Unter den vielen neuen Funktionen und Verbesserungen, die mit SFOS v19 ihren Einzug in die Sophos Firewall finden, möchten wir Ihnen in diesem Artikel die Neuerungen im Bereich VPN näher vorstellen. Mit Sophos OS v19 ist die Orchestrierung von SD-WAN-Overlay-Netzen, Site-to-Site-VPN-Tunneln und Remote Access VPN so einfach wie noch nie.
VPN-Orchestrierung in Sophos Central
Mit Sophos Firewall OS v19 werden die aktuellen SD-WAN-Funktionen von Sophos Central optimal ausgenutzt. Auch komplexe Overlay-Netze lassen sich nun bereits mit wenigen Klicks definieren:
- Wählen Sie unter ihren verwalteten Firewalls diejenigen aus, die Sie in die SD-WAN-Verbindungsgruppe aufnehmen möchten.
- Geben Sie an, auf welche Ressourcen alle Standorte Zugriff erhalten sollen.
Alle Tunnel und Firewallregeln, die für Ihr SD-WAN-Overlay-Netz notwendig sind, werden automatisch für Sie erstellt.
On-Box-VPN-Verwaltung
Zur besseren Verwaltung ihrer VPN-Overlay-Netzwerke wurden in SFOS v19 separate Menüeinträge für Remote Access VPN und Site-to-Site-VPN hinzugefügt.
In den Registerkarten für „IPsec“, „SSL“ und „L2TP“ finden Sie nun Untermenüs für raschen Zugriff auf Einstellungen, Client-Downloads und Log Viewer.
IPsec-Richtlinien wurden in „Profile“ umbenannt und können unter „System > Profile“ gefunden werden. Ein entsprechender Hyperlink wurde in den Bildschirm „IPsec-Konfiguration“ eingefügt, um nahtlosen Zugang zu ermöglichen.
Um die Konfiguration des Remote Access intuitiver und effizienter zu gestalten, hat Sophos einen neuen Assistenten für SSL-Remotezugriff bereitgestellt.
Clientlose Richtlinien, Lesezeichen und Lesezeichengruppen wurden in einer Registerkarte zusammengeführt.
Für die Einrichtung von AWS-VPN-Tunneln wurde ebenfalls eine neue Registerkarte hinzugefügt.
Optimierter VPN-Betrieb in SFOS v19
Die folgenden Verbesserungen gestalten den VPN-Betrieb zusätzlich effizienter:
- Unterstützung benutzerdefinierter Richtlinien für IPsec RA:
- Behebt potenzielles Problem mit PCI-Compliance der IPsec-RA-Standardrichtlinie
- Option zur Konfiguration der Zeit bis zur Schlüsselerneuerung zur Vermeidung von Eingabeaufforderungen der mehrstufigen Authentifizierung alle vier Stunden
- Neue Option zur Verlängerung der Zeit bis zu einer Zeitüberschreitung durch Inaktivität von zehn Minuten auf bis zu sechs Stunden.
- Verbesserung beim routinebasierten VPN (RBVPN)
- Unterstützung statischer Multicast-Routen
- Unterstützung von Verkehrskennzeichnern bei routenbasiertem VPN (RBVPN)
- Option zur Definition von Verkehrskennzeichnern für ein spezifisches RBVPN. Dabei wird Datenverkehr nur dann durch den Tunnel geschickt, wenn er mit der gewünschten Kombination aus lokaler und Remote-Adresse übereinstimmt.
- Unterstützung von CGM- und Suite-B-Chiffrierfolgen für IPsec
- AES-GCM für IPsec liefert eine deutlich gesteigerte IPsec-VPN-Performance
- SSL VPN:
- Upgrades von Open VPN / Open SSL
- Standardunterstützung von TLS 1.3 für SSL-VPN-Tunnel
- AES-NI-Pfad unterstützt
- Unterstützung von CGM-Verschlüsselung für SSL-VPN
Optimierte VPN-Protokolle
Neues Log-Viewer-Modul für eine einfachere Überwachung und Fehlerbehebung für VPN-Verbindungen (für Remote-Access- und Site-to-Site-Tunnel mit SSL oder IPsec) Die Nachrichten der IPsec-Protokollierung wurden umfangreicher und verständlicher gestaltet.