Hallo.
Weet iemand of Sophos iets gebruiksvriendelijkers heeft geïmplementeerd dan de codes aan het einde van de wachtwoorden voor MFA? We besteden veel tijd aan tickets die daarmee te maken hebben. Wat gebeurt er ook als de eindgebruiker zijn wachtwoord opslaat? Zal het falen en krijgen ze een nieuwe prompt?
Is iemand dit nu in realtime aan het implementeren? T
Specifiek via LDAP-authenticatie.
Dank je wel
Maak je eigen .pro bestand
Als ze het verkeerde wachtwoord opslaan, moeten ze alle gegevens opnieuw correct invoeren.
Heb het nog niet gedaan met LDAP, sorry.
Nee, en ze hebben mijn implementatie van Duo radius proxy gebroken.
Ik heb sslvpn ingesteld op mijn xg(s) om een push te doen naar Microsoft Authenticator. Gebruikmakend van mijn on-premises AD en een NPS-radius die vervolgens met onze Entra ID praat voor de push. Werkt goed. Belangrijk is dat als je al een NPS hebt, je een aparte nodig hebt voor Sophos.
Hopelijk helpt dit.
We gebruiken het provisioning-bestand zodat het extra veld wordt toegevoegd (we gebruiken ook LDAP). Hopelijk wordt de Azure-integratie binnenkort geïmplementeerd voor VPN, dan kun je gewoon de Authenticator-app gebruiken.
Ik overwogen om de authenticatie over te schakelen naar Crowdstrike aangezien we hun ITDR-product gebruiken. Het kan push-meldingen sturen.
RADIUS en Azure MFA is de weg als je al gebruikmaakt van O365. Vergeet niet gebruikers alleen push-authenticatie te laten gebruiken 365. How to use Azure MFA With Sophos XG Firewall - rieskaniemi.com
Je kunt een DUO proxyserver instellen door de DUO proxydienst op een server te plaatsen, en vervolgens een LDAP DC-server en de DUO proxy toe te voegen aan je Sophos-authenticatiemethodes in de firewall. We hebben dit ingesteld en het werkt redelijk. We schakelen in de toekomst over naar ZTNA. Ik test het nu. Het lijkt de beste optie voor beveiliging en betrouwbaarheid.
Over het algemeen ben ik niet tevreden over Sophos SSLVPN. We hebben veel problemen gehad met bugs in de software en andere vreemde issues. Daarnaast staat het VPN-portaal open voor aanvallen by design. Best vreselijk.
We zijn overgestapt op de IPsec VPN zoals door Sophos aanbevolen. Veel betere VPN-prestaties en de code wordt in zijn eigen vak geplaatst bij het inloggen.
Tot slot om zeker te zijn: het is algemeen bekend dat:
Sophos ontwikkelt momenteel de Entra ID-integratie voor Sophos Connect (IPsec+SSLVPN).
Je kunt in Q2 van dit jaar meer nieuws hierover verwachten.
Dank je. We zullen dat moeten testen. De MFA-implementatie is eerlijk gezegd pijnlijk.
Ik ben een beetje terughoudend om de gebruikers/VPN-portal over WAN te exposen voor het werken van het provisioning-bestand, vanuit beveiligingsperspectief.
Ik gebruik de Duo LDAP-proxy, en het werkt min of meer.
Om zeker te zijn: SFOS heeft de implementatie niet ‘gebroken’: we volgen nu in V20.0 MR1 + de informatie die de radius biedt.
We hadden in eerdere fasen de informatie van radius genegeerd en de AD-zoekfunctie gebruikt, maar gaan nu de door radius geboden informatie overschrijven.
Meer informatie hier: https://community.sophos.com/sophos-xg-firewall/f/discussions/147249/sophos-xg-does-not-recognize-user-group-returned-by-nps-radius-server/545509