08/10/2024, Sophos tự hào thông báo về việc ra mắt hai sản phẩm tường lửa Sophos Firewall được chờ đợi nhất: Dòng Tường Lửa Desktop Series XGS mới và Hệ Điều Hành Sophos Firewall OS (SFOS) v21. Đây là những cải tiến quan trọng nhằm mang đến cho khách hàng hiệu suất tối ưu, tiết kiệm năng lượng và bảo vệ mối đe dọa mạnh mẽ hơn bao giờ hết.

1. Dòng Tường Lửa Desktop Series XGS Mới

Hiệu suất và Tiết kiệm Năng lượng Vượt trội

Sophos ra mắt 9 mẫu thiết bị để bàn thế hệ thứ hai, được thiết kế với kiến trúc cực kỳ hiệu quả nhằm mang lại hiệu suất hàng đầu trong ngành và tiết kiệm năng lượng tối đa. Các model mới này cung cấp cải tiến lên đến 2 lần so với hiệu suất tổng thể của các phiên bản trước đó. Nhờ vào khả năng tăng tốc nâng cao của công nghệ FastPath ảo trong SFOS v21, cùng với kiến trúc tối ưu hóa ở tám trong chín mẫu mới, Sophos đạt được sự cải thiện lên đến 3 lần về băng thông IPsec VPN so với thế hệ trước. Điều này đảm bảo rằng mạng của bạn luôn được bảo vệ khỏi các mối đe dọa mã hóa và các cuộc tấn công zero-day mới nhất. 

Giá Trị Vượt Trội cho Doanh Nghiệp Vừa và Nhỏ (SMB) và Các Chi Nhánh

Các thiết bị XGS mới không chỉ mang lại hiệu suất cao mà còn tiết kiệm chi phí sở hữu (TCO). Chúng tiêu thụ chỉ bằng một nửa năng lượng so với các model trước đây mà vẫn duy trì được hiệu suất và bảo vệ tối ưu. Thiết kế tản nhiệt cải tiến và bốn mẫu thiết bị không quạt giúp hoạt động êm ái trong các môi trường yêu cầu độ yên tĩnh cao.

Bảo Vệ Mối Đe Dọa Tăng Gấp 4 Lần

Sophos đã tiến hành kiểm tra kỹ lưỡng các tường lửa dòng XGS mới bằng phương pháp kiểm tra tiêu chuẩn của ngành để đảm bảo so sánh công bằng với các đối thủ cạnh tranh. Kết quả là, tường lửa Sophos đạt được sự cải thiện từ 2.7 đến 4 lần về băng thông bảo vệ mối đe dọa so với dữ liệu trước đây, khẳng định vị thế dẫn đầu của Sophos trên thị trường cạnh tranh.

Kết Nối Tốc Độ Cao

Các model XGS mới được trang bị nhiều tùy chọn kết nối tốc độ cao, bao gồm:

• Giao diện 2.5 GE trên tất cả các model.
• Wi-Fi 6 trên tất cả các model w, hỗ trợ đồng thời 2.4/5 GHz.
• Giao diện sợi quang kép 10G SFP+ trên model XGS 138*.
• Module 5G tùy chọn* cho các model có khe cắm mô-đun, cung cấp giải pháp dự phòng hoặc chuyển đổi cho SD-WAN.

Thông tin chi tiết hơn về các tính năng kết nối có thể được tìm thấy trên trang web của Sophos.

2. Hệ Điều Hành Sophos Firewall OS (SFOS) v21

Phiên bản SFOS v21 của Sophos Firewall không chỉ hỗ trợ các nguồn dữ liệu mối đe dọa từ bên thứ ba để nâng cao khả năng Phản hồi Mối đe dọa Chủ động mà còn bổ sung nhiều cải tiến về khả năng mở rộng và tính khả dụng cao cho hệ thống phân tán. Ngoài ra, SFOS v21 còn mang đến một số tính năng được khách hàng yêu cầu nhiều nhất, bao gồm hỗ trợ chứng chỉ Let’s Encrypt.

Các Tính Năng Nổi Bật của SFOS v21

• Phản hồi Mối đe dọa Chủ động với Nguồn Dữ liệu Bên Thứ Ba: Mở rộng khả năng phản hồi tự động bằng cách tích hợp thông tin từ các nguồn dữ liệu mối đe dọa chuyên biệt từ bên thứ ba, phục vụ cho các khu vực hoặc ngành công nghiệp cụ thể như y tế, giáo dục và công nghệ vận hành.
• Khả Năng Mở Rộng và Độ Tin Cậy Nâng Cao: Cải thiện hiệu suất và độ tin cậy cho VPN IPsec, triển khai tính khả dụng cao, xác thực và bảo vệ web.
• Hỗ Trợ Nâng Cấp Liên Tục: Cho phép nâng cấp liền mạch từ các thiết bị XG hoặc XGS Series hiện có lên phần cứng mới nhất với chức năng sao lưu và phục hồi mọi thứ (any-to-any backup and restore) cùng hỗ trợ ánh xạ cổng (port-mapping).
• Cải Tiến Quản Lý và Giao Diện Người Dùng: Giao diện quản lý được làm mới, phản hồi nhanh hơn, quản lý đối tượng mạng hiệu quả hơn và hỗ trợ chứng chỉ Let’s Encrypt.
• Triển Khai Không Cần Can Thiệp (Zero-Touch Deployment): Được bổ sung trong phiên bản v20 MR1 và hiện đang được cài đặt trên các model XGS Series desktop thế hệ thứ hai mới, giúp dễ dàng thiết lập trong Sophos Central và triển khai trực tiếp các thiết bị tường lửa mới đến các chi nhánh.

