Thiết bị tường lửa Sophos XG : Cách xác thực user bằng STAS trên kết nối IPsec VPN

Mục đích của bài viết

• Bài viết sẽ mô tác các bước làm thế nào để xác thực user từ 1 văn phòng chi nhánh khác bằng kết nối IPsec VPN Site-to-Site.

Sơ đồ mạng và kịch bản cấu hình

Để thực hiện cấu hình xác thực thông qua kết nối IPsec VPN chúng ta cần làm các bước như sau :

• Chuẩn bị 1 Win Server 2012 được cấu hình AD (Active Directory).
• Thiết lập kết nối VPN giũa hai thiết bị Sophos Firewall 1 và Sophos Firewall 2.
• Đồng bộ AD vào Sophos Firewall 1.
• Cài đặt Sophos Transparent Authentication Suite (STAS) lên Win Server 2012.
• Kiểm tra xác thực người dùng thành công trên Sophos Firewall 1.
• Đồng bộ AD vào Sophos Firewall 2.
• Chuẩn bị 1 máy Windows với địa chỉ IP thuộc lớp mạng LAN của Sophos Firewall 2, có Default Gateway trỏ về địa chỉ IP cổng LAN của Sophos Firewall 2 và đặt DNS là địa chỉ IP của Win Server.
• Sau đó cho máy Windows gia nhập Domain.
• Thực hiện thay đổi cài đặt trên phần mềm STAS và kiểm tra kết quả xác thực trên Sophos Firewall 2.

Thiết lập kết nối IPsec VPN Site-to-Site

• Chúng ta sẽ thiết lập kết nối IPsec VPN Site-to-Site giữa Sophos Firewall 1 và Sophos Firewall 2.

Cấu hình trên Sophos Firewall 1

• Nhấn Hosts and Service và nhấn Add để thêm local and remote LAN như hình sau.

• Nhấn VPN > IPsec Connections và nhấn Add để tạo kết nối VPN bằng các thông số như hình sau.
• Lưu ý: Nhớ tích vào 2 ô Active on save và Create firewall rule để khi nhấn Save kết nối sẽ tự động bật và tự động tạo firewall rule cho phép lưu lượng VPN.

• Sau khi nhấn Save, kết nối sẽ tự động bật và hiện thị như sau.

Cấu hình trên Sophos Firewall 2

• Nhấn Hosts and Service và nhấn Add để thêm local and remote LAN như hình sau.

• Nhấn VPN > IPsec Connections và nhấn Add để tạo kết nối VPN bằng các thông số như hình sau.
• Lưu ý: Nhớ tích vào 2 ô Active on save và Create firewall rule để khi nhấn Save kết nối sẽ tự động bật và tự động tạo firewall rule cho phép lưu lượng VPN.

• Sau khi nhấn Save, kết nối sẽ tự động bật và hiện thị như sau.

• Sau khi bật kết nối thì hai kết nối IPsec vừa tạo sẽ tự động kết nối với nhau thông qua status màu xanh lá cột Connection.
• Chúng ta đã có thể sử dụng các máy tính ở vùng LAN của 2 thiết bị và ping thấy nhau.

Đồng bộ AD vào Sophos Firewall 1 và cài đặt STAS trên Win Server để xác thực user

Đồng bộ AD vào Sophos Firewall 1

• Nhấn Authentication > Server và nhấn Add để đồng bộ AD bằng các thông tin như hình sau.
• Sau khi nhập các thông số chúng ta có thể nhấn Test Connection để kiểm tra kết nối đến Server và nhấn Save để lưu.

• Sau khi nhấn Save, chúng ta nhấn vào icon Import để import các gourp từ AD.

• Bảng Import Gourp Wizard hiện lên ở phần Overview nhấn Start.
• Ở Step 1 : Provide base DN for gourp, ở ô Base DN* nhấn vào mũi tên hướng xuống và chọn dc=VACIF,dc=com và sau đó nhấn nút “>”.

