Cookie-Einstellungen
Diese Website benutzt Cookies, die für den technischen Betrieb der Website erforderlich sind und stets gesetzt werden. Andere Cookies, die den Komfort bei Benutzung dieser Website erhöhen, der Direktwerbung dienen oder die Interaktion mit anderen Websites und sozialen Netzwerken vereinfachen sollen, werden nur mit Ihrer Zustimmung gesetzt.
Konfiguration
Technisch erforderlich
Diese Cookies sind für die Grundfunktionen des Shops notwendig.
"Alle Cookies ablehnen" Cookie
"Alle Cookies annehmen" Cookie
Ausgewählter Shop
CSRF-Token
Cookie-Einstellungen
Individuelle Preise
Kundenspezifisches Caching
PayPal-Zahlungen
Session
Währungswechsel
Komfortfunktionen
Diese Cookies werden genutzt um das Einkaufserlebnis noch ansprechender zu gestalten, beispielsweise für die Wiedererkennung des Besuchers.
Merkzettel
Popup zu aktuellen Hinweisen nicht mehr anzeigen
Statistik & Tracking
Endgeräteerkennung
Google Analytics
Partnerprogramm

Sicheres Homeoffice mit Sophos XG und Sophos SG Firewall betreiben

homeoffice

Bedingt durch die weltweite Corona-Krise ist der Absatz von Sophos RED Geräten sprunghaft angestiegen und die Lieferketten der Geräte sind zudem beeinträchtigt, so dass derzeit nicht klar ist, wann wieder RED Geräte verfügbar sein werden. Damit allen Mitarbeitern jedoch dennoch ein sicherer Zugriff dem Homeofffice auf Ihre Daten im Unternehmen gewährt werden kann, möchten wir ihnen im folgenden Artikel einige Möglichkeiten aufzeigen, wie Sie mit verschiedenen Sophos-Produkten wie Sophos SG Serie oder Sophos XG Serie Home Office-Umgebungen bereitstellen können. Es sind dabei Möglichkeiten mit und ohne Sophos RED Geräte aufgeführt. 

Folgende zwei Hinweise vorab:

1. Wir haben in der UTMshop Technik fünf zertifizierte und erfahrene Techniker, die ausschließlich Sophos Projekte durchführen und die Sie bei der Umsetzung der Homeoffice-Anbindung unterstützen können. Sollten Sie Hilfe benötigen, buchen Sie bitte eine Supportstunde (Berechnung nach Aufwand, aber in einer Stunde ist erfahrungsgemäß das Thema oft erledigt).

2. Die Kette ist so stark wie ihr schwächstes Glied, deshalb empfehlen wir generell, dass neben der sicheren Verbindung zwischen Homeoffice zum Unternehmen auch die Sicherheit des externen Gerätes (im Zweifelsfall die persönlichen Computer/ Notebooks Ihrer Mitarbeiter) die Sicherheitsansprüche gestellt werden, die an Rechner im Unternehmen gestellt werden. Es muss mindestens eine aktuelle gute zentral steuerbare Endpoint Protection mit Schutz gegen aktuelle Bedrohungen wie EMOTET oder andere Verschlüsselungstrojaner auf dem Gerät installiert werden, um die Sicherheitsstandards im Unternehmen nicht zu unterlaufen und damit sicherzustellen, dass die Arbeit auch im Homeoffice sichergestellt ist. Durch die zentrale, webbasierte Steuerung über Sophos Central ist sichergestellt, dass die Administration von jedem Ort der Welt mit Internet erfolgen kann. Gerade da im Zuge der Corona-Krise verstärkt mit Angriffen auf Homeoffice-Arbeitsplätze zu rechnen ist, wie einschlägige Medien schon berichtet haben. Bitte bedenken Sie dies bei Ihrer Homeoffice-Planung und zählen Sie auf die Sicherheit von Sophos Intercept X.

