Belsoft Best Practice - Microsoft TMG: Einfacher Umstieg auf Sophos

1. 1
18.06.2014 - Belsoft Best Practice - Microsoft TMG: Einfacher Umstieg auf Sophos
Sascha Paris, Snr. Sales Engineer Sophos
Sophos, die perfekte
alternative zu Microsoft
TMG

2. 2
R.I.P.
End of sale
TMG - 1 December 2012
Web Protection - 1 December 2012
End of support
TMG - 14 April 2015
Web Protection – 31 December 2015
End of life
TMG & Web protection - 14 April 2020

3. 3
Eine kleine Anmerkung vorneweg…
Kein Hersteller deckt die TMG Funktionalität 1:1 ab…
Die Sophos UTM kann allerdings die meisten Szenarien
bereits heute einfach und zuverlässig abdecken.

4. 4
Schlüsselfunktionen des Microsoft TMG
• HTTP Antivirus/spyware
• URL Filtering
• HTTPS forward inspection
• Web Caching
• Role based access
Secure Web
Access
• Stateful firewall
• VoIP traversal (SIP)
• Enhanced network address
translation (NAT)
• ISP Link Redundancy
• Client authentication
(through FW client)
Firewall
• Exchange Edge/FSE
integration
• Antivirus
• Anti-spam
E-mail Protection
• Network Inspection System
(NIS)
• Signature based IDS
Intrusion
Prevention
•Secure web publishing
• VPN technology (IPSEC,
L2TP, PPTP, SSTP)
• Network Access Protection
(NAP) integration with VPN
role
Remote Access
• Scenario UI and wizards
• Change tracking + reporting
• Built-in NLB and failover
• Windows Server 2008 or
R2, native 64-bit
• Hyper-V and VMware
• SQL logging
Deployment and
Management
• Web Protection:
• URL Filtering
• Anti malware
• Email Protection
• E-mail AV
• Anti-spam
Subscription
Services

5. 5
• Anti-Spam & Phishing
• Dual Virus Protection
• E-Mail Encryption
• Data Loss Prevention (DLP)
• URL-Filter
• Dual Virus Protection
• Anti-Spyware
• Application Control
• Reverse Proxy
• Web Application Firewall
• Dual Virus Protection
• Reverse Authentication
• IPS with MAPP & LiveLabs
• IPSec/SSL/RED VPN
• WAN Link Balancing
• SSL Portal (HTML5)
• Adv. Threat Protection (ATP)
Schlüsselfunktionen der Sophos UTM
• Wireless Controller for
Sophos Access Points
• Multi-SSID Support
• Captive Portal &
Ticketingsystem
Wireless
Protection
Web
Protection
Web Server
Protection
Network
Protection
Mail
Protection
optional
• Stateful Firewall
• Network Address Translation
• PPTP/L2TP Remote Access
Essential
Firewall
• Device Control
• AntiVirus
• Web Control
Endpoint
Protection
optional

6. 6
Webbasierte graphische Oberfläche

7. 7
Vergleich Funktionsmodule

8. 8
Network Firewall
• Stateful packet inspection
• H.323 transversal support
• Advanced NAT (SNAT, DNAT, 1:1 NAT, Full NAT, Masquerade)
• Client VPN mit Windows Remote Access (PPTP and L2TP)
Zusätzliche Features gegenüber TMG:
• IPv6 Unterstützung
• Amazon Virtual Private Cloud Connector
• Zwei Faktor Authentifizierung mittels
integrierter OTP Lösung
Feature Vergleich
• Stateful firewall
• VoIP traversal (SIP)
• Enhanced network address
translation (NAT)
Firewall



•VPN technology (PPTP,
L2TP)
Remote Access


9. 9
Network Protection
• Intrusion Prevention System
• VPN (S2S und RAS)
￮ IPSec, SSL, PPTP and L2TP
• WAN Link Balancing
• Client Authentication (mit AD, LDAP, RADIUS und eDirectory)
￮ Client Authentication mittels SAA Software
• Flexibles Loadbalancing und Failover
Zusätzliche Features gegenüber TMG:
• HTML 5 VPN Portal
• Advanced Threat Protection
￮ Botnet/Command-and control Detektion
￮ Selective cloudbasiertesandbox
Feature Vergleich
• Network Inspection System
(NIS)
• Signature based IDS
Intrusion
Prevention