• Tiếp theo ở Step 2 : Select AD gourps to import chúng ta tích vào gourp mà chúng ta muốn import sau đó nhấn nút “>”.

• Tiếp theo nhấn nút “>” ba lần, nhấn OK và Close để hoàn thành.
• Tiếp theo nhấn Authentication > Service, ở Firewall authentication method, tích vào tên Server vừa được thêm ở Authentication server list và kéo tên server đó lên phía trên server Local và nhấn Apply.

Cài đặt STAS

• Nhấn Authentication > STAS và nhấn công tắc và nhấn Activate STAS ở Enable Sophos Transparent Authentication Suite để bật STAS.

• Nhấn Add new collector và nhập vào các thông số như hình sau và nhấn SAVE.

• Nhấn Authentication > Client Download > Sophos Transparent Authentication Suite (STAS) để download tệp cài đặt xuống Server.

• Sau đó nhấn đúp chuột vào file vừa tải để cài đặt.
• Trong khi cài đặt xong, một bảng xuất hiện chúng ta sẽ chọn và nhập các thông tin như hình sau.

• Sau khi cài đặt hoàn thành, bật STAS lên.

• Nhấn vào tab STA Collector, ở phần Sophos Appliance chúng ta nhấn Add và điền địa chỉ IP của cổng LAN trên Sophos Firewall 1 vào.

• Chuyển qua tab STA Agent, ở Monitored network chúng ta nhấn Add và điền vào địa chỉ mạng LAN của Sophos Firewall 1.

• Chuyển đến tab General, chúng ta sẽ điền tên của domain như hình sau.

• Sau đó nhấn Apply để áp dụng các thông số vừa nhập.
• Quay trở lại Sophos Firewall 1, nhấn System and Services > Service, nhấn Restart dịch vụ Authentication và nhấn OK để Restart.

• Quay trở lại phần mềm STAS, ở tab General nhấn Start để khởi động xác thực.
• Quay lại Sophos Firewall 1, nhấn Current Avtivies > Live User và chúng ta sẽ thấy có 1 user đang online đó là user administrator mà chúng ta đang nhập trên Win Server.

• Tiếp theo chúng ta sẽ cấu hình xác thực các user ở lớp mạng LAN của Sophos Firewall 2 bằng phần mềm STAS đã được cài đặt trên Win Server và xác thực thông qua đường VPN đã được thiết lập từ trước.
• Quay trở lại phần mềm STAS trên Win Server, ở tab STA Collector nhấn vào địa chỉ IP 172.16.16.16 sau đó nhấn Edit và nhập các thông tin như hình sau.

• Tiếp tục nhấn Add và điền vào địa chỉ cổng LAN của Sophos Firewall 2 như hình sau.

• Chuyển đến tab STA Agent, nhấn Add để thêm địa chỉ mạng vùng LAN của Sophos Firewall 2.

• Nhấn Apply để lưu.

Cấu hình trên Sophos Firewall 2

• Đăng nhập vào trang quản trị của Sophos Firewall 2, nhấn Authentication > Server và nhấn Add nhập các thông số sau để đồng bộ AD.

• Sau khi nhấn Save, nhấn vào icon import và thực hiện các bước tương tự như đã làm ở Sophos Firewall 1.
• Tiếp theo nhấn Authentication > Service ở phần Firewall authetication methods tích vào AD vừa thêm và kéo nó lên phía trên Local.

• Cũng ở Authentication nhấn vào STAS, bật công tác ở Enable Sophos Transparent Authentication Suite và nhấn Activate.
• Nhấn Add Collector và điền vào địa chỉ IP của Win Server và nhấn Save để lưu.
• Sau đó chúng ta nhấn Current Activities để kiểm tra.

• Chúng ta sẽ thấy có 1 user đang online, đó là user đang dùng để truy cập vào trang quản trị của Sophos Firewall 2.