Wir haben folgend die Einrichtung von SSL-VPN für die sichere Verbindung zwischen

Sophos XG Site to Site Verbindung

  1. Im Web Interface unter Host und Service, IP Host auswählen und das Remote und Local Netz hinzufügen
  2. Die Verbindung unter VPN -> SSL VPN(SitetoSite) --> Reiter Server hinzufügen
  3. Wenn die Verbindung angelegt ist, klicken sie auf das Download Icon hinter dem Verbindungsnamen, um die Konfigurationsdatei herunterzuladen.
  4. Erstellen sie eine Firewallregel, die den Datenverkehr zwischen lokalem und entferntem Netz zulässt.
  5. Auf der Gegenstelle unter VPN -> SSL VPN(SitetoSite) unter dem Reiter Client eine neue Verbindung anlegen und die Konfigurationsdatei hochladen.
  6. Eine Firewallregel erstellen die die Kommunikation zwischen den beiden Netzen erlaubt.
sslvpnsite sslvpnsite2 HomeOffice2


Sopohs SG Site to Site

  1. Im Web Interface unter Site to Site VPN -> IPsec -> Remote Gatways anlegen.
  2. Response Typ setzen
  3. Local und Remote Netz auswählen
  4. Authentifizierungsart auswählen
  5. Speichern
  6. Unter Richtlinien (IPsec) die Richtlinie auswählen, die von beiden Seiten verwendet werden soll.
  7. Site-to-Site-VPN -> IPsec -> Verbindungen- Klicken sie auf neue Verbindung hinzufügen
  8. Auf der Gegenseite ein Remote Gatway hinzufügen. Site-to-Site-VPN> IPsec> Remote-Gateways.
  9. Response Typ setzen
  10. Local und Remote Netz auswählen
  11. Authentifizierungsart auswählen
  12. Speichern
  13. Unter Richtlinien (IPsec) die Richtlinie auswählen, die von beiden Seiten verwendet werden soll.
  14. Site-to-Site-VPN -> IPsec -> Verbindungen- Klicken sie auf neue Verbindung hinzufügen
Sophos-SG-IPsec-Remote-Gateway Sophos-SG-IPsec-Richtlinie Sophos-SG-IPsec-Verbindung


Sophos XG SSL VPN

  1. Im Web Interface unter Authentifizierung eine Gruppe für die User erstellen und anschließend die einzelnen User anlegen.
  2. Das lokal Netz unter Service -> IP-Host anlegen und eine IP-Range für das entfernte Netz festlegen.
  3. Eine neue SSL-VPN-Verbindung erstellen unter VPN-> SSL VPN (Remote Access)
  4. Wird die Option "Als Standard-Gateway festlegen" aktiviert, läuft sämtlicher Datenverkehr über das Gateway. Wird sie deaktiviert, wird nur der für das festgelegte Netz bestimmte Traffic darüber gesendet.
  5. Unter Authentication -> Service unter SSL VPN Authentication Methods "Lokal" auswählen, wenn sie die User auf der Sophos XG angelegt haben.
  6. Stellen sie unter Verwaltung --> Gerätezugang sicher, dass das User Portal und SSL-VPN aus der WAN und LAN Zone erreichbar ist.
  7. Weitere Einstellungen können Sie unter VPN --> Show VPN Settings treffen
  8. Erstellen sie Firewallregeln, die den Zugang erlauben.
  9. Einrichtung des Clients
  10. Der Client kann über das User Portal heruntergeladen werden.
  11. Im User Portal unter SSL VPN kann der Client für die gängigen Systeme heruntergeladen werden.
sslvpnremote sslvpnremote2 sslvpnremote3 sslvpnremote4 sslvpnremote5


Sophos SG SSL VPN

  1. Öffnen sie den WebAdmin und navigieren sie zu Fernzugriff --> SSL --> Profile
  2. Klicken sie auf "Neues Fernzugriffsprofil..." . Hinterlegen sie unter "Benutzer und Gruppen" die Benutzer, für die das Profil gelten soll. Sie können auch über das "+" Symbol neue Benutzer hinzufügen.
  3. Hinterlegen sie unter "Lokale Netzwerke" die Netzwerke, auf die die VPN-Nutzer zugreifen können sollen. Aktivieren sie das Kästchen für "Automatische Firewallregeln" um den Datenverkehr der VPN-Benutzer zu erlauben. Alternativ können sie die Regeln auch selbst erstellen.
  4. Navigieren sie zu Fernzugriff --> SSL --> Reiter "Einstellungen". Hier legen sie fest, über welche Schnittstelle, Protokoll und Port die angelegten Benutzer auf das User-Portal zugreifen. Unter Virtueller IP-Pool legen sie fest, aus welchem Netz IP-Adressen für die VPN-Nutzer bezogen werden.
  5. Einrichtung Client
  6. Öffnen sie das User Portal über die in Schritt 4 festgelegten Daten. Melden sie sich unter ihrem in Schritt 3 festgelegten Nutzer an.
  7. Laden sie unter dem Reiter "Fernzugriff" den Client-Installer herunter und führen sie diesen aus.
Sophos-SG-SSL-neues-Profil Sophos-SG-SSL-Einstellungen

