Blog

Overview

Bài viết hướng dẫn cấu hình tính năng Hotspot gateway theo từng loại trên thiết bị tường lửa Sophos XGS cho các lớp mạng Wireless sử dụng access point bất kỳ.

Có 3 kiểu hotspot trên sophos firewall xgs:

• “Hotspot term of use acceptance” (chấp nhận điều khoản sử dụng của hotspot)
• “Hotspot password of the day” (mật khẩu hotspot của ngày)
• “Hotspot voucher” (voucher hotspot) 

Sơ đồ mạng

Chi tiết sơ đồ mạng 

Đường truyền internet được kết nối tại Port 2 của thiết bị tường lửa Sophos Firewall với IP là 192.168.15.4 /25
+ Lớp mạng LAN được cấu hình tại Port 3 của thiết bị tường lửa Sophos Firewall với IP là 192.168.223.1/24.

Tình huống cấu hình

Ở đây mình sẽ cấu hình cho các client ở port 3 phải xác thực hotspot bằng cách chuyển hướng đến cổng captive hoặc đăng nhập, nơi người dùng phải chấp nhận các điều khoản sử dụng hoặc xác thực bản thân bằng cách sử dụng mật khẩu hoặc voucher được tạo ra thì mới truy cập được internet.

Các bước cấu hình

• Tạo interface cấp IP cho wifi access point
• Tạo DHCP cho interface để cấp IP tự động khi kết nối Wireless
• Tạo Hotspot term of use acceptance
• Tạo user và group để quản lý
• Tạo Hotspot password of the day
• Tạo Hotspot voucher
• Tạo firewall rule cho wireless network để cho phép truy cập theo nhu cầu

Hướng dẫn cấu hình 

Bước 1: Tạo interface cấp IP cho wifi access point 

• Vào network >> interface >> add interface

• Name: Port3-wifi
• Hardware: Port3
• Network zone: wifi
• Tick chọn Ipv4 configuration
• IP assignment: chọn Static
• IPv4/netmask: 192.168.223.1 /24

Bước 2: tạo DHCP cho interface

Vào network >> DHCP >> add

• Name: DHCP-wifi
• Interface: Port3-wifi – 192.168.223.1
• Dynamic IP lease: cấp ip từ 192.168.223.10 đến 192.168.223.100
• Subnet mask: /24(255.255.255.0)
• Gateway: Tick chọn User interface IP as gateway để tự động chọn IP cho gateway
• Default lease time: 1440
• Max lease time: 2880
• Primary DNS: 8.8.8.8

Bước 3: Tạo Hotspot “Terms of use acceptance” trên Sophos XGS

Đi đến mục wireless >> Hotspots >> add

• Name: Đặt tên cho hotspot
• Description: Nhập mô tả
• Ở mục Interfaces: Chọn Interface đã tạo trước đó
• Ở mục Application Filter Policy: Chọn chính sách ứng dụng để hạn chế việc sử dụng ứng dụng bị cấm
• Ở mục Web Policy: Chọn chính sách web để hạn chế việc truy cập vào những web bị cấm
• Ở mục IPS Policy: Chọn chính sách Intrusion Prevention để bảo vệ cho mạng của người dùng
• Ở mục Traffic Shapping Policy: Chọn chính sách để kích hoạt QoS cho hotspot
• Bật tính năng Redirect to HTTPS để chuyển hướng người dùng đến HTTPS thay vì HTTP để nâng cao bảo mật
• Ở mục Hotspot Type: Chọn loại hotspot Terms of use acceptance
• Session expires: Đặt thời hạn hiệu lực của phiên. Sau khi hết hạn, người dùng phải chấp nhận lại các điều khoản.
• Ở mục Terms of use: người dùng phải chấp nhận điều khoảng mới cấp mạng
• Redirect to URL after login: khi người dùng access vào wifi sẽ được chuyển sang URL đã gán
• Để customize Hotsport (mặc định hotspot sẽ sử dụng mẫu của Sophos): Bật Enable customization
• Ở mục Customization type: Chọn Basic nếu chỉ muốn custom hotspot đơn giản và chọn Full nếu muốn custom toàn bộ hotspot (ở đây tôi chọn Basic)
• Ở mục Logo: Upload logo của công ty bạn
• Ở mục Scale logo to recommended size: sophos sẽ tự động điều chỉnh kích thước của logo theo khuyến nghị
• Ở mục Title: Có thể nhập Welcome “tên công ty”
• Ở mục Custom text: Nhập nội dung thông báo mà bạn muốn show
• Nhấn Save

Sau khi tạo policy thì khi kết nối mạng sẽ hiện trang xác thực

Bước 4: Tạo Group và User để quản lý Hotspots

Vào mục Authentication >> Group >> Add

• Group name: Đặt tên cho group
• Group type: chọn loại group Normal
• Surfing quota: Giới hạn dữ liệu ở đây mình chọn Unlimited Internet Access nghĩa là không giới hạn
• Access time: Thời gian truy cập chọn cho phép toàn thời gian Ultimited Internet Access
• Network traffic: Chọn none
• Traffic shaping: Chọn none

