Thiết bị tường lửa Sophos XG : Cách xác thực user bằng STAS trên kết nối IPsec VPN

Mục đích của bài viết

  • Bài viết sẽ mô tác các bước làm thế nào để xác thực user từ 1 văn phòng chi nhánh khác bằng kết nối IPsec VPN Site-to-Site.

Sơ đồ mạng và kịch bản cấu hình

Để thực hiện cấu hình xác thực thông qua kết nối IPsec VPN chúng ta cần làm các bước như sau :

  • Chuẩn bị 1 Win Server 2012 được cấu hình AD (Active Directory).
  • Thiết lập kết nối VPN giũa hai thiết bị Sophos Firewall 1 và Sophos Firewall 2.
  • Đồng bộ AD vào Sophos Firewall 1.
  • Cài đặt Sophos Transparent Authentication Suite (STAS) lên Win Server 2012.
  • Kiểm tra xác thực người dùng thành công trên Sophos Firewall 1.
  • Đồng bộ AD vào Sophos Firewall 2.
  • Chuẩn bị 1 máy Windows với địa chỉ IP thuộc lớp mạng LAN của Sophos Firewall 2, có Default Gateway trỏ về địa chỉ IP cổng LAN của Sophos Firewall 2 và đặt DNS là địa chỉ IP của Win Server.
  • Sau đó cho máy Windows gia nhập Domain.
  • Thực hiện thay đổi cài đặt trên phần mềm STAS và kiểm tra kết quả xác thực trên Sophos Firewall 2.

Thiết lập kết nối IPsec VPN Site-to-Site

  • Chúng ta sẽ thiết lập kết nối IPsec VPN Site-to-Site giữa Sophos Firewall 1 và Sophos Firewall 2.

Cấu hình trên Sophos Firewall 1

  • Nhấn Hosts and Service và nhấn Add để thêm local and remote LAN như hình sau.
  • Nhấn VPN > IPsec Connections và nhấn Add để tạo kết nối VPN bằng các thông số như hình sau.
  • Lưu ý: Nhớ tích vào 2 ô Active on save và Create firewall rule để khi nhấn Save kết nối sẽ tự động bật và tự động tạo firewall rule cho phép lưu lượng VPN.
  • Sau khi nhấn Save, kết nối sẽ tự động bật và hiện thị như sau.

Cấu hình trên Sophos Firewall 2

  • Nhấn Hosts and Service và nhấn Add để thêm local and remote LAN như hình sau.
  • Nhấn VPN > IPsec Connections và nhấn Add để tạo kết nối VPN bằng các thông số như hình sau.
  • Lưu ý: Nhớ tích vào 2 ô Active on save và Create firewall rule để khi nhấn Save kết nối sẽ tự động bật và tự động tạo firewall rule cho phép lưu lượng VPN.
  • Sau khi nhấn Save, kết nối sẽ tự động bật và hiện thị như sau.
  • Sau khi bật kết nối thì hai kết nối IPsec vừa tạo sẽ tự động kết nối với nhau thông qua status màu xanh lá cột Connection.
  • Chúng ta đã có thể sử dụng các máy tính ở vùng LAN của 2 thiết bị và ping thấy nhau.

Đồng bộ AD vào Sophos Firewall 1 và cài đặt STAS trên Win Server để xác thực user

Đồng bộ AD vào Sophos Firewall 1

  • Nhấn Authentication > Server và nhấn Add để đồng bộ AD bằng các thông tin như hình sau.
  • Sau khi nhập các thông số chúng ta có thể nhấn Test Connection để kiểm tra kết nối đến Server và nhấn Save để lưu.
  • Sau khi nhấn Save, chúng ta nhấn vào icon Import để import các gourp từ AD.
  • Bảng Import Gourp Wizard hiện lên ở phần Overview nhấn Start.
  • Ở Step 1 : Provide base DN for gourp, ở ô Base DN* nhấn vào mũi tên hướng xuống và chọn dc=VACIF,dc=com và sau đó nhấn nút “>”.
  • Tiếp theo ở Step 2 : Select AD gourps to import chúng ta tích vào gourp mà chúng ta muốn import sau đó nhấn nút “>”.
  • Tiếp theo nhấn nút “>” ba lần, nhấn OK và Close để hoàn thành.
  • Tiếp theo nhấn Authentication > Service, ở Firewall authentication method, tích vào tên Server vừa được thêm ở Authentication server list và kéo tên server đó lên phía trên server Local và nhấn Apply.

