Bài viết này hướng dẫn cấu hình IPsec Site-to-Site VPN giữa hai thiết bị Sophos Firewall XGS sử dụng firmware v22, nhằm xây dựng kết nối bảo mật giữa hai hệ thống mạng đặt tại hai địa điểm khác nhau.

Mục tiêu của bài lab:

• Thiết lập thành công đường hầm IPsec giữa hai firewall.
• Cho phép hai mạng LAN tại hai site truy cập và trao đổi dữ liệu với nhau.
• Đảm bảo toàn bộ lưu lượng truyền qua Internet được mã hóa an toàn.
• Kiểm tra và xác minh trạng thái hoạt động của VPN Tunnel.
• Hiểu rõ cơ chế hoạt động của Phase 1 (IKE SA) và Phase 2 (IPsec SA) trong quá trình thiết lập VPN.

Môi trường triển khai:

• 02 Sophos Firewall XGS (Virtual Appliance).
• Cài đặt trên nền tảng ảo hóa Proxmox VE.
• Hai đầu sử dụng IP WAN tĩnh, được cấp từ firewall/router thật để mô phỏng môi trường thực tế.

Doanh nghiệp có hai site sử dụng hai thiết bị Sophos Firewall XGS kết nối ra Internet qua router Viettel với IP WAN lần lượt là 123.123.123.11 và 123.123.123.15. Mỗi site có một mạng LAN riêng là 100.100.100.0/24 và 200.200.200.0/24. Hiện tại hai mạng này không thể truy cập lẫn nhau qua Internet. Yêu cầu đặt ra là cho phép hai mạng LAN giao tiếp an toàn và ổn định. Giải pháp là triển khai VPN Site-to-Site IPsec để mã hóa và kết nối hai hệ thống qua Internet.

• Chuẩn bị thông tin cấu hình
• Tạo các Network Object (Host/Subnet)
• Cấu hình IPsec Site-to-Site VPN
• Tạo Firewall Rule cho phép lưu lượng LAN VPN
• Kiểm tra trạng thái hoạt động của VPN

Đến phần Hosts and services > IP Host > Add để thêm local and remote LAN network như hình ở bên dưới.

Vào mục Site to site > IPsec > Add

• IP Version: IPv4 -> Tunnel sử dụng địa chỉ IPv4 để thiết lập IKE và truyền dữ liệu ESP.
• Connection Type: Policy-based -> Chỉ những subnet khai báo ở Local subnet và Remote subnet mới được phép đi qua tunnel.
• Gateway Type: Respond only -> Firewall này không chủ động kết nối, chỉ phản hồi khi bên kia gọi.
• Profile: IKEv2 → Chuẩn VPN mới, ổn định và bảo mật hơn IKEv1.
• Authentication: Preshared Key (PSK) → Hai firewall dùng chung một mật khẩu bí mật

• Listening interface: 123.123.123.11 -> Đây là IP WAN của firewall này, firewall sẽ chờ kết nối VPN tại IP này.
• Gateway address: 123.123.123.15 -> Đây là IP WAN của firewall bên kia, VPN sẽ kết nối đến IP này.
• Local Subnet: LOCAL_VLAN_100 -> Mạng nội bộ phía mình được phép đi qua VPN.
• Remote Subnet: VPN_VLAN_200 -> Mạng nội bộ phía bên kia.

• Rule name: VPN_SF_TO_SF1
• Action: Accept -> Cho phép lưu lượng đi qua
• Log firewall traffic: Tick chọn -> Ghi log để kiểm tra khi cần

• Source zones: LAN, VPN -> Nghĩa là lưu lượng có thể xuất phát từ mạng nội bộ, hoặc từ phía VPN bên kia
• Source networks: LOCAL_VLAN_100, VPN_VLAN_200 ->chỉ những mạng này mới được phép sử dụng rule
• Destination zones: LAN, VPN -> Cho phép truy cập hai chiều giữa LAN và VPN
• Destination networks: LOCAL_VLAN_100, VPN_VLAN_200
• Services: Any -> Cho phép tất cả dịch vụ (ping, RDP, SMB, HTTP…)

 Vào mục Site to site VPN -> IPsec -> Tick chọn Active và Connection để bật cấu hình.

Vào Hosts and services > IP Host > Add để thêm local and remote LAN network như hình ở bên dưới.

Đến phần Site-to-Site VPN > IPsec và chọn Add. Tạo kết nối với thông số bên dưới.

Đến phần Rules and Policies -> Firewall rules chọn Add như hình bên dưới.

• Vào mục Site to site -> IPsec -> Tick chọn Active và Connection để bắt đầu kết nối.
• Từ máy tính đang ở trong LAN 100.100.100.0/24 ping đến máy tính trong LAN 200.200.200.0/24 -> ping thành công.
• Ngược lại, từ máy tính đang ở trong LAN 200.200.200.0/24 ping đến máy tính trong LAN 100.100.100.0/24 –> ping thành công.

Bài viết này nhằm:

• Hướng dẫn cách theo dõi và lọc log Sophos Firewall trên Sophos Central.
• Hướng dẫn xuất report phục vụ vận hành và báo cáo.
• Giúp quản trị viên nhanh chóng phát hiện sự cố và mối đe dọa bảo mật.

Qua đó, giúp hệ thống được giám sát hiệu quả và vận hành an toàn hơn.

