Sophos ZTNA für eine nur am Client installierte Anwendung.

Hallo Community,

falls es einen ZTNA Bereich im Forum existiert, bitte das Thread verschieben.

ZTNA ist bei uns eingerichtet und ein Paar einfache Anwendungen laufen bereits.

Hier geht es um eine Anwendung "Softros LAN Messenger", wird nur an Clients installiert, und sie kommunizieren untereinander, ohne zentralen Server oder Ähnliches.

In der Anwendung unter Netzwerkeinstellungen sind Netzwerkbereiche von Clients eingepflegt, und in diesen Bereichen sucht das Programm nach anderen Clients durch.

Alle Bereiche kommunizieren miteinander über Sophos XGS2100 Firewall Regeln. 

Hat jemand eine Idee wie man das über Sophos ZTNA anbinden kann?



Added TAGs
[edited by: Raphael Alganes at 7:15 AM (GMT -7) on 2 May 2024]
  • Hallo WilliamS

    So ein P2P Szenario zwischen zwei oder mehreren ZTNA Clients untereinander wird in meinen Augen vermutlich nicht möglich sein.

    Der Grund ist, dass einerseits ZTNA Aufrufe von einem Client via dem FQN, also beispielsweise messenger1.example.com erfolgen, welche dann via dem lokalen Adressbuch im ZTNA Agent quasi in die gemappte 100.x.x.x Zieladresse durch den Tunnel aufgelöst wird.

    Andererseits kannst Du ZTNA Clients nicht via ZTNA quasi als Ressource für andere ZTNA Clients bereitstellen, was in meinen Augen für so ein P2P Szenario wo Clients direkt und ohne Umweg über eine zentrale Stelle untereinander kommunizieren sollen notwendig wäre.

    My 5 cents und ohne Gewähr

  • Hallo  

    danke für deine Antwort. Das sind auch meine Bedenken, und mit dem jetzigen Wissenstand über Sophos ZTNA scheint das unmöglich zu sein. Aber vielleicht arbeitet Sophos daran, auch für solche, nicht gehostete Anwendungen eine Möglichkeit zu finden.   

  • Ich stelle mir das schwierig vor, weil dieses P2P Konzept ( https://messenger.softros.com/help/subnets/ ) dem Zero Trust (Network Access) Konzept vom Design her widerspricht. Beim ZTNA lege ich ja explizite Ressourcen an, welche dann wiederum explizit via FQN berechtigten und authentifizierten Benutzern freigegeben werden. Da funktioniert dann natürlich so ein Ansatz "Ich finde mal über eine Broadcast Adresse alle Empfänger im lokalen Subnetz und bin dann offen für Chats untereinander" nicht mehr.