophos SSL VPN Client handelt es sich um einen gebrandeten OpenVPN Client. Dieser funktioniert bestens mit dem OpenVPN Server, der auf der Sophos Firewall läuft.
    • Grosse OS Auswahl – Den OpenVPN Client gibt es für Windows, macOS, Android und iOS.
    • Offener Standard und dadurch mehrere Clients – Es ist auch möglich, andere SSL VPN Clients zu verwenden, wie z. B.:
      • pritunl Client – Windows, macOS, Linux (Kostenlos und Open Source)
      • Tunnelblick – macOS (Kostenlos und Open Source)
      • Viscosity – Windows, macOS (Shareware)
    • Mehrere Einstellungsmöglichkeiten – Beim SSL VPN Client ist es bei Sophos möglich, einen anderen Port zu wählen, über den die Verbindung gehen soll. Ebenso kann man die Verschlüsselungsstärke einstellen.

    Nachteile

    • Softwareverteilung – Es ist nicht möglich, den VPN Client über eine Softwareverteilung zu installieren, da jeder Benutzer ein eigenes Zertifikat hat.
    • Performance – Je nach Einstellung läuft der Traffic über einen TCP oder UDP Tunnel. Doch selbst bei UDP ist die Performance schlechter als über das IPsec Protokoll.
    • Firewall-Auslastung – SSL benötigt auf der Sophos Firewall mehr Leistung, wodurch nicht so viele parallele Verbindungen aufgebaut werden können. Je nach Appliance sind hier bis zu 6 Mal mehr Verbindungen möglich.

    Sophos Connect Client

    Vorteile

    • Performance – IPsec bietet eine bessere Performance.
    • Deployment – Das Tool kann über eine Softwareverteilung ausgerollt werden.
    • Eigenentwicklung – Das Tool wird direkt von Sophos entwickelt und kann zukünftig auch über Central verteilt werden. Somit wird es für den Admin noch einfacher.
    • Sophos Synchronized Security – Beim Sophos Connect Client ist es viel einfacher, den Security Heartbeat zu konfigurieren, als beim SSL VPN Client.
    • macOS / iOS Boardmittel – Wir von der Avanet lieben es, wenn man auf einem System mit Bordmitteln arbeiten kann und nicht für jeden Zweck ein extra Tool installieren muss. Bei macOS ist der Cisco IPsec Client ins Betriebssystem integriert. Über das “Sophos User Portal” kann man sich die IPsec Konfiguration ‘iOS_IPSECProfile.mobileconfig’ herunterladen und mit einem Klick installieren.

    Nachteile

    • Client download – Aktuell kann nur der Admin die Setup und Config Dateien herunterladen. Der User kann dies, abgesehen von macOS und iOS, nicht selber über das User Portal tun. Wir gehen allerdings davon aus, dass sich dies zukünftig noch ändern wird.
    • Protokoll Ports – Für die IPsec Verbindung werden Ports benutzt, welche nicht überall z.B. Hotels oder Public Hotsports geöffnet sind.
    • Benutzer Berechtigung – Es muss in der SFOS Konfiguration jeder Benutzer einzeln hinzugefügt werden. Es könne nicht ganze ActiveDirectory Gruppen für den Sophos Connect Client freigeschalten werden.