Sophos Central giúp quản trị viên theo dõi và quản lý toàn bộ Sophos Firewall ttrên một giao diện web duy nhất, không cần đăng nhập từng thiết bị. Để giám sát, theo dõi, xuất Report tổng quan các thiệt bị Firewall, làm như sau:

Trên Sophos Central, chọn My Products -> Firewall Management -> Report Generator

Report Generator là công cụ để quản trị viên giám sát, theo dõi và tạo báo cáo (report) tùy chỉnh cho Sophos Firewall.

• Firewalls: chọn Firewall cần xuất report.
• Report Template: Chọn Template có sẵn phù hợp với nhu cầu xem, chi tiết:
  • Antivirus: Các mã độc hoặc đối tượng nghi ngờ đã bị chặn.
  • Bandwidth usage: Mức sử dụng băng thông theo từng ứng dụng.
  • Cloud app risks and usage: Các ứng dụng Cloud được sử dụng và rủi ro liên quan.
  • Firewall: Số lượng kết nối giữa các địa chỉ IP cụ thể.
  • IPS: Các cuộc tấn công bị phát hiện/chặn bởi hệ thống IPS.
  • Log viewer and search: Log chi tiết của firewall (chỉ có biểu đồ dạng bảng).
  • SD-WAN: Tóm tắt mức độ đáp ứng SLA theo từng profile SD-WAN, kèm biểu đồ xu hướng.
  • SD-WAN SLA trend: Xu hướng SLA theo gateway (jitter, latency, packet loss).
  • SD-WAN Bandwidth usage: Thống kê băng thông theo gateway và theo thời gian.
  • Security posture assessment (SPA): Đánh giá tổng thể mức độ an toàn của hệ thống. (Có thể chọn tối đa 10 thành phần như: Bandwidth, Web usage, Threat geo activity…) (Recommend sử dụng)
  • Synchronized app: Thống kê ứng dụng được nhận diện bởi Synchronized App Control.
  • Threat geo activity: Các mối đe dọa bị chặn theo quốc gia.
  • Threats and events blocked: Toàn bộ các mối đe dọa/sự kiện đã bị chặn.
  • VPN usage: Mức độ sử dụng các kết nối VPN.
  • Web usage: Thống kê truy cập website.
  • Web user risk: Hoạt động web của người dùng truy cập website rủi ro cao.
  • X-Ops: Hoạt động tấn công nâng cao (Advanced Threat activities) do firewall phát hiện/chặn. Bao gồm traffic trong MDR.
  • Zero-day protection: File/email nghi ngờ được gửi đến module phân tích Sandstorm

• Time Frame: Chọn mốc thời gian phù hợp với nhu cầu xem
• Query: Tùy chọn query phù hợp với nhu cầu lọc.

Sau đó, nhấn Schedule để lên lịch gửi report:

• Template Name: Đặt tên của mẫu báo cáo.
• Export scheduling: Bật/Tắt việc xuất report tự động theo lịch.
• Time frame: Chọn khoảng thời gian dữ liệu trong mỗi report
• Export frequency: Chọn chu kỳ xuất báo cáo
• Export format: Chọn định xạng file xuất (PDF, CSV, HTML)
• Export notification / delivery: Chọn cách gửi email
• Send this export to other Sophos admins?: Chọn chia sẻ report cho các admin khác

Sau khi hoàn tất, Nhấn Save.

Thông báo hiển thị đã tạo Template và Schedule thành công

Đúng Schedule, Sophos sẽ tự động xuất file Export dựa trên cấu hình đã setup

Bài viết này hướng dẫn cách cấu hình IPSec VPN Site-to-Site giữa hai thiết bị tường lửa Fortinet Firewall và Sophos Firewall, nhằm kết nối an toàn các mạng LAN tại hai site khác nhau thông qua Internet.

Sau khi cấu hình hoàn tất, các lớp mạng LAN sau có thể kết nối và truy cập lẫn nhau:

• 172.16.16.0/24 – Site A
• 10.10.10.0/24 – Site B
• 192.168.20.0/24 – Site B

Site A – Fortinet Firewall

• Đường Internet được kết nối vào cổng WAN của thiết bị Fortinet
• IP WAN: 192.168.1.2
• Mạng LAN nội bộ: 172.16.16.0/24
• LAN được cấu hình trên interface LAN của Fortinet

Site B – Sophos Firewall

• Đường Internet được kết nối vào interface a (WAN) của Sophos Firewall
• IP WAN: 192.168.1.3
• Mạng LAN nội bộ gồm 2 lớp mạng: 10.10.10.0/24, 192.168.20.0/24

• Kết nối VPN sử dụng IPSec Site-to-Site
• Xác thực bằng Pre-shared Key
• Sử dụng IKEv2

• Fortinet (192.168.1.2)
• Sophos (192.168.1.3)

Mạng LAN 172.16.16.0/24 (Fortinet) ⬄ Mạng LAN 10.10.10.0/24 và 192.168.20.0/24 (Sophos) có thể kết nối qua lại trực tiếp.

• Tạo VPN Tunnels
• Tạo Static Route
• Tạo Firewall Policy

• Tạo subnet
• Tạo IPSec Profile
• Tạo IPSec Connection
• Tạo Firewall Rule

Vào VPN → IPsec Tunnels → Create New → Custom

Name: S2S-LAB

Template Type: Custom

Dùng Custom để chủ động cấu hình Phase 1 / Phase 2

Selector 1

• Local Address: 172.16.16.0/24
• Remote Address: 10.10.10.0/24

Selector 2

• Local Address: 172.16.16.0/24
• Remote Address: 192.168.20.0/24

Nhấn OK để tạo VPN Tunnel.

