Home / Hướng dẫn cấu hình Firewall Sophos XG / Hướng dẫn mô hình xác thực Radius cho Sophos APX trên Sophos Firewall

Hướng dẫn mô hình xác thực Radius cho Sophos APX trên Sophos Firewall

1 Tổng quan

Radius là một giao thức phổ biến để hỗ trợ xác thực người dùng truy cập wifi nhằm tăng tính bảo mật trong mô hình mạng Active directory. Hôm nay Thegioifirewall sẽ hướng dẫn bạn các bước thực hiện mô hình Radius để xác thực người dùng truy cập vào Access point Sophos APX.

2 Các bước thực hiện

2.1 Sơ đồ

Mô hình gồm có Window server làm Radius server, nằm ở lớp vlan2.

Sophos APX làm Access point nằm ở lớp vlan 200 và hoạt động ở chế độ Bridge to AP Lan. Wifi User truy cập vào AP sẽ được cấp IP ở Vlan 200.

Sophos Firewall với default gateway vlan 2 và vlan 200 kết nối đến Server Radius và Access point thông qua cổng Trunk trên Switch.

2.2 Các bước cấu hình

Để dựng mô hình ta cần cấu hình các thành phần sau:

Cấu hình Certificate Service cho Server
Cấu hình Network Policy Service và dịch vụ Radius cho Server
Cấu hình kết nối Radius trên Firewall
Cấu hình Wifi cho APX

2.2.1 Cấu hình Certificate Service cho Server

Để sử dụng giao thức xác thực PEAP của NPS chúng ta cần có Certificate Service. Các bước cấu hình như sau

Ta add thêm role Active Directory Certificate Service.

Chọn service như hình và nhấn next cho đến khi hoàn thành.

Sau khi Cài đặt Role xong sẽ hiện thông báo và ta nhấn chọn Configure Active Directory Certificate Service như hình

Chọn next.

Chọn các Service mà ta đã cài, chọn next.

Tiếp theo là bước tạo Ca. Chọn Enterprice CA, chọn next.

Chọn Root CA, chọn next.

Chọn Create a new private key để tạo Key mới, nhấn next.

Chọn cấu hình theo mặc định. Xong các bước cấu hình ta chọn Configure.

Vậy là ta đã cấu hình xong Certificate, chọn close.

2.2.2 Cấu hình Network Policy Service và dịch vụ Radius cho Server

Để cấu hình Radius server ta cần cài Role Network Policy and Access Services

Chọn Role và nhấn Next để cài đặt.

Tiếp tục next để tiếp tục và chọn Install để cài đặt.

Sau khi cài đặt xong thì ta vào Network Policy Server.

Chọn NPS(Local), Ta chọn Radius server for 802.1X Wireless or Wired Connections. Chọn mục Configure 802.1x bên dưới.

Mục cấu hình hiện ra ta chọn Secure Wireless Connections. Đặt tên cho cấu hình này và nhấn next.

Tạo 1 Radius Client. Đặt tên cho client ở mục Friendly name, Ở đây Client là Sophos Firewall nên ta cấu hình Ip trên Cổng Vlan2 của Sophos Firewall, điền Share Secret cho client vào và nhấn OK.

Ta đã tạo xong Client tên là Sophos, nhấn next.

Chọn giao thức xác thực là PEAP, chọn next.

Chọn Add để thêm group user trong domain mình muốn dùng cho xác thực, ở đây mình chọn Domain user để tất cả user trong domain có thể xác thực bằng Radius.

Ở đây mình đã tạo trước 1 vài user để test cho mô hình của mình.

Chọn next.

Nhấn Finish để xong.

2.2.3 Cấu hình kết nối Radius trên Firewall

Tại Firewall ta cấu hình kết nối tới Radius Server và cho phép xác thực bằng Radius.

Ta vào mục Authentication >> Servers >> Chọn Add để tạo kết nối.

Chọn Type là RADIUS server.

Server ip: ip của Radius server.

Share secret: key mà ta đã tạo lúc nãy tại server .

Domain name: domain của server.

Group name attribute: tên group đã chọn ở mục cấu hình NPS trên.

Sau đó nhấn save.

Test connection: đây là phần test kết nối giữa Radius Server và Firewall.

Trong phạm vi bài viết này mình chỉ hướng dẫn các bạn tạo xác thực Radius cho APX wifi đến Server, kết nối này sử dụng giao thức xác thực PEAP. Riêng phần kết nối Firewall và Radius server thì sử dụng giao thức xác thực PAP. Hai tính năng này cần Network Access Policy riêng biệt và có thể sử dụng độc lập với nhau mà không cần phải cấu hình cả 2. Để sử dụng Test connection Mình sẽ hướng dẫn các bạn cách xác thực kết nối Firewall và Radius Server ở bài viết này LINK

Chuyển sang tab Services ta chọn Radius server để làm xác thực và đưa Radius lên trên Local. Nhấn Apply

2.2.4 Cấu hình Wifi cho APX

Ta cấu hình bật cho phép xác thực trên thiết bị APX Access Point

Truy cập vào mục Wireless >> Wireless setting. Bật Enable wireless protection. Tại Primary RADIUS server chọn server mà ta đã tạo lúc nãy. Nhấn Apply.

Chuyển sang tab Wireless networks. Ta chọn Add để tạo 1 network mới. Đặt tên ở mục name, điền SSID và chọn Security mode là WPA2/WPA Enterprise. Client traffic ở đây là Bridge to AP LAN nên user truy cập wifi sẽ nhận ip lớp mạng VLan 200. Nhấn Save.

Tại tab Access points. Ta chọn thiết bị APX đã kết nối để cấu hình.

Cấu hình như trên. Nhấn save.

3 Kiểm tra kết quả.

Ta tiến hành truy cập vào mạng Sophos Test bằng thiết bị di động và điền các thông tin user đăng nhập như đã tạo trên AD.

Thiết bị được phép truy cập và cấp ip dãy vlan 200.

Đối với các thiết bị của Apple như Iphone hoặc Macbook thì khi kết nối vào mạng sẽ có một thông báo hiện ra và yêu cầu quyền cho phép tin tưởng certificate của Radius server, ta chọn Trust certificate để chấp nhận certificate này và truy cập như bình thường.

Tại Server Radius ta vào Event viewer để xem log user tri truy cập thành công.

Vậy là chúng ta đã hoàn thành cấu hình mô hình xác thực bằng Radius server. Chúc các bạn thành công.

4 Trường hợp lỗi Unable connect to this network

Do Certificate bị lỗi trong quá trình cài đặt, khi truy cập vào Wifi sẽ hiện ra thông báo lỗi Unable to connect to this network.

Ta tiến hành renew lại certificate cho giao thức xác thực PEAP

Các bước thực hiện như sau

Truy cập vào Certificate Authority

Chọn Server và Click Renew CA certificate

Chọn yes

Chọn OK

Sau khi Renew certificate xong ta truy cập vào Network Policy Server để đổi lại Ca dùng cho PEAP

Tại Network Policies ta chọn Policy cấu hình cho Radius. Nếu là tên khác thì bạn xem bước dưới để kiểm tra đúng policy hay không.

Nếu chọn đúng policy cho Radius thì tại mục conditions sẽ có các condition như trên.

Chuyển sang tab Constraints ta chọn Edit tại mục EAP types

Tại Certificate issued to ta chọn Certificate vừa mới renew xong. Có thể thử chọn lần lượt 1 trong các certificate này nếu vẫn bị lỗi trên. Sau đó click OK