Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 2 subscribers
  • Views 1509 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

setting up userportal

andy.l
Hi
Planning to setting up SSL Remote access, and have a few questins regarding user portal with this.
1) Should User portal be externally available or just internally? Since this is where users download the certificates and SSL client, I'm a bit reluctant to have this available on the the net. Users should download these things for their computers before they leave the network. I guess I should only enable internall network to connect to the portal, and only listen on the internal IP adress to make thos work?
2) If I enable the User portal only internally on port 443. Will there be any issues with SSL remote access on port 443 on the external interface.

/Andy.l


This thread was automatically locked due to age.
Parents
  • 0
    Hi,

    1) Enabling internal only would be better for security, but in case a user(s) cannot directly access your internal network for whatever reason it might be better to enable external access as well.  That way they don't lose out, plus the external connection to the User Portal should be SSL-encrypted anyway even if the certificate isn't installed.  I'll leave this decision up to you depending on your circumstances.

    2) It shouldn't have any effect.  You should still be able to connect via SSL VPN, as long as the hostname for the Astaro box has been setup correctly.

    Hope this helps.


    Regards,

    Jon.
  • 0 in reply to jonf_01
    Hi
    Regarding point 1) As I understand it, you only need a user name and password to access the user portal. So if that is externally available someone might brute force their way in, download the client certificate, and then be able to gain access through the SSL vpn, since they then have both certificate and user name/password.
    If I don't enable this externally they are not able to connect through the SSL vpn even if they manage to find the correct user name/password combo since they do not have the SSL certificate.
    Is this assumption correct?

    /Andy.l
  • 0 in reply to andy.l
    Actually the SSL certificate I was initially referring to is for the HTTP/S proxy feature of the Astaro box, not for the SSL VPN [:)].  As far as I am aware they are separate entities, and just because someone has the SSL certificate for the web-based interface doesn't mean they gain access to your SSL VPN as well.  However you are correct in saying that they will also need the corresponding certificate files (as well as the key file) for the SSL VPN connection on top of the login credentials in order to gain access.

    Furthermore whilst it is theoretically possible for a hacker to brute force someone's login details if you were to make the User Portal available to the Internet, I would think that if your users made their passwords relatively secure this would at the very least decrease the likelyhood of such an outcome materialising.  Plus you can also effectively hide the IP address/dynamic hostname of the Astaro box from hackers by making the Astaro box drop all ping/traceroute requests under 'Network Security' > 'Packet Filter' > 'ICMP', thereby giving the hacker(s) nothing to see in the first place.

    Hope this helps.


    Regards,

    Jon.
  • 0 in reply to jonf_01
    Hi Jon
    Your feedback have proven valuable to me in setting this up.
    Thank you for taking the time to answer my questions.

    /Andy.l
Reply Children