Vào Network → Static Routes → Create New

Vào Hosts and Services → Add

Vào SYSTEM > Profiles → IPsec Profiles → Add

Vào CONFIGURE → Site-to-site VPN →  IPsec → Add

• Listening interface: Port 2 – 192.168.1.3
• Gateway address: 192.168.1.2 (WAN Fortinet)
• Local Subnet: 10.10.10.0/24 , 192.168.20.0/24
• Remote Subnet: 172.16.16.0/24

Sophos: VPN → IPsec Connections → Status: Connected

Fortinet: Monitor → IPsec Monitor → Tunnel: UP (Có Incoming / Outgoing Data)

Test:

• 172.16.16.x → 10.10.10.x
• 172.16.16.x → 192.168.20.x

• Đảm bảo thời gian hệ thống đồng bộ (NTP) để tránh lỗi IKEv2 do lệch thời gian.
• PSK, thuật toán mã hóa và nhóm DH phải trùng khớp 2 đầu – sai khác sẽ khiến Phase 1/2 thất bại.
• Tắt NAT trên policy đi vào VPN; bật NAT sẽ làm sai nguồn và gói tin không match selector.
• Mỗi cặp Local/Remote subnet cần 1 selector (Phase 2). Không gộp nhiều subnet nếu thiết bị không hỗ trợ.
• Nếu tunnel UP nhưng không ping được, kiểm tra: Static Route, Policy thứ tự, và bảng ARP/Route trên hai đầu.

Bài viết này nhằm:

• Hướng dẫn cách xem và lọc log trên Sophos Firewall.
• Hướng dẫn đọc và xuất report phục vụ vận hành và báo cáo.
• Giúp quản trị viên nhanh chóng phát hiện sự cố và mối đe dọa bảo mật.

Qua đó, giúp hệ thống được giám sát hiệu quả và vận hành an toàn hơn.

Xem thông tin về lưu lượng mạng đi qua firewall và các mối đe dọa bảo mật

Các loại Dashboard chính:

• Traffic dashboard: Phân loại theo lưu lượng mạng
• Security dashboard:  Hoạt động bị chặn và các mối đe dọa: Malware, IPS, Spam, nguồn tấn công.
• Executive report: Thông tin tổng hợp cho người quản lý: Traffic & Threat nổi bật.
• User threat quotient (UTQ): Xếp hạng người dùng dựa trên điểm rủi ro bảo mật.

Xem thông tin về việc sử dụng ứng dụng và Internet trên hệ thống mạng của bạn.

Application risk meter là cách thức mà Firewall sẽ tính điểm dựa trên mức độ rủi ro và số lần truy cập (hits) của từng ứng dụng. Chỉ số rủi ro ứng dụng được xác định dựa trên điểm trung bình của toàn bộ lưu lượng ứng dụng

Các nhóm Setting có thể theo dõi trong phần này, bao gồm:

• User app risks & usage: Thống kê việc sử dụng các ứng dụng và mức độ rủi ro tương ứng.
• Cloud applications usage: Thống kê việc sử dụng các ứng dụng đám mây
• Blocked user apps: Các lần truy cập ứng dụng bị chặn.
• Synchronized applications: Các ứng dụng được phân loại và đồng bộ từ endpoint lên firewall.
• Web risks & usage: Hoạt động truy cập web trong mạng và các rủi ro liên quan.
• Blocked web attempts: Các lần truy cập web bị chặn
• Search engine: Thống kê hành vi tìm kiếm của người dùn
• Web content: Các kết quả khớp của bộ lọc nội dung và các thông tin liên quan.
• Web server usage: Lưu lượng Application, Web, Internet và FTP.
• Web server protection: Trạng thái bảo mật của các Web Server, bao gồm các cuộc tấn công và nguồn tấn công.
• User data transfer: User traffic
• FTP usage: FTP activity
• FTP protection: Malicious FTP activity

Xem thông tin về việc sử dụng mạng và các mối đe dọa liên quan.

Các nhóm Setting có thể theo dõi trong phần này, bao gồm:

• Intrusion attacks: Các lượt tấn công
• Active threat response: Threat events và các máy bị xâm nhập được phát hiện bởi MDR (Managed Detection and Response) và Sophos X-Ops
• Wireless: Access point và SSID được sử dụng
• Security Heartbeat: Tình trạng sức khỏe của máy trạm trong mạng dựa trên kết nối giữa máy trạm và Firewall.
• Zero-day protection: Bảo vệ nâng cao trước các cuộc tấn công mới.

Xem thông tin về remote user (người dùng kết nối từ xa) vào hệ thống mạng của bạn thông qua IPSEC VPN, SSL VPN và Clientless access

Các nhóm Setting có thể theo dõi trong phần này, bao gồm:

• VPN: Lưu lượng phát sinh từ remote users qua IPsec, L2TP hoặc PPTP
• SSL VPN: Lưu lượng phát sinh từ remote users thông qua SSL VPN Client.
• Clientless Access: Lưu lượng phát sinh từ remote users thông qua trình duyệt web.

