Vai al contenuto
Avanet

Sophos Connect o SSL VPN: quale soluzione di accesso remoto è giusta?

Sophos Firewall offre molteplici percorsi per l’accesso remoto. Negli ambienti più vecchi spesso si trova ancora il classico client SSL VPN o i vecchi profili IPsec. Nelle attuali versioni SFOS, Sophos Connect è il client centrale per molti scenari di accesso remoto, ma la compatibilità varia a seconda della piattaforma, del protocollo e del modello operativo.

Questa guida decisionale mostra quando è opportuno Sophos Connect con IPsec, Sophos Connect con SSL VPN, un client compatibile con OpenVPN o ZTNA. Per gli ambienti con SFOS 22.0 MR1 è anche importante: Legacy Remote Access IPsec non deve più essere lasciato come legacy. La migrazione è descritta nell’articolo Migrazione dell’IPsec di accesso remoto legacy prima di SFOS 22 MR1.

Quale articolo VPN è adatto?

L’accesso remoto e la VPN da sito a sito sono configurati in posizioni diverse in Sophos Firewall. La prima cosa importante per gli amministratori è se si tratta dell’accesso degli utenti, della rete del sito, del funzionamento del client, dell’identità o della risoluzione dei problemi.

Breve aiuto al processo decisionale

  • Client Windows con distribuzione centrale: Sophos Connect con IPsec o SSL VPN.
  • Client macOS da Sophos Connect 2.0: Sophos Connect con IPsec o SSL VPN, a seconda della configurazione del firewall.
  • BRACCIO di Windows: Sophos Connect dalla versione 2.5.
  • iOS, iPadOS, Android o altre piattaforme mobili: Risorse integrate client o sistema operativo compatibili con OpenVPN, a seconda del protocollo.
  • Reti straniere con IPsec bloccato: Controlla SSL VPN o ZTNA.
  • Accesso solo alle singole applicazioni: Controlla ZTNA o Accesso senza client.
  • IPsec di accesso remoto legacy precedente a SFOS 22 MR1: Migrazione e rimozione. La tabella è volutamente semplificata. In pratica, non è solo il client a decidere, ma anche il modello di autenticazione, l’MFA, l’ambiente di rete degli utenti, gli obiettivi interni richiesti e il modo in cui i profili vengono distribuiti e aggiornati.

Confini della piattaforma e del profilo

Prima di prendere una decisione, non dovresti semplicemente chiedere “IPsec o SSL VPN”. Altrettanto importante è se la piattaforma desiderata supporta il tipo di profilo appropriato e la distribuzione desiderata.

  • Windows 10/11 a 64 bit: Sophos Connect IPsec: sì; Sophos Connect SSLVPN: sì; File di fornitura: sì.
  • BRACCIO di Windows: Sophos Connect IPsec: da Sophos Connect 2.5; Sophos Connect SSLVPN: da Sophos Connect 2.5; File di fornitura: da Sophos Connect 2.5.
  • macOS Intel: Sophos Connect IPsec: sì; Sophos Connect SSLVPN: da Sophos Connect 2.0; File di fornitura: no.
  • macOSApple Silicon: Sophos Connect IPsec: sì, via Rosetta 2; Sophos Connect SSLVPN: da Sophos Connect 2.0, tramite Rosetta 2; File di fornitura: no.
  • iOS, iPadOS, Android: Sophos Connect IPsec: non con Sophos Connect; Sophos Connect SSLVPN: non con Sophos Connect; File di fornitura: non con Sophos Connect.
  • Vecchi client Windows a 32 bit: solo le versioni precedenti di Sophos Connect fino alla 2.4 supportano ancora Windows a 32 bit. Le distribuzioni attuali devono essere pianificate con Windows a 64 bit.

Per macOS ciò significa in pratica: Sophos Connect ora può utilizzare SSL VPN, ma non con la stessa logica di provisioning di Windows. I profili devono essere deliberatamente importati e sottoposti a nuovo provisioning dopo modifiche rilevanti. Per le piattaforme mobili, Sophos Connect non rimane il cliente diretto; A seconda del protocollo sono necessarie app compatibili con OpenVPN o funzioni del sistema operativo.

Sophos Connettiti con IPsec

Sophos Connect con IPsec è spesso la prima scelta quando sono necessarie VPN client classiche per dispositivi Windows o macOS. IPsec è generalmente ad alte prestazioni ed è particolarmente adatto per i clienti aziendali gestiti in cui i profili possono essere distribuiti in modo controllato.

Vantaggi:

  • buone prestazioni in molti ambienti
  • adatto per client Windows e macOS gestiti
  • Regole firewall centrali possibili tramite la zona VPN.
  • chiara separazione tra accesso remoto e VPN da sito a sito
  • utile se Sophos Connect viene comunque utilizzato come client standard

Limiti:

  • IPsec può essere bloccato negli hotel, nelle reti ospiti, nelle reti mobili o nelle reti di terze parti rigorosamente filtrate.
  • I profili e le assegnazioni degli utenti devono essere mantenuti correttamente.
  • Dopo le modifiche ai pool, al DNS o alle reti di destinazione, i client devono essere testati nuovamente.
  • L’IPsec di accesso remoto legacy non deve essere confuso con la configurazione IPsec di accesso remoto corrente.