Sophos SG Firewall und RED im Betriebsmodus Standard/Vereint

Im Modus Standard/Vereint wird das gesamte entfernte Netzwerk durch die UTM verwaltet. Sämtlicher Netzwerkverkehr, auch von und zum Internet findet über die UTM statt. Für HomeOffice wird dieser Modus daher nur eingeschränkt empfohlen.

  1. Öffnen sie den WebAdmin der UTM. Navigieren sie zu RED-Verwaltung --> [Server] Clientverwaltung
  2. Geben sie einen Zweigstellennamen ein.
  3. Wählen sie unter Client-Typ das korrekte Modell aus.
  4. Geben sie die Seriennummer ihres Gerätes unter RED-ID# ein.
  5. Sofern das Gerät bereits in Benutzung war, geben sie den aktuellen Entsperrcode ein. Beachten sie, dass sich der Entsperrcode mit dem Einbinden der RED erneut ändert. Notieren sie nach Abschluss der Konfiguration den neuen Entsperrcode.
  6. Geben sie unter UTM-Hostname entweder eine IP-Adresse oder einen FQDN ein, unter dem ihre UTM öffentlich erreichbar ist.
  7. Wählen sie Standard/Vereint als Betriebsmodus aus.
  8. Sofern sie DHCP-Client als Einstellung beibelassen, beachten sie, dass sämtliche Geräte hinter der RED eine IP-Adresse vom DHCP ihres Standortes beziehen.
  9. Unter "Erweitert" aktivieren sie die Tunnelkomprimierung, um den Netzverkehr niedrig zu halten.
  10. Klicken sie auf Speichern. Unter Schnittstellen & Routing --> Schnittstellen, muss das neue RED-Interface aktiviert werden.
  11. Vergeben sie für die Schnittstelle eine Netzwerkadresse. Hierbei muss es sich um eine Adresse in einem eigenen Subnetz handeln. vergeben sie eine Netzmaske fürdas Subnetz.
Sophos-SG-RED-Einstellungen

Sophos SG und RED im Betriebsmodus Standard/Getrennt

Im Betriebsmodus Standard/Getrennt wird nur Verkehr, der für die eingestellten Netzwerke bestimmt ist, von der UTM verarbeitet. Sämtlicher anderer Verkehr wird lokal an der Außenstelle abgehandelt.

  1. Öffnen sie den WebAdmin der UTM. Navigieren sie zu RED-Verwaltung --> [Server] Clientverwaltung
  2. Geben sie einen einen Zweigstellennamen ein.
  3. Wählen sie unter Client-Typ das korrekte Modell aus.
  4. Geben sie die Seriennummer ihres Gerätes unter RED-ID# ein.
  5. Sofern das Gerät bereits in Benutzung war, geben sie den aktuellen Entsperrcode ein. Beachten sie, dass sich der Entsperrcode mit dem Einbinden der RED erneut ändert. Notieren sie nach Abschluss der Konfiguration den neuen Entsperrcode.
  6. Geben sie unter UTM-Hostname entweder eine IP-Adresse oder einen FQDN ein, unter dem ihre UTM öffentlich erreichbar ist.
  7. Wählen sie Standard/Getrennt als Betriebsmodus aus.
  8. Wählen sie unter "Netzwerke aufteilen", die Netzwerke aus, auf die die Außenstelle Zugriff erhalten soll. Beachten sie, dass VLANs nicht über den Tunnel geleitet werden können.
  9. Sofern sie DHCP-Client als Einstellung beibelassen, beachten sie, dass sämtliche Geräte hinter der RED eine IP-Adresse vom DHCP ihres Standortes beziehen.
  10. Unter "Erweitert" aktivieren sie die Tunnelkomprimierung, um den Netzverkehr niedrig zu halten.
  11. Klicken sie auf Speichern. Unter Schnittstellen & Routing --> Schnittstellen, muss das neue RED-Interface aktiviert werden.
  12. Vergeben sie für die Schnittstelle eine Netzwerkadresse. Hierbei muss es sich um eine Adresse in einem eigenen Subnetz handeln. vergeben sie eine Netzmaske für das Subnetz.