Xem thông tin về email traffic (lưu lượng email) trong hệ thống mạng

Các nhóm Setting có thể theo dõi trong phần này, bao gồm:

• Email Usage: Email traffic trong hệ thống mạng của mình
• Email Protection: Email Traffic bị Virus và Spam trong hệ thống mạng của mình

Xem thông tin về việc tuân thủ các quy định/quy chuẩn:

Các nhóm Quy chuẩn có thể theo dõi trong phần này, bao gồm:

• HIPAA: Security Report tuân thủ chuẩn HIPAA
• GLBA: Security Report tuân thủ chuẩn GLBA
• SOX: Security Report tuân thủ chuẩn SOX
• FISMA: Security Report tuân thủ chuẩn FISMA
• PCI: Security Report tuân thủ chuẩn PCI
• NERC CIP v3: Security Report tuân thủ chuẩn NERC CIP v3
• CIPA: Security Report tuân thủ chuẩn CIPA
• Events: Network Event và các mức độ nghiêm trọng tương ứng

Tạo báo cáo bao gồm các tiêu chí được chỉ định.

Các loại Report có thể tạo trong phần này, bao gồm:

• Web Report: Tìm kiếm hoạt động duyệt web hoặc virus. Có thể lọc theo user, domain và các tiêu chí khác
• Mail Report: Tìm kiếm lưu lượng Email, Spam và Virus. Có thể lọc theo protocol, user và các tiêu chí khác.
• FTP Report: Tìm kiếm hoạt động FTP và Virus. Có thể lọc theo kiểu truyền, user, file hoặc source IP
• User Report: Thống kê mức độ sử dụng: ứng dụng rủi ro cao, website không hiệu quả, virus phát hiện. Có thể lọc theo username, source host.
• Web Server Report: Tìm kiếm hoạt động Web Server (time, user, URI) và cả các sự kiện bảo vệ Web Server.

Log Viewer hiển thị event logs và được tự động cập nhật khi có event mới (Real-time).

Để truy cập, ở góc phải phía trên Sophos Firewall, nhấn Log viewer

Cửa sổ Log Viewer mới sẽ xuất hiện, và quản trị viên có thể xem log Realtime ở đây

Quản trị viên có thể tùy chọn các loại log cụ thể để giám sát như sau:

• Admin
• Active Threat Response
• Application filter
• Authentication
• Email
• Firewall
• IPS
• Malware
• Security Heartbeat
• SSL/TLS inspection
• SD-WAN
• System
• VPN
• Web content policy
• Web filter
• Web server protection
• Zero-day protection

Trong quá trình quản trị hệ thống, người quản trị cần các file báo cáo tổng hợp phản ánh tình trạng sử dụng hệ thống và các mối đe dọa tiêu biểu. Vì vậy, trong bài hướng dẫn này sẽ lựa chọn Executive report để thực hiện việc xuất báo cáo.

 Để xuất Report báo cáo theo lịch trình, chọn Show Reports Settings

Chọn Report Scheduling, nhấn Add

Nhập thông tin sau:

• Name: Đặt tên lịch report.
• Description: Mô tả (không bắt buộc).
• To email address: Địa chỉ email nhận report (có thể nhập nhiều email)
• Report type: Chọn loại report (VD: Report group)
• Report group: Chọn nhóm report phù hợp (VD: Executive Report)
• Email frequency: Chọn Daily hoặc Weekly và mốc thời gian gửi report qua email.

Sau khi nhập hoàn tất, nhấn Save.

Đúng lịch trình cấu hình, Sophos sẽ gửi email bảng báo cáo report về email.

Nếu chưa có tài khoản Sophos Central, tham khảo: https://thegioifirewall.com/sophos-central-huong-dan-tao-tai-khoan-sophos-central-trial/

Đăng nhập Sophos Central bằng tài khoản Super Admin.

– Vào Account → Licensing Firewall licenses

– Chọn Firewall licenses 

– Chọn Claim firewall 

– Nhập Serial Number thiết bị 

Sau khi claim thành công, thiết bị sẽ hiển thị trong danh sách quản lý.

– Chọn thiết bị → Apply subscriptions

– Nhập License Key

– Preview subscription → Apply license

Đối với các lần gia hạn (renew) license trong tương lai, cần lưu ý

– License Number: chỉ dùng để tracking và support, không dùng để activate.

– License Key: bắt buộc để kích hoạt hoặc renew license.

• Trong hầu hết các trường hợp, nếu Sophos Firewall đã được liên kết đúng Sophos Central account, license sau khi renew sẽ tự động đồng bộ xuống thiết bị mà không cần thao tác thủ công.
• Tuy nhiên, nếu license không tự đồng bộ và vẫn hiển thị trạng thái Expired, bạn có thể thực hiện các bước sau:
  • Kiểm tra license trong Sophos Central hoặc Sophos Partner Portal để xác định License Key tương ứng
  • Thực hiện apply License Key thủ công cho thiết bị Firewall (theo hướng dẫn ở Mục II.3)

• Nếu email gia hạn không chứa License Key, khuyến nghị:
  • Kiểm tra lại thông tin license trong Sophos Portal
  • Hoặc liên hệ Sophos Support / Partner để xác nhận chính xác License Key trước khi apply

Veeam Backup for Microsoft 365 là một giải pháp toàn diện cho phép bạn sao lưu và khôi phục dữ liệu của các tổ chức Microsoft 365 của mình, bao gồm dữ liệu Microsoft Exchange, Microsoft SharePoint, Microsoft OneDrive for Business, Microsoft Teams. Trong bài viết này, mình sẽ hướng dẫn các bạn cấu hình Veeam backup cho các dịch vụ của Microsoft 365. 