Hạn Chế và Yêu Cầu Nâng Cấp

Lưu ý rằng khách hàng đang sử dụng SFOS trên các thiết bị XG hoặc SG Series cần phải nâng cấp lên XGS Series để tận hưởng các tính năng mới này. Chức năng sao lưu và phục hồi mọi thứ (any-to-any backup/restore) giúp quá trình nâng cấp từ XG sang XGS trở nên đơn giản và liền mạch thông qua trợ lý ánh xạ cổng (port mapping assistant).

3. Tổng Kết

Dù bạn là khách hàng hiện tại của Sophos đang chuẩn bị nâng cấp tường lửa hoặc đang sử dụng tường lửa của đối thủ và đang xem xét các tùy chọn gia hạn, Sophos Firewall luôn đạt được đánh giá cao từ khách hàng và không ngừng nâng cao giá trị trong suốt vòng đời sản phẩm.

Để biết thêm thông tin chi tiết, vui lòng liên hệ với đối tác hoặc đại diện Sophos tại địa phương ( Vacif) hoặc truy cập trang web Sophos.com/Firewall.

Sophos – Bảo vệ mạng của bạn với công nghệ tiên tiến nhất.

Trong quá trình sử dụng thiết bị tường lửa Sophos XGS, có thể bạn sẽ gặp trường hợp quên mật khẩu tài khoản admin hoặc muốn thay đổi mật khẩu vì lý do bảo mật. Bài viết này sẽ hướng dẫn chi tiết cách reset mật khẩu tài khoản admin trên thiết bị tường lửa Sophos XGS, áp dụng cho phiên bản firmware 21.

2. Yêu cầu trước khi thực hiện.

Trước khi bắt đầu, bạn cần chuẩn bị các công cụ và điều kiện sau:

• Thiết bị Sophos XGS.
• Cáp console để kết nối giữa thiết bị Sophos XGS và máy tính.
• Máy tính có phần mềm Putty (hoặc một phần mềm tương tự) để truy cập giao diện console của thiết bị.

Lưu ý quan trọng

• Không cần kết nối mạng: Toàn bộ quá trình thực hiện qua kết nối cục bộ với cáp console, không cần mạng.
• Không mất dữ liệu: Việc reset mật khẩu không ảnh hưởng đến dữ liệu hay cấu hình thiết bị.

3. Hướng dẫn chi tiết các bước thực hiện.

Bước 1: Kết nối thiết bị Sophos XGS với máy tính qua cổng console

• Trước tiên, bạn cần sử dụng cáp console để kết nối giữa cổng console của thiết bị Sophos XGS và máy tính cá nhân. Điều này cho phép bạn truy cập vào giao diện console của thiết bị để thực hiện các thao tác quản trị.

Bước 2: Mở MobaXterm (hoặc Putty) và kết nối với thiết bị.

• Mở MobaXterm trên máy tính.
• Nhấp vào Session ở góc trái phía trên, sau đó chọn Serial.
• Trong cửa sổ hiện ra, chọn Serial Port (thường là COM1 hoặc COM3 tùy vào cổng kết nối máy tính) và Speed là 38400 baud.
• Nhấp OK để bắt đầu phiên kết nối với thiết bị Sophos XGS.

Bước 3: Nhập mật khẩu

• Khi kết nối thành công, giao diện console của Sophos XGS sẽ yêu cầu nhập mật khẩu. Nhập một mật khẩu bất kỳ để cố tình tạo lỗi xác thực. Hệ thống sẽ hiển thị thông báo “Authentication failed” (Xác thực thất bại).
• Khi hệ thống yêu cầu nhập mật khẩu lần nữa, thay vì nhập mật khẩu, bạn gõ lệnh RESET và nhấn Enter.
• Hệ thống sẽ đưa bạn vào menu để thực hiện việc đặt lại mật khẩu cho tài khoản admin.

Bước 4: Chọn reset mật khẩu cho tài khoản admin

• Khi menu hiện ra, chọn mục số 4. Reset password for admin user.
• Nhập y để xác nhận việc reset mật khẩu.
• Firewall thông báo The password’s been reset là thành công.

Bước 5. Kiểm tra lại kết nối.

Password sẽ được reset về mặc định: admin

Sau khi hoàn tất, bạn có thể khởi động lại thiết bị nếu cần và đăng nhập với mật khẩu mới để đảm bảo quá trình đã thành công.

Sau khi đã đổi reset password, lần đầu đăng nhập lên web GUI sẽ cần phải đổi lại password.

Master key trên thiết bị tường lửa Sophos XG cung cấp thêm một lớp bảo mật bằng cách mã hóa các thông tin nhạy cảm như mật khẩu, bí mật và các khóa bảo mật khác. Trong trường hợp bạn cần thay đổi hoặc quên mật khẩu Master Key, bài viết này sẽ hướng dẫn bạn cách reset mật khẩu này một cách an toàn và chính xác.

Hướng dẫn được thực hiện trên phiên bản firmware v21.

Lưu ý quan trọng

• Khóa chính lưu trữ an toàn bảo vệ tất cả các thông tin nhạy cảm được lưu trên Sophos XG. Việc thay đổi hoặc reset master key cần được thực hiện cẩn thận.
• Bạn không thể khôi phục các bản sao lưu được mã hóa bằng master key cũ sau khi reset master key mới.
• Chỉ tài khoản admin mới có quyền reset master key. Nếu bạn không có quyền truy cập vào tài khoản này, bạn sẽ không thể thực hiện quá trình reset.

