TỔNG QUAN: - Sophos Connect client cho phép bạn thực hiện các cài đặt bảo mật cao cấp và linh hoạt, như kết nối tunnel tự động. ! Hiện tại, Sophos Connect Client không hỗ trọ macOS cho SSL VPN. Cũng như cả các nền tảng di động cho IPsec và SSL VPN. CẤU HÌNH THIẾT BỊ FIREWALL SOPHOS XGS: Bước 1: Tạo Local subnet. - Local subnet này xác định các nguồn mạng mà các client từ xa có thể truy cập được. 1.1. Vào Hosts and services > IP host và click Add. 1.2. Nhập tên và chọn Network cho Local subnet này. 1.3. Click Save. Bước 2: Tạo Group và các User: - Bạn tạo một group cho remote SSL VPN và thêm vào các user. Group này được tùy chọn hạn mức dung lượng và thời gian truy cập. Trong phần này, các user trong group được cho phép truy cập không giới hạn. 2.1. Truy cập vào Authentication > Groups và click Add. 2.2. Cấu hình các cài đặt, ví dụ như các thông tin: Name : Remote SSL VPN group Surfing quota : Unlimited internet access Access time : Allowed all the time 2.3. Click Save. 2.4. Vào phần Authentication > Users và click Add. 2.5. Cấu hình các cài đặt, ví dụ như các thông tin: Username : john.smith Name : John Smith Group : Remote SSL VPN group 2.6. Click Save. Bước 3: Kiểm tra các dịch vụ xác thực cho SSL VPN: - Trong bài viết này, bạn chọn firewall và các phương thức xác thực Local. Sophos Firewall khi đó hoạt động như một máy chủ xác thực. 3.1. Truy cập đến Authentication > Services. 3.2. Bên dưới phần VPN portal authentication methods, thực hiện các bước sau: Bỏ chọn Set authentication methods same as firewall. Kiểm tra trong Selected authentication server được chọn là Local. 3.3. Cuộn xuống phía dưới mục SSL VPN authentication methods. 3.4. Kiểm tra Authentication Server List được chọn thành Local. ! Lưu ý: Ngoài ra, bạn có thể chọn một máy chủ xác thực khác, như Active Directory server bạn đã cấu hình trong phần Authentication > Servers. Bước 4: Cấu hình Subnet cho các SSL VPN. - Khi các SSL VPN kết nối tới Sophos Firewall, nó được cấp các IP từ private subnet mà bạn đã đặt ra ở đây. 4.1. Truy cập vào Remote access VPN > SSL VPN và click SSL VPN global settings. 4.2. Chỉ định địa chỉ IP và subnet cấp cho các remote user. 4.3. Click Apply. Bước 5: Đặt chính sách truy cập cho remote SSL VPN: - Bạn tạo một policy để cho phép các user trong remote SSL VPN group được kết nối. Các user này được cho phép truy cập các tài nguyên trong Local subnet. 5.1. Truy cập vào Remote access VPN > SSL VPN và click Add. 5.2. Nhập tên cho policy. 5.3. Chọn các Policy member là các user hoặc group mới tạo ở trên. 5.4. Trong Tunnel Access chọn Local subnet vừa tạo ở trên có chứa tài nguyên để truy cập từ SSL VPN. 5.4. Click Apply. Bước 6: Cấu hình Firewall Rule: 6.1. Truy cập vào Rules and policies > Firewall rules. 6.2. Chọn IPv4 hoặc IPv6. 