Zugriff auf UserPortal per AD-Gruppen einschränken

Hallo

Mit der UTM-Firewall konnte die Möglichkeit zum anmelden am User-Portal per ActiveDirectory-Gruppenzugehörigkeit eingeschränkt werden.
Heisst, es konnten eine oder mehrere AD-Gruppen definiert werden, in welcher/welchen der Benutzer Mitglied sein musste, damit er sich überhaupt am UserPortal anmelden konnte.

Sehe ich richtig, dass sich dies mit der XG nicht mehr konfigurieren lässt?
Ich kann zwar "Local Service ACL exception Rules" erstellen, dort lassen sich aber "nur" Netzwerke oder Hosts definieren.
Ist ein Umweg über Firewall-Regeln möglich?

Gruss

  • Das ist nicht mehr möglich. User haben grundsätzlich immer Zugriff auf das User Portal. Wofür benötigst du diesen Zugriff und was/warum möchtest du das einschränken? 

    __________________________________________________________________________________________________________________

  • Ok, danke.

    Wir haben das Portal nach aussen (WAN) offen, damit sich unsere Benutzer bei Bedarf ihre VPN-Konfiguration selber herunterladen können.

    Bei der UTM haben wir die Authentification via AD laufen lassen, aber es gibt viele User im AD die sich nicht am User-Portal anmelden können sollen. Die konnten wir ausgrenzen, indem sie den entsprechenden Gruppen nicht angehörten.

    Bei XG lassen wir die Authentifizierung auch via AD laufen.

    Das Problem ist, das wir User mit "zu schwachen" Passwörtern im AD haben, die sich eigentlich nirgends von extern anmelden können sollen.

  • Du lagerst somit das Problem der IT Security von deinen Passwörtern auf die Firewall aus? Da gehen bei mir gerade 10 Rote Lampen an. Ich würde die Passwort Security und OTP aktivieren. 

    __________________________________________________________________________________________________________________

  • Hallo LuCar.

    Noch besser wäre fände ich (analog zur UTM) VPN-Software und Profile nur durch IT-Personal an die entsprechende Person aushändigen und somit ohne User Portal herunterzuladen. Denn ich halte es schon für bedenklich, dass Benutzer sich willkürlich Ihre Profile herunterladen können und dann mal einfach auf ihren Privatrechnern installieren. Und auf Geschäftsrechnern können Sie das meist ohnehin nicht.

    Damit würde ich das User Portal generell abschalten. Das ist das Beste - aus Sicht der IT Security.


    Sophos Gold Partner
    4TISO GmbH, Germany
    If a post solves your question click the 'Verify Answer' link.
  • Aus Sicht der IT Security wäre es das ratsamste mit Synchronized Security zu arbeiten und entsprechend die Verbindung nur mit Heartbeat zu erlauben. Dann spielt es nämlich keine Rolle, ob ein User seinen SSLVPN kopiert. Der Prozess - Ein IT Verantwortlicher installiert die SSLVPN Konfiguration funktioniert vielleicht für kleinere Unternehmen, jedoch halte ich das für ein 500 User + Unternehmen für undenkbar. 

    PS: Ein user kann eine bestehende Konfiguration in der Regel aus SSLVPN kopieren (bei Sophos SSLVPN, nicht bei Sophos Connect). 

    Der wohl noch bessere Ansatz wäre jedoch Sophos ZTNA - Dort kann nämlich der User keinerlei Interaktion machen. Es existiert kein User Portal, es existiert kein Aufwand für den IT Administrator. 

    __________________________________________________________________________________________________________________

  • Hier geht man davon aus, dass man nur Mitarbeitern Zugriff auf das Netz gibt, bei denen man auch den Endpoint verwaltet.

    Das ist aber bei den wenigsten Kunden der Fall. Hier gibt es häufig die Anforderung, dass man für Dienstleister einen Zugang zu bestimmtem Maschinen und z.T. dedizierten Ports freigibt. Sei es zur Wartung z.B. im Bereich Facility Management oder nur um eine interne Web-Applikation zu erreichen.

