Sophos VPN-Zugang mit 2-MFA

[owl2010]

Ich habe eine Sophos XGS136 Firewall und nutze hier auch einen VPN-Zugang über SSL-VPN.

Am Handy nutze ich den OPENVPN-Client und am PC den Sophos-Connect-Client.

Ich möchte hier auf jeden Fall auch die 2-MFA aktivieren. Jedoch finde ich es sehr umständlich, dass man dann bei Sophos immer noch hinter das Passwort noch den generierten Passphrase eingeben muss. Schöner und deutlich schneller, wäre ja ein separates Feld für den Passphrase, so dass man nicht immer in das Feld vom Passwort muss.

Oder gibt es irgendwie eine benutzerfreundlichere Variante?

Ich denke ja mal, dass man VPN heutzutage nicht mehr ohne 2-MFA nutzen sollte – richtig?

Grüße
owl2010

 

[Helpmaster5000]

Ich denke ja mal, dass man VPN heutzutage nicht mehr ohne 2-MFA nutzen sollte – richtig?

Warum?

Bevor jemand deinen private key für die Verschlüsselung knacken würde, würde das Internet schon längst abgebrannt sein. Und wenn den jemand knacken könnte, dann könnte er auch noch einfacher das kurze Secret für das TOTP knacken.

 

[owl2010]

Also meinst du ein ausreichend sicheres Passwort wäre ausreichend?

 

[CoMo]

Wenn die Authentifizierung nur über Benutzername und Passwort läuft, macht die 2FA natürlich Sinn.

Aus welchem Grund wird denn überhaupt SSL-VPN genutzt und nicht Wireguard?

 

[fuz2z3l]

Im Sophos Connect Client gibt es doch ein extra Feld für den TOTP Token. Zumindest bei uns in der Firma ist das so. Wie das im OpenVPN aufm Smartphone aussieht, kann ich mangels Erfahrung nicht sagen.

Eventuell muss die VPN Konfig nochmal neu im Connect eingespielt werden, sobald 2FA verpflichtend aktiviert ist.

 

[madmax2010]

Bevor jemand deinen private key für die Verschlüsselung knacken würde, würde das Internet schon längst abgebrannt sein. Und wenn den jemand knacken könnte, dann könnte er auch noch einfacher das kurze Secret für das TOTP knacken.

nope.
Es geht dabei nicht darum den key zu knacken, sondern ob jemand, bspw mit einem keylogger oder auf vielen anderen wegen das passwort zum user / key knackt.

Wobei die Authentifizierung bei diesen enterprise appliances auch eher ein witz ist.
Sophos hat alle ~2 jahre einen auth bypass und patcht leider manchmal nicht so schnell
https://nvd.nist.gov/vuln/detail/cve-2022-1040

oder Code Exec via injection im auth prozess
https://nvd.nist.gov/vuln/detail/CVE-2024-12727
passiert gern was oefter
https://nvd.nist.gov/vuln/detail/CVE-2025-7624
https://nvd.nist.gov/vuln/detail/CVE-2025-6704
https://nvd.nist.gov/vuln/detail/cve-2022-3236
https://nvd.nist.gov/vuln/detail/CVE-2025-7382


Das teil sollte besser nicht aus dem internet erreichbar sein.

2FA sollte in jedem Fall immer aktiv sein.

 

[owl2010]

Im Sophos Connect Client gibt es doch ein extra Feld für den TOTP Token. Zumindest bei uns in der Firma ist das so. Wie das im OpenVPN aufm Smartphone aussieht, kann ich mangels Erfahrung nicht sagen.

Eventuell muss die VPN Konfig nochmal neu im Connect eingespielt werden, sobald 2FA verpflichtend aktiviert ist.

Moin, aber der Connect Client ist doch nur auf dem Windows-PV. Oder gibt es auch einen Sophos Client für Android?

 

[Masamune2]

Der Sophos Connect Client hat ein extra Feld für den OTP Token. Der Open VPN Client für das Handy halt nicht, damit musst du leben.

Da die Authentifizierung sowohl über Benutzername und Kennwort, als auch über Zertifikatspaar läuft wäre der OTP Token der dritte Faktor. Man kann sich drüber streiten ob man den dann benötigt oder nicht, ich würde ihn trotzdem beibehalten.

Das teil sollte besser nicht aus dem internet erreichbar sein.

Die Webadmin Oberfläche auf keinen Fall, das lässt sich seit einigen Versionen auch gar nicht mehr konfigurieren. Wenn ich den Haken bei HTTPS auf der WAN Schnittstelle setzen will kann ich das nicht abspeichern.

Aus welchem Grund wird denn überhaupt SSL-VPN genutzt und nicht Wireguard?

Weil die Sophos nur IPSec und OpenVPN kann, kein Wireguard.

 

[owl2010]

Also bei den Clients zur Installation lade ich ja die *.ovpn User-Konfigurationsdatei herunter, welche ich dann entweder in Windows im Sophos Connect Client einspiele oder am Handy im OpenVPN. D.h. damit hätte ich schon eine 2-MFA, weil automatisch auch ein Zertifikatspaar mit installiert wird? Oder auch anders ausgedrückt: ohne die *.ovpn könnte kein fremder den VPN-Zugriff erhalten?

 

[Masamune2]

Ja korrekt. Mach die .ovpn Datei einfach mal mit dem Editor auf, dort findest du drei Zertifikatsblöcke.
Ohne diese kann man das VPN nicht aufbauen, auch wenn Benutzername und Kennwort bekannt sind.
Wenn allerdings das VPN Portal nach außen veröffentlich wurde kann ein Angreifer darüber mit Benutzername und Kennwort einfach eine korrekte .ovpn Datei runterladen.

 

[VDC]

Schöner und deutlich schneller, wäre ja ein separates Feld für den Passphrase, so dass man nicht immer in das Feld vom Passwort muss.

Welche Version hat dein Sophos Connect Client? Neuere Version haben ein OTP-Feld

Oder gibt es auch einen Sophos Client für Android? Ich denke ja mal, dass man VPN heutzutage nicht mehr ohne 2-MFA nutzen sollte – richtig?

Da würde ich sonst einfach auf ein zweites massiv reduziertes VPN-Profil setzen, kann man ja sehr fein userbasiert einschränken per Regelwerk.

Aus welchem Grund wird denn überhaupt SSL-VPN genutzt und nicht Wireguard?

Weil die XGS SSL-VPN spricht (oder IPSEC und alternativ ZTNA, das kostet aber rund nen 10er im Monat).

weil automatisch auch ein Zertifikatspaar mit installiert wird

Hilft nix, liegt ja so auf dem Rechner und ist für jeden verfügbar. MFA macht da schon Sinn.

 

[Helpmaster5000]

bspw mit einem keylogger

Dann ist ja bereits das Gerät kompromittiert. Und dann lässt sich auf vielen weiteren Wegen auch ein MFA aushebeln.

 

[madmax2010]

@Helpmaster5000 nicht unbedingt.