6.3. Click Add firewall rule và New firewall rule. 6.4. Nhập vào tên của rule. 6.5. Trong Source zone, chọn VPN. 6.6. Trong Source networks and devices, chọn ##ALL_SSLVPN_RW hoặc ##ALL_SSLVPN_RW6. Các Host này có các IP được cấp cho remote user sẽ lập kết nối tới. 6.7. Trong Destination zones, chọn zone của các tài nguyên mà remote user có thể truy cập tới. 6.8. Trong Destination networks, chọn IP host bạn đã tạo dành cho các tài nguyên mạng được cho phép. 6.9. Click Save. Bước 7: Kiểm tra các cài đặt truy cập thiết bị: - Bạn phải cho một số dịch vụ được truy cập dành cho các remote user từ các zones cần thiết. 7.1. Truy cập Administration > Device access. 7.2. Bên dưới cột SSL VPN, chọn WAN để cho phép các remote user có thể thiết lập các kết nối SSL VPN. 7.3. Cột VPN Portal, chọn các cổng LAN, WAN, Wi-Fi và VPN. Các User có thể truy cập VPN Portal và tải VPN Client cùng file cấu hình từ các zones này. 7.4. Click Apply. - Đến đây các bước cấu hình SSL VPN qua Sophos Connect client trên thiết bị tường lửa Sophos XGS đã xong. Bước tiếp theo sẽ tải và cài đặt cho các user. CÀI ĐẶT VÀ CẤU HÌNH SOPHOS CONNECT CLIENT TRÊN CÁC ENDPOINT: - Để thiết lập các kết nối SSL VPN từ xa, user phải cài đặt Sophos Connect client trên các thiết bị endpoint của họ và import file .ovpn vào client. - Bạn có thể tải bộ cài Sophos Connect client từ trang điều khiển web admin của Sophos Firewall và chia sẻ nó cho các user này. Hay các user cũng có thể tải client từ trang VPN portal như sau: 1. Đăng nhập vào VPN portal. 2. Click VPN. 3. Dưới phần Sophos Connect client, click Download for Windows. 4. Click Download configuration for Windows, macOS, Linux để tải file cấu hình định dạng .ovpn. 5. Click vào Sophos Connect client đã được tải xuống để cài đặt theo các bước trên của sổ hướng dẫn. Bạn xem trong khay hệ thống của thiết bị endpoint, hãy click vào biểu tượng này để mở cửa số cấu hình Sophos Connect Client: 6. Click vào biểu tượng ba chấm phía bên trên bên phải, click Import connection, và chọn file .ovpn mà bạn đã tải. 7. Đăng nhập vào bằng cách sử dụng thông tin xác thực VPN portal của bạn.
CẤU HÌNH SSL VPN CLIENT-TO-SITE THEO FULL TUNNEL - Tiếp theo bài viết trên, hôm nay mình sẽ giới thiệu các bước cấu hình kết nối SSL VPN (Client-to-Site) ở chế độ "Full Tunnel", tất cả lưu lượng từ người dùng truy cập từ xa bằng SSL VPN thông qua firewall. Họ chỉ có quyền truy cập các tài nguyên mạng được phép do bạn chọn trong SSL VPN policy. Mô hình kết nối cho phần hướng dẫn này - Cũng giống như SSL VPN Split tunnel bạn sẽ cấu hình một lớp IP cho các host này và thêm cả tài khoản xác thực cho người dùng. CẤU HÌNH MẠNG VÀ XÁC THỰC: Bước 1: Tạo Local subnet. - Tạo lớp mạng nội bộ trong phần Hosts and services > IP host để cấp quyền truy cập cho các remote user. Bước 2: Tạo User và Group - Tạo một User và Group để xác thực cho SSL VPN từ xa trong mục Authentication. Bước 3: Kiểm tra các dịch vụ xác thực cho SSL VPN: - Ở các phần User portal và SSL VPN Authentication chọn mục "Local". Sophos Firewall khi này hoạt như một máy chủ xác thực. Phần xác thực User portal Phần xác thực SSL VPN Authentication CẤU HÌNH SSL VPN: Bước 4: SSL VPN global settings - Khi các SSL VPN client thực hiện kết nối tới firewall, địa chỉ IP được cấp ở trong subnet mà bạn sẽ cấu hình ở đây (phải là private subnet). 