1.Mục đích bài viết
Bài viết này sẽ hướng dẫn cấu hình tính năng Security Heartbeat, tính năng này sẽ giúp hệ thống tự phản ứng và xử lý khi có sự cố xảy ra trong hệ thống mạng, giúp người quản trị tiết kiệm được thời gian xử lý sự cố cũng như tránh lây lan virus trong hệ thống.
2.Sơ đồ mạng
Chi tiết sơ đồ mạng:
- Chúng ta có đường internet được kết nối vào Port 2 của thiết bị firewall Sophos XGS với IP 192.168.2.103.
- Mạng LAN được cấu hình tại Port 1 với IP 10.146.41.1/24 và đã được cấu hình DHCP để cấp phát cho các thiết bị kết nối vào.
- Tiếp theo trong mạng LAN chúng ta sẽ có 2 thiết bị là máy chủ chạy Windows Server 2016 có tên là adserver, có IP là 10.146.41.10/24 và đã được cài đặt Sophos Endpoint.
- Máy laptop chạy Windows 10 có tên là DESKTOP-SJAJN20, có IP là 10.146.41.100/24 và đã được cài đặt Sophos Endpoint.
3.Tình huống cấu hình
Chúng ta sẽ thực hiện đồng bộ tài khoản trên Sophos XGS để kích hoạt tính năng Security Heartbeat, sau đó sẽ cấu hình tính năng này vào policy cho phép truy cập internet.
Sau đó chúng ta sẽ chạy thử 1 file virus test trên máy Windows 10 DESKTOP-SJAJN20 để kiểm tra xem là Sophos XGS có thực hiện ngắt kết nối internet của máy này khi phát hiện có virus hay không và sau khi xử lý virus thành công thì có trả kết nối internet về cho máy hay không.
4.Các bước thực hiện
- Thực hiện đăng nhập tài khoản Sophos Central trên Sophos XGS
- Cấu hình tính năng Security Heartbeat trong policy
- Thực hiện chạy file virus trên máy Windows 10 và kiểm tra xem máy tính đã bị cách ly khỏi hệ thống chưa.
- Kiểm tra việc tự động xử lý virus và trả lại kết nối cho máy tính Windows 10.
5.Hướng dẫn cấu hình.
5.1. Thực hiện đăng nhập tài khoản Sophos Central trên Sophos XGS
Đăng nhập vào trang quản trị của Sophos Firewall vào PROTECT > Central Synchronization và nhấn Register.
Nhập tài khoản và mật khẩu của Sophos Central vào bảng Register device with Sophos Central và nhấn Register.
Đợi vài giây thì đăng nhập thành công, lúc này tính năng Security Heartbeat sẽ tự động được bật.
Sau khi đã đăng nhập và bật tính năng Security Heartbeat chúng ta sẽ vào MONITOR & ANALYZE > Control Center để xem trạng thái của các máy tính được cập nhập bằng Security Heartbeat.
Chúng ta sẽ thấy rằng hiện tại có 2 thiết bị đang gửi tín hiệu Security Heartbeat đến firewall Sophos XGS và cả 2 thiết bị này đều đang ở trạng thái màu xanh lá nghĩa là thiết bị hiện tại đang ở trạng thái an toàn.
Nếu endpoint dưới thiết bị phát hiện ra virus thì nó sẽ ngay lập tức chuyển trạng thái của thiết bị và gửi trạng thái này đến firewall bằng Security Heartbeat để firewall cập nhật lại trạng thái của thiết bị và tùy vào mức độ nguy hiểm của virus thì trạng thái có thể được chuyển sang vàng hoặc đỏ.
Khi có thiết bị có trạng thái vàng hoặc đỏ các có thể nhấn vào biểu tượng ở ô Warning (trạng thái vàng), Missing (trạng thái đỏ) hoặc At risk(trạng thái đỏ) để xem là thiết bị nào đang gặp sự cố.
5.2.Cấu hình tính năng Security Heartbeat trong policy.
Để cấu hình tính năng Security Heartbeat chúng ta cần vào policy để cấu hình, ở đây mình sẽ vào policy cho phép các thiết bị trong mạng nội bộ truy cập internet để cấu hình.
Vào PROTECT > Rules and policies > nhấn chuột trái vào tên policy để chỉnh sửa.
Chúng ta sẽ chú ý đến phần Configure Synchronized Security Heartbeat.
Ở Minimum source HB permitted với lựa chọn GREEN có nghĩa là khi thiết bị có trạng thái màu xanh lá mới có thể truy cập được internet, còn các thiết bị có trạng thái màu vàng hoặc đỏ sẽ bị cách ly không thể truy cập internet và chỉ được gỡ cách ly khi trạng thái của thiết bị này không còn là màu đỏ.
Với lựa chọn Block clients with no heartbeat lựa chọn này có nghĩa là nếu một máy tính trong hệ thống không có cài đặt endpoint thì tường lửa Sophos sẽ cách ly thiết bị này lại không cho truy cập internet cũng như giao tiếp với các thiết bị trong cùng lớp mạng.
Sau khi cấu hình xong nhấn Save để lưu lại.
5.3.Thực hiện chạy file virus trên máy Windows 10 và kiểm tra xem máy tính đã bị cách ly khỏi hệ thống chưa.
Trước tiên chúng ta sẽ thực hiện lệnh ping đến 8.8.8.8 để đảm bảo rằng máy tính vẫn đang truy cập internet với trạng thái của Sophos Endpoint là màu xanh.
Để download file virus test vào trang eicar.com và nhấn DOWNLOAD ANTI MALWARE TESTFILE.
Tiếp theo nhấn vào eicar.com để tải xuống file virus test này.
Sau khi tải xuống thì Sophos Endpoint sẽ phát hiện ra virus này. Lúc này Sophos Endpoint sẽ chuyển trạng thái của máy tính này sang màu vàng và đưa ra cảnh báo cũng như ngắt truy cập internet của máy tính này.
Sau khi chuyển trạng thái của máy tính có virus sang màu vàng, Sophos Endpoint sẽ gửi tín hiệu Security Heartbeat đến cho tường lửa Sophos để tường lửa Sophos cập nhật trạng thái của thiết bị này.
Để kiểm trang chúng ta quay lại trang quản trị của Sophos, vào Dashboard > Security Heartbeat chúng ta sẽ thấy hiện tại đang có 1 máy ở trạng thái màu vàng Warning.
Để xem chi tiết máy nào đang ở trạng thái này chúng ta nhấn vào số 1 ở Warning lúc này tường lửa Sophos sẽ hiển thị ra thông tin của máy đang có trang thái màu vàng.
Sophos Endpoint sẽ tự động xử lý file virus trên máy tính đó, sau khi xử lý xong Sophos Endpoint sẽ thông báo là file virus đã được Clean up và sẽ trả trạng thái của máy tính này về màu xanh lá.
Tiếp đó nó sẽ gửi thông tin trạng thái của máy tính này đến Sophos firewall bằng Security Heartbeat và khi Sophos firewall cập nhật trạng thái của máy tính này là màu xanh thì sẽ trả lại kết nối internet như lúc ban đầu cho máy tính này.