protecting the SSL service

Hi Andy,

The SSL VPN is 'secure enough' by default. Sophos uses the same SSL encryption that underpins most of the online financial transactions worldwide. The VPN process uses a combination of certificates and password authentication to secure the tunnel. Sophos also goes to the extent of sandboxing the VPN process so even if someone broke into the UTM, they would still have to break out of the sandbox as well.

[edit] As was also pointed out in another recent thread, the combination of certificate plus username/password introduces a form of two-factor authentication, which further improves the VPN security.[/edit]

I'd be more concerned about somebody stealing the user's passwords and the laptop with the VPN client software. At that point, no level of security on the VPN will protect you.

No Internet facing system is truly 100% safe(secure), it can only be secure enough for your needs. I know people who are happy with the security of a consumer router by Linksys or Dlink. That is secure enough for them. I also know people who have three levels of firewall's (different vendors at each) between the internet and their servers. They run IPS at each level with well defined allowed traffic flows between each layer.

Different targets of different value but both are secure enough. What do you consider secure enough?

An Aside:

An old prof in University who taught computer security said that the only truly secure(safe) computer was one that was turned off, password protected, biometric controlled, encased in 3m of steel reinforced concrete, buried inside an asteroid and launched at near light speed into deep space. But only until somebody invents warp drive. [;)]

Nothing is ever truly secure. It only has to be secure enough that the intruder has to expend more time and energy then it's worth to reach their prize. Security measures just slow the intruder down enough the prize becomes too expensive and they stop trying.

Hi Andy,

The SSL VPN is 'secure enough' by default. Sophos uses the same SSL encryption that underpins most of the online financial transactions worldwide. The VPN process uses a combination of certificates and password authentication to secure the tunnel. Sophos also goes to the extent of sandboxing the VPN process so even if someone broke into the UTM, they would still have to break out of the sandbox as well.

[edit] As was also pointed out in another recent thread, the combination of certificate plus username/password introduces a form of two-factor authentication, which further improves the VPN security.[/edit]

I'd be more concerned about somebody stealing the user's passwords and the laptop with the VPN client software. At that point, no level of security on the VPN will protect you.

No Internet facing system is truly 100% safe(secure), it can only be secure enough for your needs. I know people who are happy with the security of a consumer router by Linksys or Dlink. That is secure enough for them. I also know people who have three levels of firewall's (different vendors at each) between the internet and their servers. They run IPS at each level with well defined allowed traffic flows between each layer.

Different targets of different value but both are secure enough. What do you consider secure enough?

An Aside:

An old prof in University who taught computer security said that the only truly secure(safe) computer was one that was turned off, password protected, biometric controlled, encased in 3m of steel reinforced concrete, buried inside an asteroid and launched at near light speed into deep space. But only until somebody invents warp drive. [;)]

Nothing is ever truly secure. It only has to be secure enough that the intruder has to expend more time and energy then it's worth to reach their prize. Security measures just slow the intruder down enough the prize becomes too expensive and they stop trying.