2.Các bước cấu hình

Điều kiện: đã add thêm cơ sở hạ tầng Microsoft 365 và đã có 1 nơi lưu trữ các file backup này hay còn gọi là Backup Repository.

Để backup các dịch vụ của Microsoft 365 bạn sẽ cần phải tạo backup job. Chuột phải vào cơ sở hạ tầng Microsoft 365 rồi chọn Add to backup job..

Đặt tên rồi ấn Next.

Ta có thể backup cho toàn bộ tổ chức hoặc backup cho các đối tượng cụ thể. Chọn Add.

Chọn User…

Chọn tài khoản user mà bạn muốn backup, sau đó ấn Add.

Chọn Edit để coi các dịch vụ muốn backup.

Tích vào dịch vụ bạn muốn backup. Sau đó ấn OK.

Ấn Next.

Ở mục này sẽ hỏi muốn loại trừ những đối tượng nào, ở đây mình không cần nên ấn tiếp Next.

Tiếp theo sẽ tới bước chỉ định nơi lưu trữ file backup, bấm Select…

Chọn Backup Repository mình muốn lưu trữ, sau đó ấn OK.

Ấn tiếp Next.

Ở đây ta có thể lên lịch trình backup, chỉnh lại thời gian xử lý lại job khi gặp lỗi. Ta có tích vào ô Start the job để bắt đầu job ngay tức khắc khi ta ấn Create.

Hoặc ấn thủ công như sau.

1.  Đối với các dòng Firewall có nút Reset cứng

Nếu thiết bị Fortigate của bạn có nút Reset cứng, việc reset sẽ rất đơn giản:

1. Bật nguồn thiết bị Fortigate.
2. Nhấn và giữ nút Reset trong khoảng 30 giây, đến khi tất cả các đèn trên thiết bị tắt, chỉ còn đèn Power sáng.
3. Thả nút Reset.
4. Thiết bị sẽ tự động reset về cấu hình mặc định. Sau khi khởi động xong, bạn có thể đăng nhập bằng thông tin:
   • Username: admin
   • Password: (trống).

2.  Đối với các dòng Firewall không có nút Reset cứng hoặc sử dụng tài khoản maintainer

Nếu thiết bị không có nút Reset hoặc bạn muốn reset mật khẩu mà không mất cấu hình, có thể sử dụng tài khoản maintainer. Phương pháp này cũng áp dụng cho các thiết bị có nút Reset nếu tài khoản maintainer chưa bị vô hiệu hóa.

Yêu cầu chuẩn bị:

• Dây console để kết nối máy tính với Firewall.
• Phần mềm Terminal như PuTTY, SecureCRT, Tera Term,…
• Serial Number của thiết bị Fortigate (cần để tạo mật khẩu maintainer).

Các bước thực hiện:

Bước 1: Kết nối dây console giữa máy tính và Firewall

• Sử dụng dây console để kết nối giữa cổng Console của Firewall và máy tính.

Bước 2: Cấu hình phần mềm Terminal

• Mở phần mềm Terminal đã cài đặt trên máy tính, ví dụ PuTTY hoặc SecureCRT.
• Thiết lập các thông số sau:

Bước 3: Khởi động lại Firewall

• Tắt thiết bị Firewall: nếu không có nút nguồn, rút cáp nguồn ra khỏi thiết bị khoảng 10 giây.
• Sau 10 giây, cắm lại cáp nguồn để bật thiết bị.
• Lưu ý: Nếu cắm lại cáp nguồn trước 10 giây, có thể xảy ra lỗi bộ nhớ và thiết bị không khởi động đúng cách.

Bước 4: Chờ thiết bị khởi động và truy cập màn hình Terminal

• Khi thiết bị khởi động xong, màn hình Terminal sẽ hiển thị dòng yêu cầu đăng nhập:

• Lưu ý: Bạn chỉ có 14 giây để nhập tài khoản và mật khẩu. Nếu quá thời gian này, tài khoản maintainer sẽ mất hiệu lực, bạn cần khởi động lại Firewall để thực hiện lại.

Bước 5: Đăng nhập bằng tài khoản maintainer

• Username: maintainer
• Password: Được tạo bằng cách ghép tiền tố bcpb với Serial Number của thiết bị (Serial viết hoa).

Ví dụ:

• Serial của thiết bị là: FGT40F5R02043321.
• Password sẽ là: bcpbFGT40F5R02043321

Mẹo: Nên sao chép trước Username/Password vào file text để dán nhanh vào Terminal, tránh bị lỗi do giới hạn thời gian.

Bước 6: Thực hiện reset mật khẩu hoặc cấu hình mặc định

1. Reset thiết bị về mặc định:
   • Nhập lệnh:

• Nhấn Enter 2 lần và chọn y để xác nhận.
• Thiết bị sẽ khởi động lại và reset về cấu hình gốc. Đăng nhập lại bằng thông tin mặc định:
  • Username: admin
  • Password: (trống).

2. Thay đổi mật khẩu admin:
   • Nếu VDOMs disable:

• Nếu VDOMs enable:

7. Lưu ý về tài khoản maintainer

• Tài khoản maintainer rất hữu ích trong các trường hợp khẩn cấp như quên mật khẩu, nhưng cũng tiềm ẩn rủi ro bảo mật nếu bị kẻ xấu lợi dụng.
• Để tăng cường bảo mật, bạn nên cân nhắc vô hiệu hóa tài khoản này nếu không cần sử dụng.

