VPN Sophos para home office: guia de configuração segura

A VPN no Firewall Sophos para home office é configurada via Sophos Connect (cliente nativo para Windows e macOS) com suporte a túneis IPsec e SSL VPN, autenticação multifator obrigatória, integração com Active Directory ou Google Workspace e certificados Let’s Encrypt gratuitos. O processo envolve criação de perfis de usuário no firewall, definição de políticas de acesso por grupo, ativação de OTP nativo, distribuição do cliente e validação com usuário-piloto. Túneis IPsec são preferenciais sobre SSL pelo desempenho via Xstream FastPath nos modelos XGS 88 a 138.

Por que a VPN do Firewall Sophos é diferente de soluções genéricas?

A VPN remota costuma ser tratada como commodity — basta um túnel cifrado entre o colaborador e a rede corporativa. Mas em 2026, com home office consolidado, ransomware operando por credenciais vazadas e LGPD exigindo rastreabilidade, a VPN deixou de ser commodity e virou ponto crítico de segurança. O Sophos Connect — cliente VPN gratuito da Sophos, disponível para Windows e macOS — entrega quatro vantagens estruturais sobre soluções genéricas: autenticação multifator nativa (OTP), integração direta com Active Directory ou Google Workspace, distribuição centralizada de perfis via arquivo de provisionamento (.scx) e auto-conexão sem intervenção do usuário. Tudo isso aplicado ao tráfego que já passa pelo firewall XGS, recebendo as mesmas camadas de inspeção (IPS, Web Filtering, Application Control). Para entender como a VPN se posiciona dentro da plataforma de segurança Sophos, consulte o guia completo do Firewall Sophos para empresas.

Qual VPN escolher: IPsec ou SSL no Sophos?

O Sophos Firewall suporta duas tecnologias de VPN remota: IPsec e SSL VPN. Cada uma tem características distintas, e a escolha correta depende do ambiente do usuário, do tipo de aplicação e da política de segurança da empresa.

• IPsec Remote Access — usa portas UDP 500 e 4500. Performance superior em throughput, pois se beneficia da aceleração Xstream FastPath em modelos XGS 88-128 e do Flow Processor dedicado no XGS 138. Recomendado para usuários com alto volume de transferência (engenheiros, designers, ERPs pesados).
• SSL VPN — usa porta TCP 443 (mesma do HTTPS), o que facilita conexões em redes restritivas (Wi-Fi de hotel, cafeterias, redes corporativas de clientes). Performance ligeiramente inferior, mas conectividade muito superior. Recomendado para a maioria dos colaboradores em mobilidade.

Atenção importante: a partir do SFOS v22 MR1, a Sophos descontinuou o “Legacy Remote Access IPsec VPN”. Quem ainda usa essa variante antiga precisa migrar para a configuração atual antes de atualizar o firewall. A maioria das empresas já está no padrão moderno ou em SSL VPN, mas vale a auditoria antes do upgrade.

Quais são os pré-requisitos antes de configurar VPN remota?

• IP público fixo (ou DDNS confiável) no Sophos Firewall — a VPN precisa de endpoint estável.
• Certificado válido — preferencialmente Let’s Encrypt (gratuito, com renovação automática no SFOS) ou certificado de CA pública.
• Servidor de autenticação configurado — Active Directory, Azure AD/Entra ID, Google Workspace ou LDAP.
• Pool de IPs dedicado para VPN — sub-rede separada da LAN principal, para facilitar regras e auditoria.
• Política de senhas e MFA definida — sem MFA, a VPN é o vetor número um de comprometimento por credencial vazada.
• Inventário dos usuários que devem ter acesso, agrupados por nível de privilégio (TI, financeiro, comercial, terceiros).

Como configurar VPN com Sophos Connect passo a passo?

A implantação de VPN remota com Sophos Connect segue uma sequência lógica de seis etapas. Este é o roteiro conceitual recomendado para projetos PME no Brasil:

1. Configurar servidor de autenticação no Sophos Firewall

Em Authentication → Servers, adicione o servidor de autenticação corporativo (Active Directory, Azure AD ou Google Workspace). Use conexão segura (SSL/TLS ou STARTTLS) entre firewall e servidor, nunca plaintext em produção. Importe os grupos de usuários relevantes — esses grupos serão a base das políticas de acesso.