2. HƯỚNG DẪN CHI TIẾT

Bước 1: Đăng nhập vào thiết bị Sophos XG

Bạn có thể lựa chọn 1 trong 2 cách sau:

Cách 1: Đăng nhập qua giao diện web

• Mở trình duyệt web và truy cập vào địa chỉ IP của thiết bị Sophos XG.
• Sử dụng tài khoản admin để đăng nhập vào giao diện web quản trị.
• Sau khi đăng nhập, nhấp vào biểu tượng Admin ở góc trên bên phải.
• Chọn Console để truy cập vào giao diện dòng lệnh trực tiếp từ giao diện web.

Cách 2: Đăng nhập qua SSH

• Mở phần mềm Putty trên máy tính của bạn.
• Thiết lập kết nối SSH tới địa chỉ IP của Sophos bằng tài khoản admin.
• Sau khi kết nối thành công, bạn sẽ thấy giao diện dòng lệnh của Sophos.

Bước 2: Truy cập tiện ích cấu hình hệ thống

• Tại giao diện dòng lệnh (CLI), hệ thống sẽ hiển thị một menu.
• Nhấn phím 2 để chọn System Configuration (Cấu hình hệ thống).

Bước 3: Truy cập tiện ích reset master key

Từ menu cấu hình hệ thống, nhấn phím 5 để vào tiện ích Reset secure storage master key (Reset khóa chính lưu trữ an toàn).

Bước 4: Đặt lại master key

Nhập mật khẩu tài khoản admin khi được yêu cầu. 

Tạo một khóa mới thỏa mãn các yêu cầu sau: 

• Tối thiểu 12 ký tự
• Có chữ hoa
• Có chữ thường
• Có số (0-9)
• Có ký tự đặc biệt (từ danh sách cho sẵn)

Nhập lại khóa mới một lần nữa để xác nhận. 

Sau khi hoàn tất, hệ thống sẽ hiển thị thông báo “Secure storage master key has been reset.”

Chi tiết sơ đồ mạng

AD server có địa chỉ IP 10.0.0.12/24

Các máy trạm trong mạng được cấp IP động với lớp mạng 172.17.17.0/24

Gateway của các máy trạm là thiết bị Sophos XGS có IP là 172.17.17.1/24

Tình huống cấu hình

Bài viết sẽ thực hiện cấu hình STAS trên thiết bị Sophos firewall và AD server để máy trạm của người dùng trong môi trường domain chỉ cần đăng nhập username và password là có thể được xác thực cả trên Sophos firewall. Tài khoản username và password đã được đồng bộ hoá giữa AD server và Sophos firewall. Đồng thời tạo rule để chặn truy cập web và app cho các users và group.

Đồng thời sử dụng firewall rule với source identity là group và user và web policy để kiểm tra hoạt động mạng của người dùng domain, show các thông tin về group, user trên các giao diện report, monitoring, logging

Các bước cấu hình

• Cấu hình ADS 
• Download STAS trên AD 
• Cài đặt STAS trên AD
• Cấu hình STAS trên AD
• Thêm AD server vào Sophos XGS để xác thực user doman
• Điều chỉnh cấu hình service để xác thực bằng AD server 
• Cấu hình STAS trên XGS firewall
• Tạo firewall rule với source identify là group, user để sử dụng xác thực STAS
• Kiểm tra hoạt động STAS 
• Kiểm tra giao diện report, monitoring, logging
• Kiểm tra tính năng chặn web app trên các máy trạm.

Hướng dẫn cấu hình

B1: Cấu hình ADS

• Cấu hình trên AD 
• Đăng nhập vào AD server với địa chỉ IP là 10.0.0.200

• Sau khi vào được trang giao diện của vmware esxi, chúng ta bắt đầu tạo 1 con AD mới. Chuột phải vào Virtual Machines > CreateRegister VM 

• Chọn Create a new virtual machine sau đó bấm next 

• Đặt tên cho máy là AD-son > Guest OS family chọn windows > Guest OS version chọn Microsoft Windows Server 2019 (64-bit)

• Storage ở đây mình chỉ có 1 kho dữ liệu và mình chọn 

• CPU chọn 2 > Memory chọn 4096 MB > hard disk chọn 40 GB Network adapter 1 chọn VMnetwork > CD/DVD Drive 1 chọn datastore ISO file > video card vào mục default setttings và chọn file window iso 

• Sau khi nhấn finish ta sẽ có được máy ảo AD-son

• Bấm vào máy ảo và bắt đầu khởi chạy > đăng nhập vào acc admin 

• Khi vào sẽ hiện giao diện quản trị

• Tiếp theo chúng ta vào thư mục sophos ở ổ đĩa C để cấp quyền cho ứng dụng

– Nhấn Edit và tìm từ khóa Administrator (SONVACIF\Administrator) sau đó tick chọn tất cả các quyền

Để cấu hình quyền của người dùng STAS trên Bộ điều khiển miền (Domain Controller), làm như sau:

• Mở Command Prompt và nhập dsa.msc để mở Active Directory Users and Computers.
• Nhấp chuột phải vào người dùng STAS và chọn Properties.
• Chọn Member of và nhấp Add.
• Thêm người dùng vào các nhóm Domain Users và Event Log Readers.
• Nhấp OK khi hoàn thành.