Kích hoạt tài khoản maintainer:

Vô hiệu hóa tài khoản maintainer:

Khuyến nghị: Sau khi khôi phục mật khẩu, nên kiểm tra và đảm bảo tài khoản maintainer đã được quản lý an toàn hoặc vô hiệu hóa nếu không cần thiết.

Lưu ý: Điểm rủi ro được tính dựa trên sự kết hợp giữa điểm CVSS và EPSS. Đây là thông tin tham khảo và không phải tiêu chuẩn được công nhận toàn cầu.

Mô tả lỗ hổng

Plugin Advanced File Manager dành cho nền tảng WordPress tồn tại một lỗ hổng nghiêm trọng liên quan đến việc tải tệp tùy ý (arbitrary file upload). Lỗ hổng này phát sinh do plugin không thực hiện kiểm tra và xác thực chính xác loại tệp được tải lên thông qua tệp class_fma_connector.php. Vấn đề này ảnh hưởng đến tất cả các phiên bản của plugin trước và bao gồm phiên bản 5.2.10.

Lỗ hổng này cho phép những kẻ tấn công đã xác thực, sở hữu quyền truy cập ở cấp Subscriber (Người đăng ký) trở lên và được cấp quyền tải tệp bởi Administrator (Quản trị viên), có thể tải các tệp độc hại lên máy chủ WordPress bị ảnh hưởng. Khi khai thác thành công, kẻ tấn công có khả năng thực thi mã từ xa (Remote Code Execution – RCE), dẫn đến nguy cơ chiếm quyền kiểm soát hoàn toàn hệ thống.

Liên kết NVD: https://nvd.nist.gov/vuln/detail/CVE-2024-11391

Mitre ATT&CK Framework v15.1

• T1583.004 – Máy chủ: Chuẩn bị cơ sở hạ tầng cho các hoạt động độc hại.
• T1584.004 – Máy chủ: Tạo và duy trì cơ sở hạ tầng độc hại.
• T1053.002 – Tại: Lạm dụng các tác vụ theo lịch trình để tự động hóa hoạt động độc hại.

Phân tích chi tiết và biện pháp khắc phục

1. Phân tích tấn công kỹ thuật

Mô tả chi tiết lỗ hổng
Lỗ hổng này được định danh là CVE-2024-11391, tồn tại trong chức năng tải tệp của plugin Advanced File Manager dành cho WordPress. Do thiếu các biện pháp xác thực loại tệp tải lên, kẻ tấn công đã xác thực với quyền Subscriber (hoặc cao hơn) có thể tải lên các tệp độc hại. Việc khai thác lỗ hổng này yêu cầu kẻ tấn công phải được quản trị viên cấp quyền tải tệp.

Phương pháp tấn công

• T1583.004 – Máy chủ: Kẻ tấn công sử dụng lỗ hổng để tải lên các tệp độc hại, chẳng hạn như web shell. Sau đó, các tệp này được sử dụng để thực thi các lệnh trên máy chủ hoặc sửa đổi nội dung trang web.
• T1584.004 – Máy chủ: Sau khi lỗ hổng bị khai thác, kẻ tấn công có thể tạo hoặc sửa đổi cơ sở hạ tầng độc hại trên máy chủ, đảm bảo duy trì quyền truy cập trái phép lâu dài.
• T1053.002 – Tại: Tệp độc hại được tải lên có thể bao gồm các đoạn mã tận dụng cron jobs hoặc các tác vụ theo lịch trình để tự động hóa các hành vi độc hại, chẳng hạn như đánh cắp thông tin hoặc khởi chạy các cuộc tấn công tiếp theo.

Tác động tiềm ẩn

• Thực thi mã từ xa (RCE): Cho phép kẻ tấn công kiểm soát toàn bộ máy chủ thông qua việc thực thi các đoạn mã nguy hiểm.
• Vi phạm dữ liệu: Kẻ tấn công có thể truy cập và đánh cắp các thông tin nhạy cảm được lưu trữ trên máy chủ, gây ra rò rỉ thông tin.
• Mất dịch vụ: Trang web có thể bị gián đoạn hoặc mất khả năng hoạt động do các thao tác phá hoại từ kẻ tấn công.
• Thiệt hại danh tiếng: Việc bị khai thác lỗ hổng không chỉ ảnh hưởng đến hoạt động của trang web mà còn khiến người dùng mất niềm tin vào doanh nghiệp vận hành trang web.

2. Biện pháp giảm thiểu rủi ro

Tăng cường bảo mật hệ thống

• Kích hoạt xác thực đa yếu tố (MFA) cho tất cả tài khoản người dùng, đặc biệt là tài khoản quản trị.
• Hạn chế quyền người dùng: Chỉ cho phép những người dùng đáng tin cậy quyền tải tệp lên. Người dùng cấp Subscriber nên bị giới hạn các quyền không cần thiết.

Sử dụng công cụ và phần mềm bảo mật

• Cài đặt tường lửa ứng dụng web (WAF): Tường lửa này giúp giám sát và lọc các lưu lượng HTTP để chặn các yêu cầu độc hại.
• Plugin bảo mật WordPress: Triển khai các plugin như Wordfence hoặc iThemes Security để phát hiện và ngăn chặn các tệp độc hại được tải lên.
• Phần mềm diệt virus trên máy chủ: Quét và xóa các tệp độc hại ngay khi chúng được tải lên.