•VPN technology (IPSEC,
L2TP, PPTP, SSTP)
Remote Access

•ISP Link Redundancy
• Client authentication
(through FW client)
Firewall



•Built-in NLB and failover
Deployment and
Management


10. 10
Web Protection
• Gateway Anti Malware
• URL Filtering
• Web Application Control
• User & Gruppen basierter Zugriff
• Interaktive Nutzungsreports
• Policy Tester für Troubeshooting
Zusätzliche Features gegenüber TMG:
• Integration von Sophos Enterprise Console
managed Clients (Wen in Endpoint)
• Transparent AD SSO User Authentication
• Device-spezifische Authentifizierung
Feature Vergleich
• HTTP Antivirus/spyware
• URL Filtering
• HTTPS forward inspection
• Web Caching
•Role based access
Secure Web
Access




• Change tracking + reporting
• SQL logging and SNMP
Deployment and
Management



11. 11
Email protection
• Filtert Spam und Malware
Zusätzliche Features gegenüber TMG:
• Benutzerportal für persönliches Quarantäne, White-, und
Blacklist Management
• Phishing Protection für E-Mails
• S/MIME und PGP E-Mail Verschlüsselung
• Einfache SPX Verschlüsselung
• Data Leakage Protection
Feature Vergleich
• Exchange Edge/FSE
integration
• Antivirus
• Anti-spam
E-mail Protection


12. 12
Web Server Protection
• Web Application Firewall
• Reverse Proxy Authentifizierung (Offloading und Passthrough)
• Anti Malware Scanning
• Server und Session Schutzfunktionen
Zusätzliche Features gegenüber TMG:
• Form hardening
• URL hardening
Feature Vergleich
•Secure web publishing
Remote Access





13. 1313
UTM-spezifische
Funktionalitäten

14. 14
Wireless Protection
• zentrales Management (WLAN Controller)
• Plug & play Roll-Out
• Access Points können an LAN-Patchdose angeschlossen werden
• Hotspot mit Captrive Protal integriert
• individuelle Voucher (Zeit/Volumen-basiert)
• Wireless Repeating und Bridging
• voll anpassbare Loginpages und Vouchers
• unterstützt Backend Authentication
• unterstützt 2-Faktor-OTP Authentication
Einfaches zentrales WLAN Management

15. 15
Sophos RED
Sichere Plug & Play Anbindung von Branch Offices
• Home Offices, Niederlassungen, Filialen, Außenstellen,
Dienststellen, …
• kommt völlig ohne Konfiguration der VPN-Devices aus
• gleiches Sicherheits- & Schutzniveau für alle angebundenen
Branches
• Verschlüsselung aller Daten
• keine Betriebsaufwände

16. 16
Endpoint Protection
• Endpoint Anti-malware
• Live protection
• Device Control
￮ kontrollierter Zugriff auf Hardware, Ports und Schnittstellen im Rechner
• standortunabhängig durch LiveConnect Management
• Integration der Sophos Enterprise Console Endpoints
￮ bestehende Endpoint Kunden lönnen UTM nutzen für Web Policy
Enforcement
• Alarmmails wenn Infektion von for UTM Endpoint Clients
erkannt wird
Schutz von Servern und Desktops – auch außerhalb des Unternehmens

17. 17
Web in Endpoint
Konsistenter Schutz unabhängig vom Standort
• kombiniert Gateway, Endpoint and Cloud
• Surf Policies sind imemr gültig
• egal ob der Anwender im Unternehmen oder unterwegs ist
Echtzeit Monitoring und Reporting
• Benutzer-Aktivitäten können jederzeit eingesehen werden
• egal ob der Anwender im Unternehmen oder unterwegs ist
• Datenschutz-Compliance mittels 4-Augen-Anonymisierung der
Reportingdaten
keine Exctrakosten…
…für Kunden, die folgende Features einsetzen
• UTM Endpoint Protection
• oder eine bestehende Sophos Endpoint installation haben (SEC)
• UTM Web Protection
Sicheres surfen immer und überall