Sophos XG Firewall und RED

  1. Öffnen sie das Web Interface der XG und navigieren sie zu System Services --> RED und aktivieren sie den RED Provisioning Service. Geben sie Organisationsname, Stadt, Land und Email-Adresse an. Klicken sie auf Speichern.
  2. Navigieren sie zu Netzwerk -> Schnittstellen und klicken sie auf Schnittstelle hinzufügen. Klicken sie auf RED hinzufügen.
  3. Geben sie einen einen Zweigstellennamen ein.
  4. Wählen sie unter Client-Typ das korrekte Modell aus.
  5. Geben sie die Seriennummer ihres Gerätes unter RED-ID# ein.
  6. Sofern das Gerät bereits in Benutzung war, geben sie den aktuellen Entsperrcode ein. Beachten sie, dass sich der Entsperrcode mit dem Einbinden der RED erneut ändert. Notieren sie nach Abschluss der Konfiguration den neuen Entsperrcode.
  7. Geben sie unter UTM-Hostname entweder eine IP-Adresse oder einen FQDN ein, unter dem ihre UTM öffentlich erreichbar ist.
  8. Definieren sie, ob die RED eine statische IP-Adresse bekommt, oder ob die IP-Adresse per DHCP zugewiesen wird.
  9. Definieren sie Adresse und Netzmaske des Sunetzes, dass die RED bereitstellen soll. Dieses muss sich von bereits vorhandenen Subnetzen unterscheiden.
  10. Geben sie unter getrennte Netzwerke die Netzwerke an auf die von der RED zugegriffen werden soll.
  11. Klicken sie auf Speichern.
xg_red xg_red2 xg_red3

Sophos XG Site to Site RED-Tunnel Verbindung

  1. Das Gerät welches nicht geNated wird sollte als Server agieren
  2. Öffnen sie das Web Interface der XG und navigieren sie zu System Services --> RED und aktivieren sie den RED Provisioning Service. Geben sie Organisationsname, Stadt, Land und Email-Adresse an. Klicken sie auf Speichern.
  3. Unter Network -> Interface fügen sie ein RED Interface hinzu und wählen als Typ Firewall RED Server aus. Aktivieren sie die Tunnelkomprimierung, um Traffic zu sparen. Klicken sie auf Speichern.
  4. Nach dem das Interface angelegt ist, laden die Provisioning Datei herunter.
  5. Auf der Client Firewall, den Red Provisioning Service aktivieren und ein Interface hinzufügen. Als Typ wählen sie Firewall RED Client aus.
  6. Statische Routen unter Routing -> Static routing hinzufügen.
  7. Diese muss an beiden Sophos XG Firewalls hinterlegt werden.
  8. Firewall Regel erstellen, um den Traffic zuzulassen.
Tags: Homeoffice, Sophos, XG, SG, Firewall, Corona, Home Office, RED, Technik, Emotet, Tunnel, VPN, Site-toSite, Sicher
Passende Artikel
Sophos Central Intercept X Advanced (Endpoint Protection & Intercept X) Sophos Central Intercept X Advanced (Endpoint Protection & Intercept X) [CIXA0U12AANCAA]
ab 20,40 € *
Schnelle Lieferung
PayPal Express
Qualifizierter Support
Unsere Website benutzt Cookies, die für den technischen Betrieb der Website erforderlich sind und stets gesetzt werden. Andere Cookies, die den Komfort bei Benutzung dieser Website erhöhen, der Direktwerbung dienen oder die Interaktion mit anderen Websites und sozialen Netzwerken vereinfachen sollen, werden nur mit Ihrer Zustimmung gesetzt. Zur Datenschutzerklärung
Ablehnen Alle akzeptieren Konfigurieren