Giám sát và báo cáo

• Ghi nhật ký đầy đủ: Thiết lập hệ thống logging trên WordPress và máy chủ để ghi lại các hành động tải tệp cũng như các hoạt động của người dùng.
• Cảnh báo tự động: Cài đặt hệ thống cảnh báo để nhận thông báo khi có hành vi tải tệp bất thường, ví dụ như tải nhiều tệp trong thời gian ngắn hoặc truy cập từ địa chỉ IP không xác định.
• Đánh giá bảo mật thường xuyên: Kiểm tra định kỳ toàn bộ hệ thống, bao gồm các plugin, để đảm bảo rằng không có lỗ hổng nào chưa được vá.

Liên kết tham khảo

1. https://plugins.trac.wordpress.org/changeset/3199242/
2. https://www.wordfence.com/threat-intel/vulnerabilities/id/f14a658c-1517-4af4-8bd7-c379ac07ab35?source=cve

Liên kết NVD:
https://nvd.nist.gov/vuln/detail/CVE-2024-45387

Mô tả

Lỗ hổng tiêm SQL trong Traffic Ops ở Apache Traffic Control ( phiên bản <= 8.0.1 và >= 8.0.0) cho phép người dùng có đặc quyền với vai trò “admin”, “federation”, “operations”, “portal” hoặc “steering” thực thi SQL tùy ý trên cơ sở dữ liệu bằng cách gửi yêu cầu PUT được thiết kế đặc biệt.

Người dùng được khuyên nghị nâng cấp lên phiên bản Apache Traffic Control 8.0.2 nếu đang sử dụng các phiên bản Traffic Ops bị ảnh hưởng.

Phân tích kỹ thuật và biện pháp giảm thiểu

1. Phân tích tấn công kỹ thuật

Lỗ hổng được xác định là CVE-2024-45387 là một lỗ hổng SQL injection trong thành phần Traffic Ops của Apache Traffic Control. Lỗ hổng này cho phép người dùng có đặc quyền (với các vai trò như “admin”, “federation”, “operations”, “portal” hoặc “steering”) thực thi các lệnh SQL tùy ý đối với cơ sở dữ liệu bằng cách gửi các yêu cầu PUT được tạo đặc biệt.

Kỹ thuật tấn công:

• SQL Injection (T1059.002): Kỹ thuật tấn công cơ bản là SQL injection, bao gồm việc đưa các truy vấn SQL độc hại vào các trường nhập liệu không được khử trùng đúng cách. Điều này có thể dẫn đến truy cập trái phép vào dữ liệu nhạy cảm, thao tác cơ sở dữ liệu hoặc xâm phạm hoàn toàn máy chủ cơ sở dữ liệu.
• Privilege Escalation: Khai thác yêu cầu người dùng có vai trò cụ thể, cho thấy các đặc quyền hiện có có thể bị lạm dụng. Nếu kẻ tấn công có được quyền truy cập vào tài khoản có đặc quyền, chúng có thể thực thi các lệnh SQL tùy ý, dẫn đến rò rỉ dữ liệu, hỏng dữ liệu hoặc từ chối dịch vụ.

Tác động tiềm ẩn:

• Vi phạm dữ liệu: Kẻ tấn công có thể trích xuất thông tin nhạy cảm, bao gồm thông tin đăng nhập của người dùng, dữ liệu cá nhân hoặc thông tin kinh doanh bí mật.
• Thao tác dữ liệu: Việc sửa đổi trái phép cơ sở dữ liệu có thể dẫn đến các vấn đề về tính toàn vẹn dữ liệu, ảnh hưởng đến hoạt động kinh doanh.
• Từ chối dịch vụ: Các truy vấn SQL độc hại có thể làm giảm hiệu suất hoặc làm sập hoàn toàn dịch vụ cơ sở dữ liệu.
• Thiệt hại về danh tiếng: Nếu bị khai thác thành công, các tổ chức có thể phải đối mặt với tổn hại về danh tiếng cùng những hậu quả pháp lý do vi phạm dữ liệu.

2. Biện pháp giảm thiểu

Để giải quyết các lỗ hổng liên quan đến CVE-2024-45387, cần triển khai các bước giảm thiểu cụ thể sau:

• Nâng cấp phần mềm:

Nâng cấp ngay lên Apache Traffic Control phiên bản 8.0.2 trở lên để vá lỗ hổng bảo mật.

• Tăng cường quyền của người dùng:

Xem xét và hạn chế quyền cho các vai trò như “admin”, “federation”, “operations”, “portal” và “steering” để đảm bảo chỉ cấp quyền truy cập cần thiết.

Triển khai nguyên tắc đặc quyền tối thiểu (PoLP) để giảm thiểu thiệt hại tiềm ẩn từ các tài khoản bị xâm phạm.

• Bật xác thực đa yếu tố (MFA):

Yêu cầu MFA cho tất cả các tài khoản người dùng có đặc quyền để thêm một lớp bảo mật bổ sung chống lại truy cập trái phép.

• Xác thực và kiểm tra dữ liệu đầu vào:

Đảm bảo rằng tất cả dữ liệu đầu vào từ người dùng được kiểm tra chặt chẽ để phát hiện và loại bỏ các ký tự hoặc chuỗi có thể gây nguy cơ tiêm SQL.

Sử dụng các phương pháp an toàn như truy vấn có tham số (parameterized queries) hoặc lưu trữ quy trình (stored procedures) để xử lý các truy vấn SQL, nhằm tránh việc chèn mã độc hại.”

