Hướng dẫn cấu hình chặn thiết bị không có Sophos Endpoint truy cập VPN vào mạng nội bộ của Sophos Firewall

1 Tổng quan

Security Heartbeat là một tính năng độc quyền của Sophos giúp trao đổi trạng thái giữa Sophos endpoint lên Sophos Central thông qua Sophos Firewall. Kết nối này cho biết độ tin cậy của thiết bị và từ đó ta có thể tạo các chính sách để cho phép hoặc ngăn chặn truy cập đối với các máy tính này. Lưu ý, Security Heartbeat qua VPN hiện tại Sophos chỉ hỗ trợ thiết bị Windows, không hỗ trợ MacOS.

Bài viết này thegioifirewall sẽ hướng dẫn các bạn cấu hình chặn truy cập VPN đối với các máy tính không cài Sophos Endpoint thông qua Security Heartbeat

2 Mô hình tổng quan

Ở đây có 2 máy Windows 10 một máy có cài Sophos endpoint và một máy không cài. Ta cấu hình chặn các máy tính không cài endpoint truy cập VPN vào mạng Lan cũng như cho phép các máy có endpoint được truy cập bình thường

Sophos firewall cấu hình các policy truy cập mạng và cho phép SSL VPN đến mạng LAN

3 Cấu hình

Các bước cấu hình như sau:

  • Cấu hình ban đầu gồm có
    • SSL VPN
    • Bật Security Heartbeat trên Sophos Firewall.
  • Cài đặt Sophos Endpoint trên thiết bị.
  • Cấu hình chặn truy cập VPN đối với máy tính không có Security Heartbeat

3.1 Cấu hình ban đầu

-Ta tiến hành cấu hình cho phép kết nối SSL VPN đến Sophos Firewall

Các bạn tham khảo bài viết sau để cấu hình

– Bật Security Heartbeat trên Sophos Firewall

Để bật security heartbeat chúng ta cần nhập tài khoản Sophos Central lên Firewall, các bạn tham khảo bài viết sau để cấu hình

3.2 Cài đặt Sophos endpoint trên thiết bị

Để cài đặt, chúng ta truy cập vào Sophos Central >> Protect Devices và Download bản cài đặt phù hợp

Với hệ thống AD chúng ta có thể dùng GPO để triển khai cài đặt, tham khảo bài viết sau để cấu hình

3.3 Cấu hình chặn VPN với các máy tính không cài đặt Sophos Endpoint

Sau khi chuẩn bị xong các bước ta tiến hành bật policy Heartbeat trên Firewall

3.3.1 Trường hợp SSL VPN Full tunnel

Đối với trường hợp này tất cả các traffic của Windows 10 VPN đến LAN và ra internet đều phải đi qua Sophos Firewall.

Ta vào mục Remote access VPN, tại tab SSL VPN ta edit lại cấu hình đã cài đặt trước đó. chọn Use as default gateway ở mục Tunnel access

Sau khi thay đổi cấu hình ta truy cập user portal tải lại file cấu hình mới để import vào phần mềm VPN trên máy client.

Tiếp theo ta cấu hình lại policy cho phép SSL VPN truy cập vào mạng Lan. Ta truy cập Firewall rule đã cấu hình.

Kéo xuống dưới. Tại mục Configure Synchronized Security Heartbeat ta chỉnh trạng thái Heartbeat minimum source HB permitted thành Yellow trở lên thì được phép truy cập. Và chặn kết nối không có Heartbeat.

Lưu cấu hình và chuyển sang phần 4 kiểm tra kết quả.

3.3.2 Trường hợp SSL VPN Split tunnel

Đối với trường hợp này chỉ traffic đi vào hệ thống Lan mới qua VPN, còn lại thì không qua VPN.

Ta cấu hình route traffic đến địa chỉ ip Security Heartbeat thì sẽ qua VPN đến Sophos Firewall

Địa chỉ Ip của Security Heartbeat mình là 52.5.76.173. Tùy data center khác nhau sẽ có địa chỉ IP khác nhau.

Chúng ta có thể kiểm tra bằng cách truy cập vào đường dẫn sau:

C:\ProgramData\Sophos\Heartbeat\Config và mở file Heartbeat.xml

Tuy nhiên quyền truy cập thư mục này sẽ bị chặn và để kiểm tra thì ta phải tắt các tính năng của Sophos Endpoint.

Để tắt tính năng này ta phải có tamper protection password. Tham khảo bài viết sau để lấy tamper protection

Sau khi có được Ip heartbeat ta cấu hình Split tunnel cho SSL VPN

Vào mục Remote access VPN, tại tab SSL VPN chọn edit lại cấu hình đã cài đặt trước đó. Disable Use as default gateway ở mục Tunnel access. Tại mục Permitted network resource ta thêm địa chỉ ip Heartbeat lúc nãy vào

Sau khi thay đổi cấu hình ta truy cập user portal tải lại file cấu hình mới để import vào phần mềm VPN trên máy client.

Tiếp theo ta cấu hình lại policy cho phép SSL VPN truy cập vào mạng Lan. Ta truy cập Firewall rule đã cấu hình.

Kéo xuống dưới. Tại mục Configure Synchronized Security Heartbeat ta chỉnh trạng thái Heartbeat minimum source HB permitted thành Yellow trở lên thì được phép truy cập. Và chặn kết nối không có Heartbeat

Lưu cấu hình và sang phần 4 kiểm tra kết quả.

4 Kiểm tra kết quả

4.1 Với thiết bị có cài Sophos Endpoint

Tại máy tính có cài Endpoint ta VPN đến Firewall

Truy cập vào trang quản trị Firewall ta xem hiện ra kết nối và mục security heartbeat đã hiện lên thiết bị.

Truy cập vào trang central ta chọn thiết bị mình đã truy cập vpn để xem thông tin. Vào mục Device chọn tên máy tính và xem ở tab Summary. Ta sẽ thấy Security Heartbeat Firewall đã được kết nối đến Firewall của mình với Serial number như ở mục dưới

Ta thử kết nối đến tài nguyên bên trong hệ thống

Vậy là đã kết nối thành công.

4.2 Với thiết bị không cài Sophos Endpoint

Tiếp theo tại máy không cài Sophos Endpoint ta kết nối VPN đến Firewall và tương tự trang quản trị Firewall ta không thể nhìn thấy được Security heartbeat.

Thử truy cập đến tài nguyên bên trong mạng và kết quả là bạn đã bị chặn.

Vậy là chúng ta đã cấu hình xong tính năng quản lý máy tính VPN thông qua Security Heartbeat

0 0 đánh giá
Đánh giá bài viết
Theo dõi
Thông báo của
guest
0 Góp ý
Cũ nhất
Mới nhất Được bỏ phiếu nhiều nhất
Phản hồi nội tuyến
Xem tất cả bình luận