• Tiếp theo nhập vào thanh tìm kiếm gõ từ khóa local security policy để xem setting bảo mật và tick chọn 2 nút Success và Failure

• Tiếp theo vào mục user rights Assignment >> Log on as a service >> add user son và Administrator vào 

• Vào Advanced Audit Policy Configuration >> system Audit Policies >> Account Logon >> tick chọn cả 2 

• Tiếp theo vào mục Logon/Logoff >> tick chọn cả 2

B3: Cài đặt STAS trên AD Server

• Đăng nhập vào trang user portal bằng các tài khoản đã tạo ở server manager để tải STAS
• Download Client >> Download for windows

• Khởi chạy ứng dụng bằng quyền admin >> chọn SSO Suite

– Nhập username và password tài khoản administrator domain (administrator@sonvacif.com) >> bấm next

– Nhấn finish để hoàn thành cài đặt

B4: Cấu hình STAS

– Mở STAS bằng cách double vào Sophos Transparent Authentication Suite trên màn hình desktop

– Trên STA Collector: 

+ Ở mục Sophos Appliance >> Nhấn Add để thêm địa chỉ IP của port LAN của sophos XGS (ip port 1 LAN của mình là 192.168.223.0/24 và IP của AD server 10.0.0.0/24)

+ Ở Workstation Polling Settings: Chọn WMI

+ Ở Logoff Detection Settings và Appliance Port >> Giữ cấu hình default

-> Nhấn Apply

+ STA Agent sẽ giám sát các yêu cầu xác thực người dùng và gửi thông tin đến bộ thu thập để xác thực Sau đó STA Collector sẽ thu thập các yêu cầu xác thực người dùng từ tác nhân, xử lý các yêu cầu và gửi chúng đến tường lửa để xác thực.

Trên STA Agent

Ở mục Monitor Networks >> Nhấn Add để thêm LAN network mà bạn muốn xác thực

-> Nhấn Apply

– Ở General tab

+ Nhập NetBIOS của domain

+ Nhập FQDN của domain

+ Nhấn Start để khởi động STAS

-> Nhấn Apply -> Nhấn OK

B5: Thêm AD server vào Sophos XGS để xác thực user domain

Cấu hình trên Sophos XGS

Authentication -> Server -> Nhấn Add

• Ở mục Server type: Chọn Active Directory
• Server name: Nhập tên server mà bạn muốn quản lý
• Server IP/domain: Nhập địa chỉ IP của AD
• Port: 389
• NetBIOS domain: Nhập tên NetBIOS của AD
• ADS username: Nhập administrator
• Password: Nhập password của tài khoản administrator
• Connection security: Chọn Simple
• Display name attribute: Nhập tên cho server mà bạn muốn quản lý
• Email address attribute: Nhập email mà bạn muốn (có thể để trống)
• Domain name: Nhập domain name

– Search queries: Nhập domain name theo định dạng queries (VD: dc=vcf,dc=com)

-> Nhấn Test connection -> Nhấn Save

• Khi tạo xong sẽ hiện Server AD-son
• Vào import để add group và user từ AD server

– Tick chọn group và users mình muốn add 

-> Bấm next 

B6: Điều chỉnh cấu hình Service cho xác thực bằng AD server

Authentication -> Services

Ở Firewall authentication methods

• Chọn AD của bạn và bỏ chọn Local
• Ở Default group: Chọn OU mà bạn muốn thêm

-> Nhấn Apply

B7: Cấu hình STAS trên XGS firewall

• Authentication -> Bật STAS bằng cách chọn ON và nhấn Active STAS

• Nhập địa chỉ IP của AD Server ở mục Collector IP -> Nhấn Save

B8: Vào máy ảo VMWare Workstation để tạo client 

• Ở đây mình đã tạo 2 máy có tên là Client-PC1 và Client-PC3
• Client -PC1 có địa chỉ IP LAN là 172.17.17.22
• Client-PC3 có địa chỉ IP LAN là 172.17.17.21

• Sau khi đăng nhập vào các user thì chúng ta quay lại AD server để kiểm tra Live users

• Tiếp theo để có thể hiện user thì chúng ta cần phải đăng nhập vào trang user portal >> đăng nhập vào user

• Sau đó quay lại trang Sophos >> Authentication >> users >> nhấn Purge AD users để hiện users lên

• Tiếp tục vào mục current activities >> Live users để kiểm tra các users đang hoạt động (Sau khi thành công các bước trên mới hiện được các Live users) 

• Tiếp theo vào Rules and policies >> Firewall Rules >> Add firewall rule >> new firewall rule
• Rule name: Block user domain 
• Tick chọn log firewall traffic ghi lại lưu lượng truy cập 
• Source zones >> LAN
• Destination zones >> WAN 
• Source networks and devices >> Chọn IP các máy users mà mình đã tạo để áp dụng các quy tắc
• Destination network >> Any
• Tick chọn match know users >> chọn user hoặc group mà mình muốn xác thực

• Tiếp theo >> tạo liên kết NAT >> create linked NAT rule >> mục translated source (SNAT) >> chọn MASQ

• Để chặn web và app thì tick chọn vào web policy >> chọn policy minh đã tạo (ở đây mình đã tạo policy để chặn instagram và youtube) >>  tick chọn Block QUIC protocol (sử dụng QUIC có thể vượt qua quá trình lọc web. Việc bật tùy chọn này sẽ đảm bảo các trang web đó sử dụng HTTP/S) >> Nhấn Save  