2. Criar perfil de VPN remota (IPsec ou SSL)

Em Remote Access VPN → IPsec (ou SSL VPN), crie o perfil com: nome descritivo, autenticação por usuário (não PSK), grupo permitido, pool de IPs dedicado, DNS interno e rotas de tráfego (split tunneling controlado, ver próximas seções). Configure encriptação forte: AES-256, SHA-256/512, DH Group 14 ou superior, IKEv2.

3. Habilitar MFA via OTP nativo

Em Authentication → One-time password → Settings, ative o OTP e configure auto-criação de tokens. Aplique a obrigatoriedade de OTP ao User Portal e à VPN remota. Cada usuário receberá um QR Code para escanear em aplicativos como Google Authenticator, Microsoft Authenticator ou Sophos Authenticator. Para integrações corporativas mais robustas, é possível usar provedores externos via RADIUS (Duo, Rublon, Okta) — mas o OTP nativo cobre 95% dos casos PME.

4. Configurar certificado Let’s Encrypt

O SFOS v22 oferece integração nativa com Let’s Encrypt, gerando certificados gratuitos com renovação automática. Configure em Certificates → Certificate Authorities. Isso elimina avisos de certificado autoassinado no Sophos Connect e melhora a confiança do colaborador no momento da conexão.

5. Gerar arquivo de provisionamento (.scx) e distribuir o cliente

O Provisioning File (extensão .scx) é o grande diferencial de produtividade do Sophos Connect: contém todas as configurações de conexão (servidor, encriptação, perfil) já prontas. Distribua pelo User Portal ou via GPO/MDM. O usuário baixa o cliente Sophos Connect, faz duplo-clique no .scx e o perfil é importado automaticamente. Em provisionamentos via GPO, é possível pré-instalar e pré-configurar para que o colaborador apenas digite usuário, senha e código OTP.

6. Validar com usuário-piloto e monitorar

Antes de liberar para toda a empresa, teste com 2 a 3 usuários-piloto de perfis diferentes (TI, comercial, externo). Monitore logs em Reports → VPN nas primeiras 48h: tempo de conexão, falhas de autenticação, eventos de OTP. Apenas após estabilidade, libere o rollout completo.

Tabela: boas práticas de segurança em VPN remota

Boa prática	Por que importa	Como aplicar no Sophos
MFA obrigatório	Bloqueia ~99% dos ataques por credencial vazada	OTP nativo em Authentication → One-time password
Split tunneling controlado	Reduz exposição e tráfego desnecessário no firewall	Definir rotas específicas no perfil VPN (só LAN corporativa)
Certificados em vez de PSK	Elimina senhas compartilhadas que vazam por engenharia social	Let’s Encrypt nativo + certificados de usuário
Logs com retenção mínima 6 meses	Conformidade LGPD e investigação forense	Sophos Central + envio para SIEM externo
Sessões com timeout 8-12h	Reduz risco de sessão sequestrada em dispositivo perdido	Configurar timeout no perfil de VPN
Bloqueio por geolocalização	Limita conexões de países não autorizados	Geo-IP Filtering nas regras de firewall
Autenticação por grupo, não global	Princípio do menor privilégio: cada grupo acessa só o necessário	Importar grupos AD e atribuir políticas distintas
IKEv2 com AES-256 e PFS	Encriptação robusta resistente a ataques modernos	Configurar no perfil IPsec (padrão recomendado do SFOS)
Auditoria de acessos privilegiados	Detecta uso anômalo de contas de administrador	Sophos Central + audit trail logs do SFOS v22
Política de offboarding imediato	Ex-colaborador não pode manter acesso	Desativação automática via sync com AD

Quais erros comuns comprometem a VPN do Sophos?

• Manter MFA “opcional” — a primeira coisa que um atacante tenta é credencial vazada. Sem MFA, a VPN se torna porta aberta.
• Usar PSK compartilhada entre usuários — pré-shared keys vazam por engenharia social, screenshots em chats, anotações em post-it. Sempre prefira autenticação por usuário com certificado.
• Full tunneling sem necessidade — rotear todo o tráfego do colaborador pelo firewall (incluindo Netflix, Spotify, atualizações de SO) sobrecarrega o appliance e degrada a experiência. Use split tunneling controlado: só o tráfego para a LAN corporativa passa pela VPN.
• Não bloquear geolocalização — se sua empresa só opera no Brasil, conexões da Rússia, Coreia do Norte ou Irã são suspeitas por definição. Aplique geo-IP filtering.
• Esquecer de descomissionar ex-colaboradores — VPN ativa de pessoa que saiu da empresa é o pior cenário pós-desligamento. Sincronize com AD para desativação automática.
• Não atualizar o Sophos Connect Client — o cliente recebe correções de segurança periódicas. Versões antigas podem ter vulnerabilidades já corrigidas.
• Ignorar o Legacy IPsec descontinuado — empresas que ainda rodam o “Legacy Remote Access IPsec” não conseguem atualizar para SFOS v22 MR1. Migre antes do upgrade.