Per configurarlo sul firewall, Configurare Sophos Connect Client sul Sophos Firewall è l’articolo di connessione appropriato.

Sophos Connettiti con SSL VPN

Sophos Connect può anche utilizzare connessioni SSL VPN. Ciò è rilevante su Windows da molto tempo e, a partire da Sophos Connect 2.0, Sophos supporta anche la VPN SSL su macOS. Ciò è particolarmente importante perché le vecchie istruzioni di Avanet e Sophos Connect risalgono in parte a un’epoca in cui macOS con Sophos Connect poteva eseguire solo IPsec.

Vantaggi:

  • spesso meglio utilizzabile in reti di terze parti restrittive rispetto a IPsec
  • Windows e macOS sono supportati con le versioni attuali di Sophos Connect
  • La tecnologia OpenVPN è facile da capire durante il funzionamento
  • ha senso se i processi SSL VPN esistenti sono già stabiliti

Limiti:

  • Le prestazioni e la scalabilità dipendono maggiormente dall’appliance, dal protocollo, dalla crittografia e dal carico.
  • I profili utente e i certificati devono essere gestiti correttamente.
  • I vecchi client SSL VPN e le vecchie versioni OpenVPN non devono essere utilizzati senza verificare.
  • I dispositivi mobili utilizzano ancora in genere altri client compatibili con OpenVPN.

La configurazione lato firewall si trova in Configurare l’accesso remoto VPN SSL di Sophos Firewall. Per Windows è disponibile la guida passo passo Configurare Sophos SSL VPN con Sophos Connect su Windows. Per macOS, è necessario controllare la versione corrente di Sophos Connect per eventuali nuove installazioni perché il supporto della piattaforma è cambiato nel 2026. L’articolo operativo appropriato a questo scopo è Control and aggiorna in modo sicuro la versione di Sophos Connect Client.

Client OpenVPN e piattaforme mobili

Sophos Connect non supporta direttamente tutte le piattaforme. Le piattaforme mobili come iOS e Android non sono direttamente coperte da Sophos Connect per IPsec e SSL VPN. In questi casi vengono utilizzate, a seconda del protocollo, le risorse integrate del sistema operativo oppure i client compatibili con OpenVPN.

Questo non è uno svantaggio se il processo è chiaramente documentato. Diventa problematico solo quando gli utenti utilizzano app diverse, vecchi profili e istruzioni poco chiare. Per quanto riguarda i dispositivi mobili è pertanto opportuno definire chiaramente quanto segue:

  • quale protocollo viene utilizzato
  • quale app è supportata
  • da dove proviene il file di configurazione
  • come funzionano l’AMF o i certificati
  • chi supporta le modifiche al dispositivo

Sono disponibili istruzioni specifiche per Sophos SSL VPN con Sophos Connect su Windows, Sophos SSL VPN con Sophos Connect su macOS, Sophos SSL VPN con iPhone e iPad e Sophos SSL VPN con Android.

Distribuzione e aggiornamenti del profilo

Spesso i problemi di accesso remoto non derivano dal tipo di tunnel selezionato, ma da vecchi profili. Se il gateway, il certificato, il DNS, il gruppo utenti, il pool IP, il portale o il file di provisioning vengono modificati, è necessario pulire attivamente l’inventario del profilo.

Regole pratiche:- Monitoraggio centralizzato delle versioni di Sophos Connect.

  • Non distribuire file .scx, .tgb, .ovpn e .pro in parallelo in modo incontrollato.
  • Con il provisioning .pro, il client riceve automaticamente la configurazione, ma i gateway SSL VPN effettivi provengono comunque dalla configurazione SSL VPN importata e possono differire dall’indirizzo del portale.
  • Per SSL VPN, verificare se gli utenti possono scaricare nuove configurazioni tramite Update policy nello User Portal o se il profilo deve essere ridistribuito manualmente.
  • Distinguere consapevolmente i tipi di file: .scx viene usato di solito per profili Sophos Connect IPsec, .tgb per profili IPsec di determinati client di terze parti o mobili, .ovpn per configurazioni SSL VPN e .pro per il provisioning Windows.
  • Distinguere consapevolmente i tipi di file: .scx è in genere per profili IPsec Sophos Connect, .tgb per profili IPsec di determinati client di terze parti o mobile, .ovpn per configurazioni SSL VPN e .pro per il provisioning Windows.
  • Mantieni i nomi dei profili univoci, soprattutto per più posizioni.
  • Pianifica una nuova importazione dopo le modifiche a SSL VPN o IPsec.
  • Testa separatamente i client Windows, macOS e mobili.
  • Rimuovi i vecchi profili quando esci, cambi dispositivo o esegui la migrazione.

