This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

RED & Split Tunneling

FormerMember
FormerMember
Hi there,

my english is not so good, but I hope you understand me.

We have in our headquarter a ASG220 UTM 9 in use and in our branch office a RED 10.

Now I have not found too much on "Split Tunneling" or nothing, indicating my scenario.

I would minimize the Internet traffic running through the tunnel. The Internet traffic should directly via the Internetrouter, which ist in the branch office.

I already know that it will work - but I'm still a little hesitant when it comes to security.

If the 3-4 clients in the branch office go directly there on the internet, they have no security protection, right? Is our network in the headquarter then vulnerable to attack?


This thread was automatically locked due to age.
  • The SSL-Proxy works fine, but some apps are a bit sensible of getting the modified proxy-cert from the utm rather the expected cert from the remote site (sage/elster/dakota and so on...). But here you can still use excepts for e.g. ssl-scan and/or cert-check or in case of transparent mode complete exceptions for some source-hosts/networks (but then you havent any webfilter at all).

    The RED-Funktion within the UTM1x0 only build the tunnel, the route you have to set on your own. So the rest still uses the default gateway and will be routed via utm directly to your isp.
  • FormerMember
    0 FormerMember
    Hi there,

    i have to ask a question again.

    As already mentioned, we already have a RED10 in use which use Operation mode "Standard/unified".

    Would it be for the branch or for the main network of the UTM a large security hole if the RED10 is changed to "Standard/Separated"?
  • Hello,

    you mean "standard/split"?
  • FormerMember
    0 FormerMember in reply to ManuelKarl
    Hello,

    you mean "standard/split"?


    Yes, in German GUI "Standard/Getrennt" :-)
  • Hello,

    with standard/split (Standard/Getrennt) only packets for the configured subnet are routed via RED-Tunnel to the (central) UTM-device (office). All other pakets are routed via your ISP directly to the internet.

    So you have to use local and up to date av-scanners on the clients in the branch office. You will have less traffic on the tunnel, maybe transfers from/to your internal UTM-Subnet will become slightly faster (print jobs, file access, rdp and so on).

    The critical thin is: When a branch office user is infected while surfing the internet with a drive-by downlod which is not identified by the local scanner, he can upload the infected files to your main file server (office).
    Or he acts as a spam-relay and so on...

    If you have no speed issues with a very small (branch-office) line then i would prefer to route all traffic via utm (webfilter/proxy, appfiltering, packetfilter ....).

    Greetings,

    Manuel
  • FormerMember
    0 FormerMember in reply to ManuelKarl
    Hello Manuel,

    Thanks for the clarification. Now I'm smarter.

    Only safe and sensible alternative would be for the branch office to buy a UTM110/120, which a) manage the tunnel and b) ensuring a secure Internet connection directly via my ISP.

    I see that right?
  • Yes thats right.

    With that constellation you can use the red-protocol with the two utm-devices or you create an ipsec-connection with specific routes.

    Greetings,

    Manuel
  • FormerMember
    0 FormerMember in reply to ManuelKarl
    So to say a UTM function with RED & Firewall :-)

    Packets for the configured subnet are routed via RED-Tunnel to the central UTM-device and all other pakets are routed via my ISP directly to the internet.

    Both functions can indeed cover the UTM110/120. Then I can break down the RED10 at the branch office, right?
  • Yes, with a utm 110/120 you'll cover all functions of RED + Filter/AV-Scan/AppCtrl and save bandwith on the vpn-connection, other traffic is directec directly to the internet via isp.
  • Maybe I'm a bit too late, but with split tunneling (and IPv4) usually there's also NAT in place so your computers will usually not be directly accessible from the internet. However, you don't have the virus scanning and proxy capabilities.
    You could even place the free "Essential firewall edition" between the RED and the local internet connection so at least there's a good firewall. Have your e-mail routed to the main-site to the UTM so at least mail gets properly checked for viruses.
    You may also be able to use the webcontrol from the end-point protection.

    Endpoint Web Control lets you enforce Web Protection settings on endpoints when they are not behind the UTM (such as a company laptop surfing from home).
    Both the global policy (Web Protection > Web Filtering) and profiles (Web Protection > Web Filtering Profiles) can be enforced on endpoints using this feature.

    Managing several Sophos firewalls both at work and at some home locations, dedicated to continuously improve IT-security and feeling well helping others with their IT-security challenges.