• Tiếp theo >> vào phần Administrator >> tick chọn Client ở zone LAN >> nhấn apply

• Sau đó chúng ta vào lại 2 máy ảo PC 1 và PC 3 >> ở PC 3 vào instagram thì bị chặn còn PC 1 thì vẫn vô được bình thường (Lưu ý các máy phải trong domain và cùng chung 1 mạng LAN thì mới làm được)

Chi tiết sơ đồ mạng

AD server có địa chỉ IP 10.0.0.12/24

Các máy trạm trong mạng được cấp IP động với lớp mạng 172.17.17.0/24

Gateway của các máy trạm là thiết bị Sophos XGS có IP là 172.17.17.1/24

Tình huống cấu hình

Bài viết sẽ thực hiện cấu hình STAS trên thiết bị Sophos firewall và AD server để máy trạm của người dùng trong môi trường domain chỉ cần đăng nhập username và password là có thể được xác thực cả trên Sophos firewall. Tài khoản username và password đã được đồng bộ hoá giữa AD server và Sophos firewall. Đồng thời tạo rule để chặn truy cập web và app cho các users và group.

Đồng thời sử dụng firewall rule với source identity là group và user và web policy để kiểm tra hoạt động mạng của người dùng domain, show các thông tin về group, user trên các giao diện report, monitoring, logging

Các bước cấu hình

Cấu hình ADS 

Download STAS trên AD 

Cài đặt STAS trên AD

Cấu hình STAS trên AD

Thêm AD server vào Sophos XGS để xác thực user doman

Điều chỉnh cấu hình service để xác thực bằng AD server 

Cấu hình STAS trên XGS firewall

Tạo firewall rule với source identify là group, user để sử dụng xác thực STAS

Kiểm tra hoạt động STAS 

Kiểm tra giao diện report, monitoring, logging

Kiểm tra tính năng chặn web app trên các máy trạm.

Hướng dẫn cấu hình

B1: Cấu hình ADS

Cấu hình trên AD 

Đăng nhập vào AD server với địa chỉ IP là 10.0.0.200

Sau khi vào được trang giao diện của vmware esxi, chúng ta bắt đầu tạo 1 con AD mới. Chuột phải vào Virtual Machines > CreateRegister VM 

Chọn Create a new virtual machine sau đó bấm next 

Đặt tên cho máy là AD-son > Guest OS family chọn windows > Guest OS version chọn Microsoft Windows Server 2019 (64-bit)

Storage ở đây mình chỉ có 1 kho dữ liệu và mình chọn 

CPU chọn 2 > Memory chọn 4096 MB > hard disk chọn 40 GB Network adapter 1 chọn VMnetwork > CD/DVD Drive 1 chọn datastore ISO file > video card vào mục default setttings và chọn file window iso 

Sau khi nhấn finish ta sẽ có được máy ảo AD-son

Bấm vào máy ảo và bắt đầu khởi chạy > đăng nhập vào acc admin 

Khi vào sẽ hiện giao diện quản trị

Tiếp theo chúng ta vào thư mục sophos ở ổ đĩa C để cấp quyền cho ứng dụng

Nhấn Edit và tìm từ khóa Administrator (SONVACIF\Administrator) sau đó tick chọn tất cả các quyền

Tiếp theo nhập vào thanh tìm kiếm gõ từ hóa local security policy để xem setting bảo mật và tick chọn 2 nút Success và Failure

Tiếp theo vào mục user rights Assignment >> Log on as a service >> add user son và Administrator vào 

Vào Advanced Audit Policy Configuration >> system Audit Policies >> Account Logon >> tick chọn cả 2 

Tiếp theo vào mục Logon/Logoff >> tick chọn cả 2

B3: Cài đặt STAS trên AD server

Đăng nhập vào trang user portal bằng các tài khoản đã tạo ở server manager để tải STAS

Download Client >> Download for windows

Khởi chạy ứng dụng bằng quyền admin >> chọn SSO Suite

Nhập username và password tài khoản administrator domain (administrator@sonvacif.com) >> bấm next

– Nhấn finish để hoàn thành cài đặt

B4: Cấu hình STAS

– Mở STAS bằng cách double vào Sophos Transparent Authentication Suite trên màn hình desktop

– Trên STA Collector: 

+ Ở mục Sophos Appliance >> Nhấn Add để thêm địa chỉ IP của port LAN của sophos XGS (ip port 1 LAN của mình là 192.168.223.0/24 và IP của AD server 10.0.0.0/24)

+ Ở Workstation Polling Settings: Chọn WMI

+ Ở Logoff Detection Settings và Appliance Port >> Giữ cấu hình default

-> Nhấn Apply

+ STA Agent sẽ giám sát các yêu cầu xác thực người dùng và gửi thông tin đến bộ thu thập để xác thực Sau đó STA Collector sẽ thu thập các yêu cầu xác thực người dùng từ tác nhân, xử lý các yêu cầu và gửi chúng đến tường lửa để xác thực.