    Wir haben hier nicht immer direkt alle Endgeräte und somit den kompletten Softwarestack des zugreifenden in der Hand.

    Dass man aus dem SSL-VPN die Konfiguration kopieren kann, ist schon klar. 

    Aber dann die aktuelle ZTNA (EAP) und Heartbeat, der nicht wirklich zuverlässig war in der Vergangenheit und eben nur mit dem Endpoint funktioniert anzubringen, macht weder den Wartungsaufwand für das IT-Staff geringer, noch ist es überhaupt im Zugriff durch die IT-Abteilung.

    Und Unternehmen mit 500+ haben gerade die Tools um gut Software auszurollen. Hier hilft meines Erachtens auch der Sophos Connect Client nicht. Oder soll ich für die Autokonfiguration das User Portal im Internet aktivieren (da warnt sogar das UI der Firewall).

    Sei es drum. Es gibt für beides pro und kontra. Meines Erachtens wäre es sinnvoll potentiell beide Varianten zu haben. Self service und Benutzerportal. So wie es bei der UTM war und noch ist.


    Sophos Gold Partner
    4TISO GmbH, Germany
    If a post solves your question click the 'Verify Answer' link.
  • User Portal nach WAN kann ohne Probleme freigegeben werden. Dafür ist das User Portal gebaut worden. Webadmin wird sofort aufgrund von IT Security Concerns als Rot geflaggt. 

    Sophos bewegt sich nun in das Zero Trust Konzept und dabei fallen immer mehr Kunden auf, die nicht wissen, wer alles die VPN Lösung nutzt und was genau dort passiert. Ich habe in den letzten Tagen mit vielen Kunden gesprochen, die die gleiche Anforderung haben. Und es gibt eben immer eine Security und eine Administrator Betrachtung.

    Aus Security Perspektive würde ich niemanden mehr irgendwelche Zugänge zu Ressourcen via VPN mehr geben. Nicht solange ich es kontrollieren kann, was das für ein Client ist. Die Frage ist nun, wie gehe ich mit Clients um, die nicht in meiner Gewalt sind. Dort gibt es sehr viele unterschiedliche Ansätze. Jump Host wäre einer: Man veröffentlicht ein HTML5 Container für den Dienstleister, der entsprechend nur Zugang zu einer Ressource startet und danach den Zugang sofort wieder beendet. Die Verbindung zum HTML5 Container kann mittels ZTNA oder anderen Tools gebaut werden. VPN baut immer eine Netzwerk Verbindung auf - Das bedeutet alle Regeln der Exploitation gelten dort. Schaut man sich an, wie Angriffe von Hackern heutzutage passieren, sind es in der Regel solche 0-Day Exploits oder unpatcht Systems im Netzwerk. VPN mit einer Firewall kann dort helfen, muss aber nicht, Warum? Du hast eine Netzwerk Verbindung mit der Ressource. Somit kann die Ressource exploitet werden, von dort kannst du dich weiter hangeln. Du hast keine Kontrolle darüber, was der Dienstleister dort macht. 

    Wenn du einen Container Approach wählst, kannst du den Container monitoren. Du kannst genau betrachten (automatisiert) was der Container tut und was der Kollege vom Dienstleister dort macht. Fängt er an, Powershell Code auszuführen, kannst du das unterbinden etc. 

    Das klingt nun kompliziert aber am Ende ist es ein HTML5 Server (tool) mit Protection drauf, was das bereits umsetzen kann. 

    Man könnte nun weiterhin mit VPN arbeiten, und ich halte es auch für legitim für den kleineren Kunden. Wer 10 Mitarbeiter hat, wäre das Konzept von Zero Trust bestimmt ein Overkill. 

    Was ist bisher gesehen habe: Die meisten Kunden von SFOS nutzen Sophos Connect mit .pro Rollout. Der Client interagiert mit dem User Portal, völlig unsichtbar zum User. Dadurch "wissen" User schlicht nicht, wie es funktioniert. Somit reduziert man das Download von Config Files bereits enorm, wenn der User keine Interaktion mit dem User Portal mehr hat. 

    __________________________________________________________________________________________________________________