Un nuovo import non è rilevante solo dopo modifiche al firewall. Anche gli aggiornamenti del client possono cambiare il comportamento, per esempio quando credenziali salvate, opzioni di profilo o nuove funzioni del client funzionano correttamente solo dopo una nuova importazione della configurazione. Per questo Update policy, reimport e comunicazione all’helpdesk vanno testati prima dei rollout più ampi.

Il processo operativo per gli aggiornamenti del client è in Control and aggiorna in modo sicuro la versione di Sophos Connect Client.

Quando ZTNA è più adatto

Non tutti i casi di accesso remoto necessitano di una VPN classica. Quando gli utenti devono accedere solo a singole applicazioni web o a servizi interni definiti, ZTNA è spesso l’architettura più pulita. Il client quindi non ottiene un accesso generale alla rete, ma solo l’accesso alle applicazioni di cui ha bisogno.

ZTNA è particolarmente indicato se:

  • non è richiesta l’accessibilità completa della rete
  • gli utenti esterni utilizzano solo singole applicazioni
  • L’accesso dovrebbe essere più strettamente legato all’identità, al dispositivo e alla policy
  • Le regole VPN sono cresciute storicamente e sono diventate troppo ampie

ZTNA non sostituisce ogni VPN. Potrebbe essere ancora necessaria una VPN classica per l’accesso amministrativo, molti protocolli, software speciali o percorsi di rete complessi. Connettore Sophos ZTNA Gateway funge da introduzione.

Sicurezza e operazioni

Indipendentemente dal cliente scelto, le questioni operative rimangono simili. L’accesso remoto è un punto di ingresso accessibile al pubblico nella rete e non dovrebbe solo funzionare tecnicamente, ma anche essere gestito in modo pulito.

Punti importanti:

  • Attivare e testare l’MFA per l’accesso remoto.
  • Con Sophos Connect verificare se il metodo MFA è adatto al client. I metodi OTP challenge-based non funzionano come User Portal o WebAdmin; Sophos Connect lavora con password più OTP oppure con flussi call/push.
  • Controlla regolarmente i gruppi di utenti.
  • Rilasciare solo le reti e i servizi target richiesti.
  • Nomina chiaramente e registra le regole del firewall per la zona VPN.
  • Rimuovi i profili VPN quando lasci o cambi dispositivo.
  • Ripulire le vecchie configurazioni legacy precedenti a SFOS 22.0 MR1.
  • Utilizzare il visualizzatore di registri e i registri centrali per errori di accesso e connessione.

Configura Sophos Firewall MFA è adatto per MFA. Se le connessioni vengono stabilite ma non scorre traffico, Risolvere il problema della VPN IPsec in Sophos Firewall e Verificare la regolamentazione del firewall con Log Viewer, Policy Test e Packet Capture possono essere d’aiuto.

Se è possibile accedere al portale VPN, al portale utente o alla VPN SSL da Internet, è necessario selezionare anche Accesso al dispositivo e ACL del serzizio locale. L’accesso remoto non è solo una questione del client, ma anche un servizio firewall accessibile al pubblico.

Domande frequenti

Sophos Connect è il successore del vecchio client SSL VPN?

Per molti scenari Windows e macOS, Sophos Connect è ora il client Sophos centrale. Tuttavia, i client compatibili con OpenVPN possono comunque essere utili, soprattutto su piattaforme mobili o in casi speciali.

Sophos Connect supporta SSL VPN su macOS?

Sì. A partire da Sophos Connect 2.0, il client Sophos Connect su macOS può utilizzare anche la VPN SSL di accesso remoto. Per fare ciò, la versione del client, la versione del firewall e la configurazione devono corrispondere.

IPsec è più veloce della VPN SSL?

Spesso sì, ma non in modo trasversale. IPsec è spesso più performante, mentre SSL VPN funziona meglio in reti di terze parti restrittive. I fattori decisivi sono l’appliance, il client, il percorso di rete, la crittografia e il modello di accesso concreto.

E che dire di Windows ARM?

Sophos Connect supporta Windows ARM dalla versione 2.5. Per le versioni client precedenti o i vecchi pacchetti software interni è quindi necessario verificare quale versione viene effettivamente distribuita.

Quando ZTNA è migliore della VPN classica?

ZTNA è spesso migliore quando gli utenti necessitano solo di singole applicazioni e non è richiesto un ampio accesso alla rete. La VPN classica rimane utile per molti protocolli, accesso amministrativo, software speciale o percorsi di rete complessi.

Cosa è necessario verificare prima dell'SFOS 22.0 MR1?

Prima di SFOS 22.0 MR1 è necessario verificare se esiste ancora Legacy Remote Access IPsec. Questa vecchia configurazione blocca l’aggiornamento e deve essere migrata o rimossa in anticipo.