Cài đặt STAS

  • Nhấn Authentication > STAS và nhấn công tắc và nhấn Activate STAS ở Enable Sophos Transparent Authentication Suite để bật STAS.
  • Nhấn Add new collector và nhập vào các thông số như hình sau và nhấn SAVE.
  • Nhấn Authentication > Client Download > Sophos Transparent Authentication Suite (STAS) để download tệp cài đặt xuống Server.
  • Sau đó nhấn đúp chuột vào file vừa tải để cài đặt.
  • Trong khi cài đặt xong, một bảng xuất hiện chúng ta sẽ chọn và nhập các thông tin như hình sau.
  • Sau khi cài đặt hoàn thành, bật STAS lên.
  • Nhấn vào tab STA Collector, ở phần Sophos Appliance chúng ta nhấn Add và điền địa chỉ IP của cổng LAN trên Sophos Firewall 1 vào.
  • Chuyển qua tab STA Agent, ở Monitored network chúng ta nhấn Add và điền vào địa chỉ mạng LAN của Sophos Firewall 1.
  • Chuyển đến tab General, chúng ta sẽ điền tên của domain như hình sau.
  • Sau đó nhấn Apply để áp dụng các thông số vừa nhập.
  • Quay trở lại Sophos Firewall 1, nhấn System and Services > Service, nhấn Restart dịch vụ Authentication và nhấn OK để Restart.
  • Quay trở lại phần mềm STAS, ở tab General nhấn Start để khởi động xác thực.
  • Quay lại Sophos Firewall 1, nhấn Current Avtivies > Live User và chúng ta sẽ thấy có 1 user đang online đó là user administrator mà chúng ta đang nhập trên Win Server.
  • Tiếp theo chúng ta sẽ cấu hình xác thực các user ở lớp mạng LAN của Sophos Firewall 2 bằng phần mềm STAS đã được cài đặt trên Win Server và xác thực thông qua đường VPN đã được thiết lập từ trước.
  • Quay trở lại phần mềm STAS trên Win Server, ở tab STA Collector nhấn vào địa chỉ IP 172.16.16.16 sau đó nhấn Edit và nhập các thông tin như hình sau.
  • Tiếp tục nhấn Add và điền vào địa chỉ cổng LAN của Sophos Firewall 2 như hình sau.
  • Chuyển đến tab STA Agent, nhấn Add để thêm địa chỉ mạng vùng LAN của Sophos Firewall 2.
  • Nhấn Apply để lưu.

Cấu hình trên Sophos Firewall 2

  • Đăng nhập vào trang quản trị của Sophos Firewall 2, nhấn Authentication > Server và nhấn Add nhập các thông số sau để đồng bộ AD.
  • Sau khi nhấn Save, nhấn vào icon import và thực hiện các bước tương tự như đã làm ở Sophos Firewall 1.
  • Tiếp theo nhấn Authentication > Service ở phần Firewall authetication methods tích vào AD vừa thêm và kéo nó lên phía trên Local.
  • Cũng ở Authentication nhấn vào STAS, bật công tác ở Enable Sophos Transparent Authentication Suite và nhấn Activate.
  • Nhấn Add Collector và điền vào địa chỉ IP của Win Server và nhấn Save để lưu.
  • Sau đó chúng ta nhấn Current Activities để kiểm tra.
  • Chúng ta sẽ thấy có 1 user đang online, đó là user đang dùng để truy cập vào trang quản trị của Sophos Firewall 2.

0 0 đánh giá
Đánh giá bài viết
Theo dõi
Thông báo của
guest
0 Góp ý
Cũ nhất
Mới nhất Được bỏ phiếu nhiều nhất
Phản hồi nội tuyến
Xem tất cả bình luận