FAQ — VPN Sophos para home office

Quantos usuários simultâneos a VPN Sophos suporta?

Depende do modelo do XGS. Como referência geral, o XGS 88 suporta com folga até 50 usuários VPN concorrentes em uso típico, o XGS 118 até 100, o XGS 128 até 150 e o XGS 138 até 200+. A limitação prática vem mais do throughput do que do número de túneis — TLS inspection ligada no tráfego VPN reduz a capacidade efetiva. Para dimensionamento preciso, considere o pico simultâneo, não a média.

Posso usar a VPN Sophos com Microsoft Authenticator?

Sim. O OTP nativo do Sophos Firewall usa o padrão TOTP (Time-based One-Time Password), compatível com qualquer aplicativo que implemente o RFC 6238: Microsoft Authenticator, Google Authenticator, Authy, 1Password, Sophos Authenticator e outros. Para integrações mais avançadas com Microsoft 365 (push notification, biometria), é possível usar Azure AD/Entra ID via SAML como provedor de autenticação.

Como bloquear VPN de fora do Brasil?

Use a função de Geo-IP Filtering nas regras de firewall que controlam o acesso à VPN. Crie uma regra que permita conexões VPN apenas de IPs originados no Brasil (e eventuais exceções para colaboradores em viagem internacional aprovada). Conexões de outros países são bloqueadas antes mesmo de chegarem ao processo de autenticação, reduzindo a superfície de ataque.

O Sophos Connect funciona em macOS, iOS e Android?

O cliente Sophos Connect tem versões oficiais para Windows e macOS — com a versão 2.0 trazendo SSL VPN finalmente disponível também no macOS (até então restrito ao IPsec). Para iOS e Android, a Sophos recomenda o uso de clientes nativos do sistema operacional configurados para IPsec/IKEv2, ou clientes de terceiros compatíveis. A documentação oficial fornece os parâmetros de configuração para cada plataforma móvel.

A VPN Sophos exige licença adicional?

Não. A VPN remota (IPsec e SSL) está incluída na licença base do Sophos Firewall, sem limite contratual de usuários simultâneos — o limite é técnico (capacidade do appliance). O cliente Sophos Connect também é gratuito. Esse é um diferencial frente a concorrentes que cobram por túnel SSL ou licença de cliente VPN.

Posso fazer auto-conexão para o usuário não precisar abrir o cliente?

Sim. O Sophos Connect 2.x suporta auto-conexão configurada via arquivo de provisionamento e GPO/MDM corporativo. O cliente sobe junto com o sistema operacional e estabelece o túnel automaticamente assim que o colaborador conclui a autenticação no Windows ou macOS. A digitação do código OTP pode ser solicitada apenas no primeiro acesso do dia, conforme política definida.

Quando chamar um especialista para configurar a VPN?

Configurações simples de VPN (até 30 usuários, autenticação local, MFA padrão) podem ser conduzidas por times internos de TI com conhecimento básico do Sophos. Acione um especialista certificado quando:

• A empresa precisa integrar a VPN com Azure AD/Entra ID, Google Workspace ou Okta via SAML/SCIM.
• Existe necessidade de ZTNA (Zero Trust Network Access) em vez da VPN clássica — abordagem que verifica continuamente o contexto e a saúde do dispositivo, não apenas as credenciais.
• O ambiente envolve fornecedores e terceiros com necessidade de acesso segmentado, exigindo políticas granulares por aplicação.
• A empresa está migrando de VPN legada (outro fabricante ou Legacy IPsec) e precisa preservar a experiência dos usuários durante a transição.
• Há requisitos de conformidade que exigem evidência documentada de configuração (LGPD, ISO 27001, NIS2, PCI-DSS).

Pronto para implementar VPN segura para sua equipe remota?

A InfoB projeta e implementa VPN corporativa com Sophos Firewall para empresas brasileiras com home office, modelo híbrido ou operação distribuída. Avaliamos perfil de usuários, integramos com Active Directory ou Microsoft 365, aplicamos MFA e treinamos seu time. Para entender a plataforma completa, consulte o guia completo do Firewall Sophos para empresas.