Tiếp theo vào mục Users để tạo Users

• Username: đặt tên user
• User type: loại user
• Profile: Chọn mặc định
• Password: Đặt mật khẩu cho user
• Email: đặt email cho user (không đặt cũng được)
• Group: Chọn group đã tạo lúc trước
• Surfing quota: Chọn ultimited
• Network traffic: : Chọn allowed all
• Traffic shaping: Chọn none

Bước 5: Tạo Hotspot “Password of the day” trên Sophos XGS

Vào mục Authentication >> Group >> Add

• Làm tương tự như các bước tạo hotspot trên

• Ở mục Hotspot Type: Chọn loại hotspot password of the day
• Password creation time: Chọn thời gian mà bạn muốn để tạo lại mật khẩu
• Send password by email to: Chọn email mà bạn muốn gửi pass tới
• Override wireless networks’ passphrase: ghi đè lên mật khẩu
• Administrative users: Chọn user admin để quản trị
• Users have to accept terms of use: Users phải chấp nhận điều khoản mới cấp internet
• Redirect to URL after login: Chọn URL mà bạn muốn users sẽ hướng đến khi access vào wifi
• Để customize Hotsport (mặc định hotspot sẽ sử dụng mẫu của Sophos): Bật Enable customization
• Ở mục Customization type: Chọn Basic nếu chỉ muốn custom hotspot đơn giản và chọn Full nếu muốn custom toàn bộ hotspot (ở đây tôi chọn Basic)
• Ở mục Logo: Upload logo của công ty bạn
• Ở mục Scale logo to recommended size: sophos sẽ tự động điều chỉnh kích thước của logo theo khuyến nghị
• Ở mục Title: Có thể nhập Welcome “tên công ty”
• Ở mục Custom text: Nhập nội dung thông báo mà bạn muốn show
• Nếu có mẫu voucher sẵn, bạn có thể upload ở mục Voucher template
• Nhấn Save

Bước 5: tạo Hotspot “Voucher” với Voucher đã tạo trên Sophos XGS

• Name: Đặt tên cho hotspot
• Description: Nhập mô tả
• Ở mục Interfaces: Chọn Interface đã tạo trước đó
• Ở mục Application Filter Policy: Chọn chính sách ứng dụng để hạn chế việc sử dụng ứng dụng bị cấm
• Ở mục Web Policy: Chọn chính sách web để hạn chế việc truy cập vào những web bị cấm
• Ở mục IPS Policy: Chọn chính sách Intrusion Prevention để bảo vệ cho mạng của người dùng
• Ở mục Traffic Shapping Policy: Chọn chính sách để kích hoạt QoS cho hotspot
• Bật tính năng Redirect to HTTPS để chuyển hướng người dùng đến HTTPS thay vì HTTP để nâng cao bảo mật
• Ở mục Hotspot Type: Chọn loại hotspot Terms of use acceptance
• Để customize Hotsport (mặc định hotspot sẽ sử dụng mẫu của Sophos): Bật Enable customization
• Ở mục Customization type: Chọn Basic nếu chỉ muốn custom hotspot đơn giản và chọn Full nếu muốn custom toàn bộ hotspot (ở đây tôi chọn Basic)
• Ở mục Logo: Upload logo của công ty bạn
• Ở mục Scale logo to recommended size: sophos sẽ tự động điều chỉnh kích thước của logo theo khuyến nghị
• Ở mục Title: Có thể nhập Welcome “tên công ty”
• Ở mục Custom text: Nhập nội dung thông báo mà bạn muốn show
• Nếu có mẫu voucher sẵn, bạn có thể upload ở mục Voucher template
• Nhấn Save

Sau khi tạo xong thì hotspot sẽ tự tạo rules cho mình

Mạng sẽ tự động disconnected và người dùng cần phải nhập code thì mới cấp internet

Để có mã code thì cần phải vào trang User Portal, nhập user và password mà đã tạo ở firewall

Sau khi đăng nhập vào trang User Portal, vào mục Hotspots

• Hotspot: chọn policy hotspot đã tạo ở firewall
• Hotspot voucher definitions: chọn voucher đã định nghĩa ở firewall
• Amount: chọn số lượng voucher
• Print: Tick chọn print để in phiếu voucher
• Page size: kích cỡ phiếu voucher
• Vouchers perpage: số trang phiếu voucher
• Add QR code: In ra mã QR cho voucher
• Bấm Create Vouchers, lưu vào ổ đĩa 

Lấy mã code ở bước 4 trong phiếu voucher sau đó gán vào trang xác thực 

Sau khi gán mã code vào sẽ nhận được internet và trên trang sẽ hiện thông báo:

• Valid Unit (UTC): thời gian hết hạn voucher
• Data volume: dữ liệu được cấp là 1GB
• Time quota: thời gian còn lại để dùng voucher
• Logged in Devices: ½ nghĩa là 1 thiết bị đã kết nối trên tổng là 2 thiết bị

Sau khi đã access vào thì sẽ được cấp internet truy cập.