4.1 Vào Remote access VPN > SSL VPN và click SSL VPN global settings. 4.2 Nhập địa chỉ thuộc IP Private (vd: 10.81.234.0) và chọn Subnet mask (vd: /24…). IP cấp cho các SSL VPN client sẽ được lấy từ subnet này. 4.3 Cấu hình thêm IPv4 DNS có thể cấu hình cả DNS server nội bộ và public server: Nhập các địa chỉ IPv4 DNS trông ô Primary DNS và Secondary DNS. Ô Domain name, nhập tên miền DNS vào (vd: company.com hoặc test.local) cho các hostname của các nguồn được cho phép. Tên domain này được thêm vào cổng mạng của thiết bị endpoint ở xa. Nó được gắn vào tên máy chủ tạo thành FQDN để phân giải các truy vấn DNS của endpoint. 4.4 Click Apply để lưu lại. Bước 5: Thêm một SSL VPN policy - Tạo policy này để cho phép người dùng ở xa kết nối qua SSL VPN có thể truy cập vào các tài nguyên trong Local subnet. 5.1 Đi vào Remote access VPN > SSL VPN và click Add. 5.2 Nhập tên cho policy này 5.3 Chọn User Group mà đã tạo ở trên trong mục Policy members. 5.4 Click nút ở Use as default gateway để cho phép kết nối "Full tunnel". Tất cả lưu lượng mạng của người dùng ở xa, bao gồm cả lưu lượng đi internet đều sẽ đi vào firewall thông các các tunnel được thiết lập. 5.5 Đối với Permitted network resources là các dịch vụ được cho phép truy cập, như ở đây là: LocalSubnet DNS_Servers Để cho phép phân giải tên miền, bạn phải chọn các DNS servers. 5.6 Click Apply. Bước 6: Cho phép traffic - Bạn phải cho phép SSL VPN từ WAN zone, cấu hình một SNAT rule để phiên dịch traffic đi ra, và cấu hình một firewall rule để cho phép SSL VPN traffic. Bước 7: Kiểm tra các cài đặt truy cập thiết bị: Đi vào phần Administration > Device access. SSL VPN : WAN – để cho phép người dùng từ xa có thể thiết lập kết nối SSL VPN. User portal : WAN, Wi-Fi và VPN – Sau khi user lập kết nối VPN, họ có thể truy cập trang user portal thông qua VPN. Ping/Ping6: VPN có thể chọn thêm để dễ dàng cho việc xử lý sự cố kết nối. DNS : chọn VPN – user có thể phân giải tên miền bằng VPN tunnel. Click Apply. Bước 7: Kiểm tra lại SNAT rule - Hãy vào Rules and policies > NAT rules và kiểm tra nếu rule Default IPv4 SNAT hoặc đã có một SNAT rule để traffic ra ngoài internet hay chưa. Bước 8: Tạo thêm Firewall Rule: 8.1 Đi vào phần Rules and policies > Firewall rules. 8.2 Chọn IPv4 hoặc IPv6 8.3 Click Add firewall rule và New firewall rule. 8.4 Nhập vào tên của rule. 8.5 Source zone, chọn VPN. 8.6 Source networks and devices, chọn ##ALL_SSLVPN_RW (hoặc ##ALL_SSLVPN_RW6). Firewalll Sophos XGS tự động thêm các địa chỉ IP đã cấp cho remote user thực hiện kết nối VPN thành công tới. 8.7 Destination zones : chọn Any, để cho phép traffic của các remote user từ VPN tới bất kỳ Zone nào, bao gồm cả: LAN, DMZ, và WAN. 8.8 Destination networks : chọn Any. Default Gateway đảm bảo internet traffic của remote user đi qua firewall. Do đó, firewall rule phải cho phép traffic từ các mạng địch tới bất kỳ mạng nào. 8.9 Nếu chưa có SNAT rule đang chạy MASQ (masquerade) khi kiểm tra ở bước trên, bạn có thể tạo NAT rule liên quan. Click Create linked NAT rule. Translated source (SNAT), chọn MASQ. Click Save. 8.10 Click Save.
