S koncem životnosti Sophos SSL VPN pro Windows, o kterém jsme vás informovali zde, doporučujeme, aby nové klientské instalace používaly Sophos Connect v2.
Sophos Connect Client (dále i SCC) umožnuje uživatelům navázání vzdáleného přístupu k vaší síti. SCC je software VPN, který běží na systémech Microsoft Windows 7 SP2 a novějších a Mac OS 10.12 a novějších. Vytváří zabezpečené, šifrované VPN tunely pro zaměstnance mimo pracoviště.
Nasazení SCC pro vaše uživatele je ve dvou krocích:
1. Nastavení na Sophos Firewall (SF) zařízení
Před samotným nastavením je třeba provést update patternů tak, aby se vám nahrála poslední verze SCC.
Nastavení v SF naleznete v části VPN / Ipsec (remote access). Konfigurace je rozdělena do dvou částí, a to nastavení na straně SF a na straně klienta. Po vyplnění části nastavení SF a uložení konfigurace si stáhnete v dolní části obrazovky balíček klienta.
Balíček obsahuje:
- Klientský software Sophos Connect pro zařízení Windows / macOS, který instalujete na koncová zařízení
- Sophos Connect Admin, který slouží k úpravě konfiguračních souborů vzdáleného přístupu
Nastavení klientské části slouží k vytvoření konfiguračního souboru, který se importuje do aplikace Sophos Connect Client. Konfiguračních souborů můžete mít několik pro různé konfigurace, podle toho, co uživatelům chcete umožnit, např. veškerá komunikace přes SF, nebo firemní komunikace přes SF a ostatní přes síť kde je připojen. Konfigurační soubory vytváříte v SF, ale můžete použít i Sophos Connect Admin pro jejich editaci.
2. Distribuce klientské části
Stažení aplikace Sophos Connect Client je umístěno v SF User Portal. Konfigurační soubor distribuuje správce. Instalace lze dělat pomocí gpo, vzdáleným připojením správce atd.
Oproti Sophos SSL VPN klientu je zde několik odlišností:
- Připojení lze nastavit automaticky, tzn. Po přihlášení uživatele se SCC spustí a přihlásí sám.
- SCC si kontroluje kde se nachází, zda v podnikové síti či třeba v domácí síti. Pokud zaznamená, že není v podnikové síti, tak naváže spojení.
- Oproti Sophos SSL VPN klientu nemusíte dělat profily, přístupy řešíte buď v Sophos Firewall pravidlech, nebo vytvářením různých konfiguračních souborů.
- SCC umí AD logon script, tzn. že i uživatelé, kteří dlouhodobě pracují mimo vaši podnikovou síť nepřijdou o nová nastavení.
- SCC lze nastavit tak, že uživatelé mohou používat své periférie, např. tiskárny u sebe doma a oddělovat provoz do podnikové sítě a do internetu přes jejich poskytovatele.
- SCC poskytuje dvou faktorové ověřování
- Ověřování můžete provádět na RADIUS serveru, a mimo jiné tam i přiřazovat IP adresy.
- A v neposlední řadě umožňuje přenášet Heartbeat (pokud máte Sophos endpoint) takže nemusíte vést samostatná pravidla pro VPN a LAN.
Poznámky a doporučení:
- V případě, že nasazujete SCC a chcete, aby fungoval automaticky je třeba jej nastavit tak, že při ověřování, kde se nachází se vyhnete kolizím s rozsahem IP adres, které používají „domácí routery“.
- SCC nelze na jednom počítači používat společně se Sophos SSL VPN klientem, je třeba jej nejdříve odinstalovat.
- SCC lze distribuovat pomocí gpo policy, nicméně vždy by měla předcházet pro uživatele informační kampaň kde budou s produktem a jeho ovládáním seznámeni.