Trên STA Agent

Ở mục Monitor Networks >> Nhấn Add để thêm LAN network mà bạn muốn xác thực

-> Nhấn Apply

– Ở General tab

+ Nhập NetBIOS của domain

+ Nhập FQDN của domain

+ Nhấn Start để khởi động STAS

-> Nhấn Apply -> Nhấn OK

B5: Thêm AD server vào Sophos XGS để xác thực user domain

Cấu hình trên Sophos XGS

Authentication -> Server -> Nhấn Add

• Ở mục Server type: Chọn Active Directory
• Server name: Nhập tên server mà bạn muốn quản lý
• Server IP/domain: Nhập địa chỉ IP của AD
• Port: 389
• NetBIOS domain: Nhập tên NetBIOS của AD
• ADS username: Nhập administrator
• Password: Nhập password của tài khoản administrator
• Connection security: Chọn Simple
• Display name attribute: Nhập tên cho server mà bạn muốn quản lý
• Email address attribute: Nhập email mà bạn muốn (có thể để trống)
• Domain name: Nhập domain name
• Search queries: Nhập domain name theo định dạng queries (VD: dc=vcf,dc=com)

-> Nhấn Test connection -> Nhấn Save

• Khi tạo xong sẽ hiện Server AD-son
• Vào import để add group và user từ AD server

Tick chọn group và users mình muốn add 

-> Bấm next 

B6: Điều chỉnh cấu hình Service cho xác thực bằng AD server

Authentication -> Services

Ở Firewall authentication methods

• Chọn AD của bạn và bỏ chọn Local
• Ở Default group: Chọn OU mà bạn muốn thêm

-> Nhấn Apply

B7: Cấu hình STAS trên XGS firewall

• Authentication -> Bật STAS bằng cách chọn ON và nhấn Active STAS

• Nhập địa chỉ IP của AD Server ở mục Collector IP -> Nhấn Save

B8: Vào máy ảo VMWare Workstation để tạo client 

• Ở đây mình đã tạo 2 máy có tên là Client-PC1 và Client-PC3
• Client -PC1 có địa chỉ IP LAN là 172.17.17.22
• Client-PC3 có địa chỉ IP LAN là 172.17.17.21

Sau khi đăng nhập vào các user thì chúng ta quay lại AD server để kiểm tra Live users

Tiếp theo để có thể hiện user thì chúng ta cần phải đăng nhập vào trang user portal >> đăng nhập vào user

Sau đó quay lại trang Sophos >> Authentication >> users >> nhấn Purge AD users để hiện users lên

Tiếp tục vào mục current activities >> Live users để kiểm tra các users đang hoạt động (Sau khi thành công các bước trên mới hiện được các Live users) 

• Tiếp theo vào Rules and policies >> Firewall Rules >> Add firewall rule >> new firewall rule

• Rule name: Block user domain 
• Tick chọn log firewall traffic ghi lại lưu lượng truy cập 
• Source zones >> LAN
• Destination zones >> WAN 
• Source networks and devices >> Chọn IP các máy users mà mình đã tạo để áp dụng các quy tắc
• Destination network >> Any
• Tick chọn match know users >> chọn user hoặc group mà mình muốn xác thực

Tiếp theo >> tạo liên kết NAT >> create linked NAT rule >> mục translated source (SNAT) >> chọn MASQ

Để chặn web và app thì tick chọn vào web policy >> chọn policy mình đã tạo (ở đây mình đã tạo policy để chặn instagram và youtube) >>  tick chọn Block QUIC protocol (sử dụng QUIC có thể vượt qua quá trình lọc web. Việc bật tùy chọn này sẽ đảm bảo các trang web đó sử dụng HTTP/S) >> Nhấn Save  

Tiếp theo >> vào phần Administrator >> tick chọn Client ở zone LAN >> nhấn apply

Sau đó chúng ta vào lại 2 máy ảo PC 1 và PC 3 >> ở PC 3 vào instagram thì bị chặn còn PC 1 thì vẫn vô được bình thường (Lưu ý các máy phải trong domain và cùng chung 1 mạng LAN thì mới làm được)

1. Overview 

+ Lọc địa chỉ MAC an toàn hơn lọc địa chỉ IP, vì địa chỉ MAC hiếm khi được thay đổi. Trong môi trường có DHCP, địa chỉ IP của máy chủ thay đổi linh hoạt, do đó, việc lọc địa chỉ MAC đáng tin cậy và khả thi hơn để xác định và lọc nguồn và đích của lưu lượng mạng.

+ Lọc địa chỉ MAC là biện pháp bảo mật phổ biến nhất để ngăn chặn truy cập mạng không mong muốn trong môi trường mạng không dây. Tường lửa được cấu hình để chỉ chấp nhận lưu lượng truy cập từ các địa chỉ MAC cụ thể và các thiết bị được phép sẽ nhận địa chỉ IP mới thông qua DHCP. Điều này có nghĩa là các thiết bị vẫn có thể giao tiếp với mạng. Mọi nỗ lực liên lạc bằng cách giả mạo địa chỉ IP đều bị chặn do địa chỉ MAC không khớp với địa chỉ MAC được phép.

2. Hướng dẫn cấu hình

• Ở đây mình chọn port 5 LAN đã cấp DHCP cho các máy tính và mình sẽ chặn các máy tính có ip của port 5 này.

• Tiếp theo mình chuyển qua máy tính đã cấp dhcp từ port 5 và xem địa chỉ MAC và địa chỉ dhcp cấp xuống. Bấm window + R để mở run >> gõ ncpa.cpl >> chọn kết nối ethernet (vì mình đã kết nối bằng dây vật lý nên cổng sẽ hiện kết nối)

• Sau khi nhấp vào ethernet sẽ hiện bảng này và chúng ta nhấp vào phần detail 

• Ở đây chúng ta sẽ để ý Physical Address: 48-2A-E3-0F-EF-1F >> ipv4 Address: 50.0.0.13 (cấp dhcp từ port 5) >> default Gateway: 50.0.0.1 (trỏ về từ port 5)

•  Vào firewall sophos, vào phần Host and services >> MAC host >> add (để tạo service MAC)

• Name* MAC_host >> Type* MAC address >> MAC address* địa chỉ MAC bạn tìm ở bước 2, ở đây mình có địa chỉ MAC của máy mình là 48:2A:E3:0F:EF:1E >> Nhấn Save để thêm địa chỉ MAC vừa nhập vào danh sách.