• Sử dụng tường lửa ứng dụng web (WAF):

Triển khai WAF để giúp lọc và giám sát các yêu cầu HTTP, có thể chặn các mẫu đầu vào độc hại giống với các nỗ lực tiêm SQL.

• Triển khai giám sát và ghi nhật ký:

Bật logging chi tiết cho các truy vấn SQL.

Thiết lập các cách cáo khi có hoạt động bất thường

Bài viết này sẽ hướng dẫn cấu hình tính năng L2TP VPN trên thiết bị tường lửa Sophos XGS để truy cập từ xa vào mạng nội bộ. Giao thức Layer Two Tunneling Protocol (L2TP) cho phép bạn cung cấp kết nối đến mạng của mình thông qua các đường hầm riêng trên Internet.

2.Chi tiết cấu hình

Đầu tiên ta sẽ tạo group VPN, bằng cách đi đến mục Authentication > Groups, chọn Add để tạo 1 group mới.

Group name*: tiến hành đặt tên

Group type*: chọn Normal

Surfing quota*: chọn Unlimited Internet Access

Access time*: chọn Allowed all the time

Các thông khác vẫn giữ nguyên mặc định.

Sau đó ấn Save để lưu lại.

Sau khi tạo group vpn xong, ta sẽ tiến hành tạo user vpn để thêm vào group. Bằng cách chọn Authentication > Users, chọn Add để tạo user mới.

Username*: tiến hành đặt username để đăng nhập

Name*: đặt tên

User type*: chọn User

Password*: Đặt mật khẩu cho tài khoản user

Email*: nhập email của bạn

Group*: Chọn group đã tạo trước đó

Các thông số khác giữ nguyên mặc định, sau đó nhấn Save.

Bây giờ ta sẽ vào Remote access VPN > L2TP > sau đó chọn L2TP global settings.

Tích chọn Enable L2TP

Assign IP from*:  điền range DHCP sẽ cấp khi user thực hiện VPN 

Primary DNS server*:  điền thông tin DNS chính

Secondary DNS server: điền thông tin DNS phụ

Sau đó ấn Add member để tiến hành add group VPN hoặc user VPN

Chọn group VPN đã tạo trước đó, sau đó ấn Add.

Ấn Ok.

Ấn Close để thoát.

Sau đó ấn Apply.

Vẫn ở mục Remote access VPN, tab L2TP, ấn Add.

Name*: đặt tên

Profile*: chọn DefaultL2TP

Gateway type*: chọn Respond only (giữ kết nối luôn sẵn sàng để phản hồi mọi yêu cầu tới)

Authentication type*: chọn Preshared key (xác thực điểm cuối bằng cách sử dụng khóa bí mật mà cả 2 điểm cuối đều biết)

Preshared key*: điền mật khẩu 

Local WAN port*: chọn port WAN đóng vai trò tunnel

Remote host*: địa chỉ IP hoặc hostname của endpoint từ xa. Để chỉ định bất kỳ địa chỉ IP nào, bạn có thể nhập địa chỉ ký tự đại diện (*).

Allow NAT traversal: bật NAT traversal nếu có thiết bị NAT giữa các endpoint của bạn

Remote subnet*: để Any (mạng từ xa mà bạn muốn cấp quyền truy cập)

Các thông số giữ nguyên mặc định, sau đó ấn Save.

Nhấp vào biểu tượng màu đỏ bên dưới cột Active để bắt đầu kết nối. Sau khi kết nối, nó sẽ hiển thị màu xanh lá cây.

Tiếp theo ta sẽ thiết lập độ ưu tiên route, thứ tự ưu tiên mặc định là Static routes, SD-WAN policy routes, VPN routes. Để thiết lập kết nối L2TP, VPN routes phải đến trước, tiếp theo là Static routes và SD-WAN policy routes theo bất kỳ thứ tự nào.

Đầu tiên cần đăng nhập vào CLI của tường lửa. Ở giao diện web admin truy cập vào dấu mũi tên như hình chọn Console.

Tiến hành nhập password tường lửa.

Chọn mục số 4.

Ở đây mình ta thiết lập độ ưu tiên rồi. Nếu chưa hãy dùng lệnh sau: 

system route_precedence set vpn static sdwan_policyroute 

Sau đó dùng lệnh này để kiểm tra lại:

system route_precedence show

Tiếp theo ta sẽ tạo Firewall rule để cho phép kết nối từ VPN vào mạng nội bộ. Ngoài ra ta cũng có thể viết thêm rule để cho phép theo chiều ngược lại.

Đi tới Rules and policies > Firewall rules, chọn Add firewall rule rồi chọn tiếp New firewall rule.

Rule name*: đặt tên

Action: chọn Accept

Tích chọn Log firewall traffic

Rule possition: chọn Top

Rule group: chọn None

Source zones*: chọn zone VPN

Source network and devices*: chọn Any (có thể giới hạn lại thành subnet mình muốn)

During scheduled time: chọn All the time

Destination zone*: chọn zone LAN

Destination network*: chọn Any (có thể giới hạn lại thành subnet mình muốn)

Services: chọn Any

Sau đó ấn Save để lưu

Lưu ý: Nếu bạn muốn lớp mạng người dùng VPN có thể truy cập Internet thông qua thiết bị Firewall thì tạo 1 Firewall rule với Source zones* là VPN và Destination zone* là WAN. 

Vào Administration > Device access, tích chọn IPsec ở Zone WAN.