1 Tổng quan
Security Heartbeat là một tính năng độc quyền của Sophos giúp trao đổi trạng thái giữa Sophos endpoint lên Sophos Central thông qua Sophos Firewall. Kết nối này cho biết độ tin cậy của thiết bị và từ đó ta có thể tạo các chính sách để cho phép hoặc ngăn chặn truy cập đối với các máy tính này. Lưu ý, Security Heartbeat qua VPN hiện tại Sophos chỉ hỗ trợ thiết bị Windows, không hỗ trợ MacOS.
Bài viết này thegioifirewall sẽ hướng dẫn các bạn cấu hình chặn truy cập VPN đối với các máy tính không cài Sophos Endpoint thông qua Security Heartbeat
2 Mô hình tổng quan
Ở đây có 2 máy Windows 10 một máy có cài Sophos endpoint và một máy không cài. Ta cấu hình chặn các máy tính không cài endpoint truy cập VPN vào mạng Lan cũng như cho phép các máy có endpoint được truy cập bình thường
Sophos firewall cấu hình các policy truy cập mạng và cho phép SSL VPN đến mạng LAN
3 Cấu hình
Các bước cấu hình như sau:
- Cấu hình ban đầu gồm có
- SSL VPN
- Bật Security Heartbeat trên Sophos Firewall.
- Cài đặt Sophos Endpoint trên thiết bị.
- Cấu hình chặn truy cập VPN đối với máy tính không có Security Heartbeat
3.1 Cấu hình ban đầu
-Ta tiến hành cấu hình cho phép kết nối SSL VPN đến Sophos Firewall
Các bạn tham khảo bài viết sau để cấu hình
– Bật Security Heartbeat trên Sophos Firewall
Để bật security heartbeat chúng ta cần nhập tài khoản Sophos Central lên Firewall, các bạn tham khảo bài viết sau để cấu hình
3.2 Cài đặt Sophos endpoint trên thiết bị
Để cài đặt, chúng ta truy cập vào Sophos Central >> Protect Devices và Download bản cài đặt phù hợp
Với hệ thống AD chúng ta có thể dùng GPO để triển khai cài đặt, tham khảo bài viết sau để cấu hình
3.3 Cấu hình chặn VPN với các máy tính không cài đặt Sophos Endpoint
Sau khi chuẩn bị xong các bước ta tiến hành bật policy Heartbeat trên Firewall
3.3.1 Trường hợp SSL VPN Full tunnel
Đối với trường hợp này tất cả các traffic của Windows 10 VPN đến LAN và ra internet đều phải đi qua Sophos Firewall.
Ta vào mục Remote access VPN, tại tab SSL VPN ta edit lại cấu hình đã cài đặt trước đó. chọn Use as default gateway ở mục Tunnel access
Sau khi thay đổi cấu hình ta truy cập user portal tải lại file cấu hình mới để import vào phần mềm VPN trên máy client.
Tiếp theo ta cấu hình lại policy cho phép SSL VPN truy cập vào mạng Lan. Ta truy cập Firewall rule đã cấu hình.
Kéo xuống dưới. Tại mục Configure Synchronized Security Heartbeat ta chỉnh trạng thái Heartbeat minimum source HB permitted thành Yellow trở lên thì được phép truy cập. Và chặn kết nối không có Heartbeat.
Lưu cấu hình và chuyển sang phần 4 kiểm tra kết quả.
3.3.2 Trường hợp SSL VPN Split tunnel
Đối với trường hợp này chỉ traffic đi vào hệ thống Lan mới qua VPN, còn lại thì không qua VPN.
Ta cấu hình route traffic đến địa chỉ ip Security Heartbeat thì sẽ qua VPN đến Sophos Firewall
Địa chỉ Ip của Security Heartbeat mình là 52.5.76.173. Tùy data center khác nhau sẽ có địa chỉ IP khác nhau.
Chúng ta có thể kiểm tra bằng cách truy cập vào đường dẫn sau:
C:\ProgramData\Sophos\Heartbeat\Config và mở file Heartbeat.xml
Tuy nhiên quyền truy cập thư mục này sẽ bị chặn và để kiểm tra thì ta phải tắt các tính năng của Sophos Endpoint.
Để tắt tính năng này ta phải có tamper protection password. Tham khảo bài viết sau để lấy tamper protection
Sau khi có được Ip heartbeat ta cấu hình Split tunnel cho SSL VPN
Vào mục Remote access VPN, tại tab SSL VPN chọn edit lại cấu hình đã cài đặt trước đó. Disable Use as default gateway ở mục Tunnel access. Tại mục Permitted network resource ta thêm địa chỉ ip Heartbeat lúc nãy vào
Sau khi thay đổi cấu hình ta truy cập user portal tải lại file cấu hình mới để import vào phần mềm VPN trên máy client.
Tiếp theo ta cấu hình lại policy cho phép SSL VPN truy cập vào mạng Lan. Ta truy cập Firewall rule đã cấu hình.
Kéo xuống dưới. Tại mục Configure Synchronized Security Heartbeat ta chỉnh trạng thái Heartbeat minimum source HB permitted thành Yellow trở lên thì được phép truy cập. Và chặn kết nối không có Heartbeat
Lưu cấu hình và sang phần 4 kiểm tra kết quả.
4 Kiểm tra kết quả
4.1 Với thiết bị có cài Sophos Endpoint
Tại máy tính có cài Endpoint ta VPN đến Firewall
Truy cập vào trang quản trị Firewall ta xem hiện ra kết nối và mục security heartbeat đã hiện lên thiết bị.
Truy cập vào trang central ta chọn thiết bị mình đã truy cập vpn để xem thông tin. Vào mục Device chọn tên máy tính và xem ở tab Summary. Ta sẽ thấy Security Heartbeat Firewall đã được kết nối đến Firewall của mình với Serial number như ở mục dưới
Ta thử kết nối đến tài nguyên bên trong hệ thống
Vậy là đã kết nối thành công.
4.2 Với thiết bị không cài Sophos Endpoint
Tiếp theo tại máy không cài Sophos Endpoint ta kết nối VPN đến Firewall và tương tự trang quản trị Firewall ta không thể nhìn thấy được Security heartbeat.
Thử truy cập đến tài nguyên bên trong mạng và kết quả là bạn đã bị chặn.
Vậy là chúng ta đã cấu hình xong tính năng quản lý máy tính VPN thông qua Security Heartbeat