18. 1818
Live Demo
Look&Feel Sophos UTM

19. 19
www.sophos.com/tmg
Sophos TMG Replacement Home

20. 20
www.sophos.com/kb
Sophos Knowledgebase - Konfigurationsvorschläge für die verschiedenen Anwendungen

21. 21
Bekannte Limitierungen der UTM
• keine volle URL Redirection in der WAF
￮ Redirect von HTTP Sessions zu HTTPS möglich
￮ automatisches umschreiben von URLs in HTML-Dokumenten
￮ aber: UTM kann keine Redirects wie “von www.a.com zu www.b.com” oder Pfad-
Umschreibungen “von www.a.com/source zu www.a.com/destination”
• Backend Authentication Passthrough Support und SSO Support
￮ TMG unterstützt Basic, NTLM und Kerberos Passthrough
￮ TMG unterstützt SSO („privater Computer“) und kein SSO („öffentlicher Computer“)
￮ UTM unterstützt lediglich Basic Auth Passthrough
￮ UTM unterstützt noch kein SSO bei (entspricht „öffentlicher Computer“ beim TMG)
• UTM unterstützt Microsoft Lync mit Einschränkungen
￮ Lync Mobile Loadbalancing mit Cookie Persistenz benötigt spezifische Cookies , diese
werden in der UTM nicht unterstützt
￮ Lync Mobile 2013 für iOS benötigt andere Timeout-Werte , dies wird momentan in der
UTM nur eingeschränkt unterstützt
Gibt es etwas, was TMG hat, aber die Sophos UTM (noch) nicht kann?

22. 2222

23. 23© Sophos Ltd. All rights reserved.

24. 24
Sophos UTM vs Microsoft TMG
Ein kompletter TMG Ersatz
• Hyper-V Support
• Firewall (stateful packet filtering)
• IPS
• Exchange anti-spam, anti-malware
• Redundancy
• Logging/Reporting
• Client VPNs (PPTP/L2TP)
• Site-to-Site VPNs (IPSEC)
• URL Filtering
• Content Scanning
• Malware Scanning
• HTTPS Scanning
• User Authentication
• Reverse Proxy
• Reverse Proxy SSL Offloading
• Reverse Proxy Authentication















TMG UTM
• More deployment choices (HW, SW, VM, Cloud)
• Advanced Routing, Country Blocking
• 11,000 IPS attack patterns – Live Protection
• User Portal Quarantine, Email encryption
• WAN redundancy & load balancing
• Customizable reports, Drill-down, and more
• Added flexibility (SSL, HTML5)
• Broader VPN Support, Amazon VPC, RED
• Reputation filtering, Customizable categories
• Real-time App Control
• Dual Engine, Backed by Sophos Labs
• HTTPS Scanning in Transparent Mode
• Added flexibility, Transparent Mode
• WAF with server hardening
• Included feature of WAF
• Integrated since UTM 9.2
Und zusätzlich noch…


25. 25
Welche UTM Subscriptions decken was ?
TMG2010 Feature UTM Feature Subscription
Stateful Packet filtering Firewall / Paketfilter Essential Firewall
NAT NAT Essential Firewall
Application Layer Firewalling (SIP
Traversal)
SIP und H.323 Gateway Network Protection
Caching HTTP/S Webproxy Proxy
with URL Filter and AV
Caching HTTP/S Web Proxy
with URL Filter and Dual AV
Web Protection
Web Application Publishing Web Application Firewall /
Reverse Proxy
Webserver Protection
S2S VPN (IPSEC) and
RAS VPN (IPSEC, L2TP und PPTP)
VPN Gateway Network Protection
E-Mail Protection Gateway Mail Proxy with Antispam
and Dual AV
Mail Protection
Network Inspection System (NIS) IDS/IPS Network Protection

26. 26
Other TMG replacements
How the competitors stack up against UTM…
Of all the UTM vendors, Sophos is the only one to include WAF and Reverse Proxy Authentication.
Amongst other vendors competing for TMG business, only Bluecoat offers the full feature set and they are expensive!