Sophos Firewall: Hướng dẫn tạo Clientless SSL VPN
27/03/2025 16:54 478 lần Chuyên mục: Bài viết kỹ thuật
Giới thiệu chung
– Clientless SSL VPN là giải pháp giúp user có thể truy cập vào resource của công ty nhưng không cần tải VPN Client.
– Giải pháp phù hợp cho những doanh nghiệp không muốn user truy cập vào toàn bộ mạng nội bộ.
– Đặc biệt với môi trường BYOD (Bring Your Own Device).
Nội Dung
– User sẽ truy cập vào website VPN portal của External firewall, login sau đó có thể truy cập vào 3 resource ở trong gồm:
+ SSH tới firewall 10.100.100.151
+ SSH tới ubuntu 10.100.100.110
+ RDP tới window 10.100.100.120
– Mô hình khái quát nội dung:
Hướng dẫn chi tiết
1. Hướng dẫn thu thập Publish host key
– Khi tạo Clientless SSL VPN, sẽ yêu cầu Publish host key của các resource
1.1 Trên Sophos Firewall
– SSH vào firewall > Login > chọn 5 Device Management > chọn 3 Advanced Shell.
– Vào thư mục /content/.ssh/V1, sẽ thấy có nhiều file key với nhiều loại mã hóa khác nhau.
– Ở đây ta sẽ dùng loại RSA, lấy file publish key rsa có đuôi .pub. Dùng câu lệnh cat ssh_host_rsa_key.pub, sau đó copy key và dùng để thêm vào policy.
1.2 Trên Ubuntu
– SSH tới máy ubuntu, vào thư mục /etc/ssh sẽ thấy nhiều file key tương tự như firewall, và dùng lệnh cat ssh_host_rsa_key.pub. Hiện publish key rồi copy.
1.3 Trên Window
– Vì dùng giao thức RDP nên firewall không cần publish key mà cần phải tắt tính năng NLA (Network Layer Authentication).
– Nếu không tắt khi truy cập sẽ gặp lỗi: ERROR: protocol security negotiation failure.
– Vào Settings > About > Advanced system settings.
– Qua tab Remote > bỏ chọn Allow connection only from… > Nhấn Apply > OK.
2. Cấu hình trên Sophos Firewall ở ngoài
– Login vào firewall > Remote access VPN > Clientless SSL VPN policy. Ở mục Bookmarks > nhấn Add. Để tạo các resource.
– Sau đó điền thông tin:
+ Name: Điền tên cho bookmark đó.
+ Type: chọn Protocol ( bao gồm: RDP, Telnet, SSH, FTP, FTPS, SFTP, SMB, VNC)
+ URL: thêm hostname hoặc IPv4 tĩnh
+ Port: nhập port
+ Automatic login: tick ON thì bạn phải nhận username và password
+ Protocol security: TLS
Nhấn Save.
– Sau khi thêm xong Bookmark sẽ thêm Policies > Add.
– Điền thông tin trong policy như hình:
– Để user ở mạng ngoài có thể truy cập được VPN portal thì cần phải mở VPN portal cho cổng WAN.
– Vào Adminitration > Device access > Tích xanh ở đánh dấu trong hình.
– Vào Admin and user settings, port mặc định của VPN portal là 4448, các bạn có thể tùy chỉnh. Xong nhấn Apply
3. Kết quả
– User ở ngoài truy cập vào theo URL https://<ipwan>:<port>
– Sau khi vào URL thì login.
– Kiểm tra RDP với PC: 10.100.100.120
– Kiểm tra SSH với Firewall 10.100.100.151
– Kiểm tra SSH với ubuntu 10.100.100.110
CÔNG TY CỔ PHẦN DASS – NHÀ PHÂN PHỐI HÀNG ĐẦU GIẢI PHÁP BẢO MẬT SOPHOS
♦ HCM: 55/10 Trần Đình Xu, Phường Cầu Kho, Quận 1, TP. HCM
♦ 028 2055 2868
♦ Hà Nội: Số 29, Lê Đại Hành, Quận Hai Bà Trưng, Hà Nội
♦ 024 3555 3030
♦ Email: info@dass.vn
♦ Fanpage: DASS – Sophos Việt Nam
