Comparação: Sophos Connect Client ou SSL VPN Client?

O Sophos SSL VPN Client foi até agora a solução mais popular para estabelecer uma ligação VPN com a Sophos Firewall. Entretanto, a Sophos oferece com o novo Sophos Connect Client uma alternativa. Neste artigo fica a conhecer as vantagens e desvantagens dos dois clientes.

Sophos Connect Client - série

Este artigo faz parte de uma série que transmite o conhecimento necessário para começar a usar o Sophos Connect Client.

• Comparação: Sophos Connect Client ou SSL VPN Client?
• Configurar Sophos Connect Client na XG Firewall (SFOS)
• Instalar Sophos Connect Client no Windows
• Instalar Sophos Connect Client no macOS

Sophos SSL VPN Client

Vantagens

• OpenVPN - O Sophos SSL VPN Client é um OpenVPN Client com branding. Funciona muito bem com o OpenVPN Server que corre na Sophos Firewall.
• Grande escolha de OS - O OpenVPN Client existe para Windows, macOS, Android e iOS.
• Standard aberto e vários clientes - Também é possível usar outros SSL VPN Clients, por exemplo:
  • pritunl Client - Windows, macOS, Linux (gratuito e Open Source)
  • Tunnelblick - macOS (gratuito e Open Source)
  • Viscosity - Windows, macOS (Shareware)
• Várias opções de configuração - No SSL VPN Client, a Sophos permite escolher outra porta para a ligação. Também é possível definir a força da cifragem.

Desvantagens

• Software deployment - Não é possível instalar o VPN Client por distribuição de software, porque cada utilizador tem o seu próprio certificado.
• Performance - Consoante a definição, o tráfego passa por um túnel TCP ou UDP. Mesmo com UDP, a performance é inferior à do protocolo IPsec.
• Carga da firewall - SSL exige mais performance da Sophos Firewall, o que reduz o número de ligações paralelas possíveis. Consoante a appliance, podem ser possíveis até 6 vezes mais ligações com IPsec.

Sophos Connect Client

Vantagens

• Performance - IPsec oferece melhor performance.
• Deployment - A ferramenta pode ser distribuída por software deployment.
• Desenvolvimento próprio - A ferramenta é desenvolvida diretamente pela Sophos e poderá futuramente ser distribuída também via Central. Isto facilita ainda mais o trabalho do admin.
• Sophos Synchronized Security - No Sophos Connect Client é muito mais simples configurar o Security Heartbeat do que no SSL VPN Client.
• Ferramentas nativas macOS / iOS - Na Avanet gostamos quando é possível trabalhar com meios nativos do sistema, sem instalar uma ferramenta extra para cada finalidade. Em macOS, o Cisco IPsec Client está integrado no sistema operativo. Através do “Sophos User Portal” pode descarregar a configuração IPsec ‘iOS_IPSECProfile.mobileconfig’ e instalá-la com um clique.

Desvantagens

• Download do cliente - Atualmente, apenas o administrador consegue descarregar os ficheiros de setup e configuração. Exceto em macOS e iOS, o utilizador não consegue fazê-lo sozinho através do User Portal. Assumimos, contudo, que isto mudará no futuro.
• Portas de protocolo - Para a ligação IPsec são usadas portas que não estão abertas em todo o lado, por exemplo em hotéis ou hotspots públicos.
• Permissões de utilizador - Na configuração SFOS, cada utilizador tem de ser adicionado individualmente. Não é possível ativar grupos inteiros de Active Directory para o Sophos Connect Client.