Actualmente en mi trabajo tenemos 2 cortafuegos, Cisco ASA para la parte exterior y Sophos para tareas administrativas (filtro web/aplicaciones, etc.). No es mi configuración, acabo de unirme así que es más o menos cómo están las cosas en este momento.
Estoy buscando implementar una VPN para permitir acceso remoto a nuestros servidores, me gustaría que Sophos se encargara de eso pero está en el interior. ¿Hay alguna forma en la que me recomienden hacerlo? Todavía soy bastante nuevo en esto, pero estoy aprendiendo sobre la marcha.
Cualquier ayuda sería muy apreciada.
¿No sería suficiente redirigir los puertos VPN necesarios desde ASA a Sophos? Así Sophos puede actuar como la puerta de enlace VPN. Esta sería la configuración si tu Sophos está justo detrás del ASA.
Trata la caja de Sophos como cualquier otro servidor y realiza NAT en el ASA para los servicios que necesitas.
Por ejemplo, supón que el ASA tiene interfaces llamadas interior/exterior/DMZ/cualquier otro, y la IP exterior es 9.0.0.1/24, crea un objeto para el servicio y añade una entrada de NAT donde 10.0.0.20 es la IP interna en el gateway de Sophos para acceso remoto, traduce 9.0.0.50->10.0.0.20 en todos los puertos.
objeto red Sophos-RA-GW
host 10.0.0.20
nat (Exterior,Interior) estático 9.0.0.50
donde 172.16.34.150 es la IP en tu DMZ en Sophos que reenvía a tu webapp, traduce 9.0.0.18->172.16.34.150 en todos los puertos.
objeto red Sophos-Webapp
host 172.16.34.150
nat (Exterior,DMZ) estático 9.0.0.18
Puedes y probablemente deberías ir un paso más allá y especificar los puertos, ejemplo a continuación, usando la IP de la interfaz exterior y alguien que se conecte a 9.0.0.1:9999 será reenviado a la Webapp en el puerto 443, es decir, 90.0.0.1:9999->172.16.34.150:443.
objeto red Sophos-Webapp
host 172.16.34.150
nat (Exterior,DMZ) estático interfaz servicio tcp 9999 443
Nunca he trabajado con Sophos RA pero he hecho configuraciones similares muchas veces con Firepower FTD/Anyconnect. Debería ser bastante directo.
[puede que la mejor opción sea la redacción menos horrible 
No estoy seguro si has usado el cliente VPN de Sophos antes, pero en comparación con Cisco AnyConnect, es una mierda absoluta, no escala bien. Cada vez que haces un cambio en la configuración del firewall, no se envía automáticamente a los clientes; para que ese cambio se aplique, deben ir al portal web y volver a descargar la configuración. Además, el propio cliente no te presenta ningún lugar para ingresar la dirección IP del firewall al que quieres conectarte, simplemente almacena las direcciones IP en un archivo de configuración.
Si fuera mi decisión, nunca en un millón de años escogería una VPN de Sophos sobre AnyConnect. Soporto ambas quotidianamente y siempre elijo AnyConnect.
Hacemos lo mismo, pero hay un costo de licencia para la VPN y los asientos que usas para eso. Me pregunto si OP intenta buscar una solución más económica.
Podría hacer la VPN al ASA y tratar la subred VPN como una DMZ en Sophos. Me parece una solución más sensata, ya que aún tienes a Sophos para filtrar el tráfico de los clientes VPN y también obtienes reglas ACL y demás del ASA.
Estoy de acuerdo en que simplemente hacer una NAT de los puertos VPN a través del ASA a Sophos parece restarle valor a la función de corta fuegos heterogéneos múltiples.
De acuerdo. Probablemente sea mejor tratar los túneles VPN como no confiables, terminándolos en tu DMZ. Solo permite el tráfico necesario fuera de la zona. Esto mantiene no solo la segmentación, sino también la resiliencia de la protección si uno de los proveedores tiene alguna vulnerabilidad grave.