• Tiếp theo vào phần Rules and policies >> Firewall rules >> Add firewall rule.

• Rule name* Block_MAC >> Rule group mình chọn None vì không cần phải trong group >> Action chọn Drop (vì drop sẽ giúp ta lọc các gói phù hợp với quy tắc mình đã tạo này sau đó sẽ loại bỏ 1 cách âm thầm) >> Tick firewall traffic (để ghi lại nhật ký lưu lượng truy cập).

• Tiếp theo đến phần Source. Source zones* chọn LAN và Destination zones* chọn WAN (mạng nội bộ đi ra ngoài internet) >> Source networks and devices* chọn MAC_host (mình đã tạo ở phần host and services, đây là địa chỉ máy tính mình muốn chặn và nằm trong nội bộ LAN) >> Destination networks* chọn Any (mình muốn cho mạng nội bộ có thể ra ngoài bất kì mạng) >> Service* chọn Any (vì chưa có dịch vụ nào mình cần dùng) >> sau đó bấm Save để lưu cấu hình 

• Cấu hình thành công sẽ hiện

• Tiếp theo ra ngoài và enable rule mình mới tạo >> khi enable xong chúng ta sẽ chặn được máy có địa chỉ MAC mình đã gắn truy cập vào trang thegioifirewall

• Để truy cập vô internet lại được thì enable lại rule

• Để kiểm tra cách thức hoạt động của rule, chúng ta vào log viewer

• Chúng ta có thể thấy khi enable rule thì sẽ denied internet và khi disable thì sẽ allowed cho máy ra internet.

Bài viết này sẽ hướng dẫn cấu hình tính năng Security Heartbeat, tính năng này sẽ giúp hệ thống tự phản ứng và xử lý khi có sự cố xảy ra trong hệ thống mạng, giúp người quản trị tiết kiệm được thời gian xử lý sự cố cũng như tránh lây lan virus trong hệ thống.

2.Sơ đồ mạng

Chi tiết sơ đồ mạng:

• Chúng ta có đường internet được kết nối vào Port 2 của thiết bị firewall Sophos XGS với IP 192.168.2.103.
• Mạng LAN được cấu hình tại Port 1 với IP 10.146.41.1/24 và đã được cấu hình DHCP để cấp phát cho các thiết bị kết nối vào.
• Tiếp theo trong mạng LAN chúng ta sẽ có 2 thiết bị là máy chủ chạy Windows Server 2016 có tên là adserver, có IP là 10.146.41.10/24 và đã được cài đặt Sophos Endpoint.

• Máy laptop chạy Windows 10 có tên là DESKTOP-SJAJN20, có IP là 10.146.41.100/24 và đã được cài đặt Sophos Endpoint.

3.Tình huống cấu hình

Chúng ta sẽ thực hiện đồng bộ tài khoản trên Sophos XGS để kích hoạt tính năng Security Heartbeat, sau đó sẽ cấu hình tính năng này vào policy cho phép truy cập internet.

Sau đó chúng ta sẽ chạy thử 1 file virus test trên máy Windows 10 DESKTOP-SJAJN20 để kiểm tra xem là Sophos XGS có thực hiện ngắt kết nối internet của máy này khi phát hiện có virus hay không và sau khi xử lý virus thành công thì có trả kết nối internet về cho máy hay không.

4.Các bước thực hiện

• Thực hiện đăng nhập tài khoản Sophos Central trên Sophos XGS
• Cấu hình tính năng Security Heartbeat trong policy
• Thực hiện chạy file virus trên máy Windows 10 và kiểm tra xem máy tính đã bị cách ly khỏi hệ thống chưa.
• Kiểm tra việc tự động xử lý virus và trả lại kết nối cho máy tính Windows 10.

5.Hướng dẫn cấu hình.

5.1. Thực hiện đăng nhập tài khoản Sophos Central trên Sophos XGS

Đăng nhập vào trang quản trị của Sophos Firewall vào PROTECT > Central Synchronization và nhấn Register.

Nhập tài khoản và mật khẩu của Sophos Central vào bảng Register device with Sophos Central và nhấn Register.

Đợi vài giây thì đăng nhập thành công, lúc này tính năng Security Heartbeat sẽ tự động được bật.

Sau khi đã đăng nhập và bật tính năng Security Heartbeat chúng ta sẽ vào MONITOR & ANALYZE > Control Center để xem trạng thái của các máy tính được cập nhập bằng Security Heartbeat.

Chúng ta sẽ thấy rằng hiện tại có 2 thiết bị đang gửi tín hiệu Security Heartbeat đến firewall Sophos XGS và cả 2 thiết bị này đều đang ở trạng thái màu xanh lá nghĩa là thiết bị hiện tại đang ở trạng thái an toàn.

Nếu endpoint dưới thiết bị phát hiện ra virus thì nó sẽ ngay lập tức chuyển trạng thái của thiết bị và gửi trạng thái này đến firewall bằng Security Heartbeat để firewall cập nhật lại trạng thái của thiết bị và tùy vào mức độ nguy hiểm của virus thì trạng thái có thể được chuyển sang vàng hoặc đỏ.

