SOPHOS FIREWALL :HƯỚNG DẪN CẤU HÌNH DỊCH VỤ SSL CLIENT TO SITE CÓ XÁC THỰC OTP

Overview

Việc tạo nhiều tài khoản theo cách thủ công kèm theo bảo mật sẽ tốn nhiều thời gian và khó quản lý.Bài viết sẽ hướng dẫn giải quyết vấn đề này thông qua đồng bộ domain có các user đã được tạo sẵn trên windows server và xác thực bằng ứng dụng google authenticator(trên CH Play).

Sơ đồ mạng:

1.Sơ lược sơ đồ

-Ta dùng cổng WAN FPT sẽ là cổng VPN đi vào

-Chọn 1 cổng trên firewall với IP 2.2.2.250 cho vùng mạng DMZ tiến hành cấp phát DHCP,VMware Esxi thuộc DMZ ta đặt ip 2.2.2.100

-Windows SRV tạo OU và Group,user cho IT,và được cài remote desktop

-Ubuntu được cài web,và đã cài đặt SSH

2.Chi tiết nội dung cấu hình

Dùng user đã được đồng bộ AD sử dụng tài khoản đó làm tài khoản đăng nhập VPN,ta tiến hành thực hiện SSL Client to Site vào firewall (kèm xác thực OTP) ,kết quả nhận được user IT có thể remote desktop vào windows SRV và SSH vào Web SRV

3.Tiến hành cấu hình

3.1 Đồng bộ AD

Kết quả tạo OU,Group,user IT và Sale

Ta vào Authentication->chọn servers-> nhấn add

Server type:chọn active directory

Server name:có thể đặt tên theo ý muốn không ảnh hưởng đến cấu hình

Server IP/domain:điền địa chỉ IP server(ip server:2.2.2.20)

Connection security: chọn plaintext

Port:389

NetBIOS domain:điền tên domain(điền firewall)

ADS user name: điền administrator

Password:nhập mật khẩu của server

Domain name:điền tên đầy đủ AD server (ta điền firewall.local)

Search queries: nhập dc=firewall, dc=local

Nhấn save

Tiếp theo kiểm tra tệp vừa tạo,nhấn vào điểm màu vàng được đánh dấu

Làm theo những bước trong hình

Nhấn Start

Chọn dc=firewall, dc=local

Nhấn kí tự > để next

Chọn group IT và Sale rồi nhấn > để next

Để như mặc định

Nhấn vào > để next

Tiếp tục nhấn > để tới bước kết thúc

Kết quả:vào mục groups thấy group IT Sale

3.2 Cấu hình SSL VPN client to site

3.2.1 Tạo groups VPN

Vào  Authentication->chọn groups->nhấn add

Group name:điền tên theo ý muốn(điền SSL VPN Group)

Surfing quota: chọn unlimited internet access

Access time:chọn allowed all the time

Mục khác để mặc định

Nhấn save

Định danh cho lớp mạng VPN

Hosts and Services ->  IP Host -> Add

3.2.2 Cấu hình SSL VPN

Ta vào Remote access VPN-> chọn SSL VPN->nhấn Add

Name:nhập tên tùy chọn(SSL VPN Remote Access)

Policy members:chọn groups IT ,Sale và SSL VPN Group

Permitted network resources (IPv4):chọn lớp mạng DMZ

Nhấn Apply để tạo

3.2.3 Cấu hình SSL VPN Global Setting

Override hostname:nhập địa chỉ IP WAN

Port:8443

Assign IPv4 addresses:nhập dải IP cần gán cho user khi thực hiện VPN(trùng với host ip_ssl_vpn)

Nhấn apply để tạo

3.2.4 Tạo rule cho VPN

Như hình

Cấu hình xác thực OTP

Chọn Authentication-> Multi-factor authentication (MFA) settings

Chọn như hình

3.2.4 Đăng nhập user portal

Với cú pháp https://địa_chỉ_IP_web_sophos

Truy cập trang user portal bằng u1(u1 là user đồng bộ AD từ windows server)

Nhấn login sẽ hiện thông tin và mã QR sau

Điện thoại Androi vào chplay tải app google authentication,sau đó quét đoạn mã rồi điền vào đây

Truy cập trang user portal lại bằng u1

Passcode lúc này =passcode củ+số xác thực trên ứng dụng google authentication

Đăng nhập thành công tải 2 mục sau cài vào máy tính

Tiến hành đăng nhập dùng tài khoản u1 đăng nhập

Kết quả:

Quá trình SSH tới Ubuntu

0 0 đánh giá
Đánh giá bài viết
Theo dõi
Thông báo của
guest
0 Góp ý
Cũ nhất
Mới nhất Được bỏ phiếu nhiều nhất
Phản hồi nội tuyến
Xem tất cả bình luận