VPN-Verbesserungen in SFOS v19

ProdukteSFOS v19Sophos FirewallVPN

Die Sophos Firewall OS v19 bietet viele spannende Innovationen. In diesem Artikel stellen wir Ihnen eine Reihe der Verbesserungen vor, die wir im Bereich VPN-Verwaltung und -Betrieb vorgenommen haben. In OS v19 können Sie und Ihre Kunden SD-WAN-Overlay-Netze, Site-to-Site-VPN-Tunnel und Remote Access VPN so einfach wie nie orchestrieren.

VPN-Orchestrierung in Sophos Central

Die Sophos Firewall OS v19 nutzt die aktuellen SD-WAN-Funktionen in Sophos Central optimal aus. Komplexe Overlay-Netze lassen sich jetzt schnell und einfach mit wenigen Klicks definieren:

  1. Sie bzw. Ihre Kunden wählen ganz einfach die verwalteten Firewalls aus, die Sie in die SD-WAN-Verbindungsgruppe aufnehmen möchten
  2. Im Anschluss geben Sie an, auf welche Netzwerkressourcen alle Standorte zugreifen sollen.
  3. Und schon ist Ihr SD-WAN-Overlay-Netz fertig. Alle erforderlichen Firewall-Zugriffsregeln und Tunnel werden automatisch für Sie erstellt.

Überzeugen Sie sich in diesem kurzen Video davon, wie schnell sich ein Full-Mesh-Netzwerk, eine Hub-and-Spoke-Topologie oder ähnliche Infrastrukturen einrichten lassen – jetzt auch mit vollständiger Tunnel-Redundanz und Failover-Optionen:

 

On-Box-VPN-Verwaltung

Auch die direkte Verwaltung von VPN-Overlay-Netzwerken in der Firewall ist mit SFOS v19 jetzt viel einfacher und intuitiver.

Dank separater Menüeinträge für Remote-Access- und Site-to-Site-VPN lassen sich die gewünschten Bereiche schneller auffinden:

Die Registerkarten „IPSec“, „SSL“ und „LT2P“ umfassen jetzt Untermenüs für einen schnellen Zugriff auf Einstellungen, Client-Downloads sowie den Log Viewer:

IPsec-Richtlinien heißen ab sofort „Profile“ und befinden sich jetzt unter „System > Profile“. Dank Hyperlinks im Bildschirm „IPsec-Konfiguration“ lassen sich die Profile schnell und einfach aufrufen (siehe Screenshot oben):

Ein neuer Assistent für den SSL-Remotezugriff sorgt für eine effiziente Konfiguration aller Remote-Access-Komponenten:

Clientlose Richtlinien, Lesezeichen sowie Lesezeichengruppen wurden in einer Registerkarte zusammengeführt:

Eine neue Registerkarte erleichtert die Einrichtung von AWS-VPN-Tunneln (mehr dazu in der nächsten Ausgabe dieser Artikelreihe):

Dieses Video bietet Ihnen einen umfassenden Überblick über alle Verbesserungen der Benutzeroberfläche

Optimierter VPN-Betrieb in v19

Zahlreiche Verbesserungen in der Sophos Firewall OS v19 sorgen für einen effizienten VPN-Betrieb:

  • Unterstützung benutzerdefinierter Richtlinien für IPSEC RA:
    • Damit beheben wir ein potenzielles Problem mit der PCI-Compliance der IPSEC-RA-Standardrichtlinie
    • Option zur Konfiguration der Zeit bis zur Schlüsselerneuerung zur Vermeidung von Eingabeaufforderungen der mehrstufigen Authentifizierung alle vier Stunden.
    • Neue Option zur Verlängerung der Zeit bis zu einer Zeitüberschreitung durch Inaktivität von zehn Minuten auf bis zu sechs Stunden.
  • Verbesserung beim routenbasierten VPN (RBVPN):
    • Unterstützung statischer Multicast-Routen
  • Unterstützung von Verkehrskennzeichnern bei routenbasiertem VPN (RBVPN)
    • Option zur Definition von Verkehrskennzeichnern für ein spezifisches RBVPN. Dabei wird Datenverkehr nur dann durch den Tunnel geschickt, wenn er mit der gewünschten Kombination aus lokaler und Remote-Adresse übereinstimmt.
  • Unterstützung von CGM- und Suite-B-Chiffrierfolgen für IPsec
    • AES-GCM für IPsec liefert eine deutlich gesteigerte IPsec-VPN-Performance
  • SSL VPN:
    • Upgrades von Open VPN/Open SSL
    • Standardunterstützung von TLS 1.3 für SSL-VPN-Tunnel
    • AES-NI-Pfad unterstützt
    • Unterstützung von CGM-Verschlüsselung für SSL VPN

Optimierte VPN-Protokolle

Neues Log-Viewer-Modul für eine einfachere Überwachung und Fehlerbehebung für VPN-Verbindungen (für Remote-Access- und Site-to-Site-Tunnel mit SSL oder IPsec).

Zudem sind Nachrichten der IPsec-Protokollierung jetzt umfangreicher und verständlicher.

In unserer Artikelreihe informieren wir Sie ausführlich über die neuen Funktionen in SFOS v19. Lesen Sie weiter, um mehr über XStream FastPath oder XStream SD-WAN zu erfahren.