Khi có thiết bị có trạng thái vàng hoặc đỏ các có thể nhấn vào biểu tượng ở ô Warning (trạng thái vàng), Missing (trạng thái đỏ) hoặc At risk(trạng thái đỏ) để xem là thiết bị nào đang gặp sự cố.

5.2.Cấu hình tính năng Security Heartbeat trong policy.

Để cấu hình tính năng Security Heartbeat chúng ta cần vào policy để cấu hình, ở đây mình sẽ vào policy cho phép các thiết bị trong mạng nội bộ truy cập internet để cấu hình.

Vào PROTECT > Rules and policies > nhấn chuột trái vào tên policy để chỉnh sửa.

Chúng ta sẽ chú ý đến phần Configure Synchronized Security Heartbeat.

Ở Minimum source HB permitted với lựa chọn GREEN có nghĩa là khi thiết bị có trạng thái màu xanh lá mới có thể truy cập được internet, còn các thiết bị có trạng thái màu vàng hoặc đỏ sẽ bị cách ly không thể truy cập internet và chỉ được gỡ cách ly khi trạng thái của thiết bị này không còn là màu đỏ.

Với lựa chọn Block clients with no heartbeat lựa chọn này có nghĩa là nếu một máy tính trong hệ thống không có cài đặt endpoint thì tường lửa Sophos sẽ cách ly thiết bị này lại không cho truy cập internet cũng như giao tiếp với các thiết bị trong cùng lớp mạng.

Sau khi cấu hình xong nhấn Save để lưu lại.

5.3.Thực hiện chạy file virus trên máy Windows 10 và kiểm tra xem máy tính đã bị cách ly khỏi hệ thống chưa.

Trước tiên chúng ta sẽ thực hiện lệnh ping đến 8.8.8.8 để đảm bảo rằng máy tính vẫn đang truy cập internet với trạng thái của Sophos Endpoint là màu xanh.

Để download file virus test vào trang eicar.com và nhấn DOWNLOAD ANTI MALWARE TESTFILE.

Tiếp theo nhấn vào eicar.com để tải xuống file virus test này.

Sau khi tải xuống thì Sophos Endpoint sẽ phát hiện ra virus này. Lúc này Sophos Endpoint sẽ chuyển trạng thái của máy tính này sang màu vàng và đưa ra cảnh báo cũng như ngắt truy cập internet của máy tính này.

Sau khi chuyển trạng thái của máy tính có virus sang màu vàng, Sophos Endpoint sẽ gửi tín hiệu Security Heartbeat đến cho tường lửa Sophos để tường lửa Sophos cập nhật trạng thái của thiết bị này.

Để kiểm trang chúng ta quay lại trang quản trị của Sophos, vào Dashboard > Security Heartbeat chúng ta sẽ thấy hiện tại đang có 1 máy ở trạng thái màu vàng Warning.

Để xem chi tiết máy nào đang ở trạng thái này chúng ta nhấn vào số 1 ở Warning lúc này tường lửa Sophos sẽ hiển thị ra thông tin của máy đang có trang thái màu vàng.

Sophos Endpoint sẽ tự động xử lý file virus trên máy tính đó, sau khi xử lý xong Sophos Endpoint sẽ thông báo là file virus đã được Clean up và sẽ trả trạng thái của máy tính này về màu xanh lá.

Tiếp đó nó sẽ gửi thông tin trạng thái của máy tính này đến Sophos firewall bằng Security Heartbeat và khi Sophos firewall cập nhật trạng thái của máy tính này là màu xanh thì sẽ trả lại kết nối internet như lúc ban đầu cho máy tính này.

Zero-day Protection sử dụng nhiều kỹ thuật phân tích khác nhau và kết hợp những kỹ thuật này để xác định xem một tệp có khả năng độc hại hay không. Điều này cung cấp nhiều thông tin hơn và giúp giảm các đánh giá sai về mối đe dọa.

Bài viết sẽ hướng dẫn các bạn cấu hình tính năng Zero-day Protection giúp phân tích đánh giá các tệp tải xuống đáng ngờ.

Sơ đồ mạng.

Hướng dẫn

Bước 1: Tạo Firewall Rule bật tính năng Zero-day Protection

Đi đến Rule & Policies > Add Firewall Rule > New Firewall Rule.

Chọn và điền các thông số sau:

Rule Name: Điền tên bạn muốn

Action: chọn Accept

Source zone: LAN

Source networks and devices: LAN1(IP PC: 192.168.1.10).

Destination Zones: WAN

Destination networks: Any

Services: Any

Trong Web Policy chọn Scan HTTP and Decrypted HTTPS và Use Zero-day Protection để sử dụng tính năng này.

Cick chọn Save.

Bước 2: Test kiểm tra tính năng Zero-day Protection

Để test bạn truy cập trang web sau: https://www.wicar.org/

chọn CLICK HERE TO TEST YOUR BROWSER AND NETWORK và click chọn các file test bên dưới

Hoặc bạn cũng có thể truy cập trang web: http://www.rexswain.com/eicar.html

Chọn download các file eicar bên dưới.

Để kiểm tra kết quả trên Sophos Firewall chọn Zero-day Protection > Dowloads and Attachments.

Các file test đều có status là Malicious và bị Blocked.

Với View Report bạn sẽ có 1 file tổng hợp về các thông tin chi tiết về file virus