Bài viết này sẽ hướng dẫn cách cài đặt Agent DLP SearhInform trên máy trạm Windows môi trường Workgroup trong hệ thống mạng LAN. Từ đó máy trạm được cài Agent sẽ bị giám sát và kiểm soát dữ liệu thông qua máy chủ DLP SearchInform.

• Tạo gói cài đặt Agent từ giao diện quản trị trên máy chủ DLP SearchInform
• Chạy gói cài đặt Agent trên máy trạm Windows
• Kiểm tra kết nối giữa Agent và máy chủ DLP sau khi hoàn tất.

Ở máy chủ DLP SearchInform, truy cập vào giao diện quản trị EndpointController Console để tiến hành tạo gói cài đặt Agent.

Ở trong giao diện quản trị EndpointController Console, chọn Options -> chọn Create agent installation….

Một cửa sổ mới xuất hiện, chọn Create agent installation package for Windows, nhấn Next.

Path to folder: Chọn nơi bạn muốn lưu tệp cài đặt.

Name of service (‘sifiltersvc’ by default): Nếu để trống, tên mặc định sẽ được sử dụng. Ở đây, mình để mặc định.

Generate configuration using specified computer (optional): Tùy chọn này cho phép bạn chọn một máy tính đã có Agent cài đặt hoặc một mẫu cấu hình (template) để sao chép lại thiết lập cấu hình cho Agent mới. Mục này mình để trống.

Include in the ‘install_agent.exe’ package of the version: Chọn phiên bản Agent sẽ được thêm vào gói cài đặt.

Cuối cùng, nhấn Create.

Các tệp sẽ được lưu vào thư mục đã chỉ định. Sau đó thực hiệp copy file này sang máy trạm Windows cần cài đặt Agent.

Chạy file install_agent.exe trên máy trạm đích. 

Sau khi cài đặt, Agent sẽ tự động chạy. Quá trình cài đặt có thể mất một khoảng thời gian. 

Để kiểm tra trạng thái của agent trên máy đích, mở cmd.exe và nhập lệnh: 

sc query sifiltersvc 

Nếu cài đặt thành công, thông tin trạng thái dịch vụ sẽ được hiển thị. 

Quay lại giao diện Endpoint Controller Console ở máy chủ DLP SearchInform, lúc này sẽ thấy máy trạm Windows này đã xuất hiện. Sau đó, ta sẽ kích hoạt các module giám sát, đánh dấu vào các ô tương ứng và nhấn Apply.

Sophos XDR hỗ trợ tích hợp (Third‑Party Integrations) nhằm thu thập log và dữ liệu bảo mật từ các hệ thống không thuộc hệ sinh thái Sophos, thông qua API hoặc Syslog.
Dữ liệu sau khi thu thập được đồng bộ vào Sophos Data Lake và hiển thị tập trung trong Sophos Central – Threat Analysis Center.

Tài liệu này hướng dẫn chi tiết cách:

• Cấu hình Third‑Party Integration
• Triển khai Integration Appliance
• Thu thập log từ thiết bị bên thứ ba (ví dụ: Firewall, Identity, Cloud)
• Kiểm tra dữ liệu đã được đưa vào Sophos Data Lake

Tài liệu hướng dẫn nhằm đảm bảo người quản trị có thể:

• Cấu hình thu thập log từ các hệ thống bên thứ ba vào Sophos XDR
• Hợp nhất dữ liệu bảo mật từ nhiều nguồn trong một nền tảng quản lý tập trung
• Kiểm tra, theo dõi các sự kiện bảo mật phát sinh từ thiết bị không phải Sophos
• Vận hành và giám sát hệ thống sau khi tích hợp mà không ảnh hưởng đến hạ tầng hiện hữ

Truy cập: Threat Analysis Center → Integrations → Marketplace

Chọn giải pháp cần tích hợp Fortinet FortiGate

Chọn Add Configuration

1. Nhập thông tin cho integration:

• Integration Name: Fortinet-40F

2. Chọn Create new appliance và khai báo thông tin appliance:

• Appliance Name: Sophos-FGT-Collector
• Virtualization Platform: VMware ESXi

3. Cấu hình mạng cho appliance:

• DHCP: Tự động cấp phát IP
• Manual: Cấu hình thủ công (Tùy nhu cầu)

4. Cấu hình thông tin tiếp nhận syslog:

• Syslog IP version (IPv4 hoặc IPv6)
• Syslog IP address (địa chỉ appliance dùng để nhận log)

Protocol: UDP

** Lưu ý: protocol này phải trùng với cấu hình trên FortiGate

Click Save để hoàn tất tạo integration và appliance.

Sophos Central cung cấp thông tin đăng nhập để quản trị appliance, bao gồm:

• Username
• Password

Thông tin này chỉ hiển thị một lần, không thể xem lại sau đó (chỉ có thể reset mới)

Sau khi nhấn Save, đợi một lúc thì ta có thể download image để cài đặt cho VMWare

Đăng nhập vào giao diện VMware ESXi Web Client, chọn Virtual Machines và nhấn Create / Register VM.
Tại màn hình Select creation type, chọn Deploy a virtual machine from an OVF or OVA file và nhấn Next.

Nhập tên máy ảo, ví dụ Sophos Integration Appliance.
Tải lên file ndr-Sophos-FGT-Collector.ova, sau đó nhấn Next.

Chọn datastore phù hợp để lưu trữ máy ảo, ví dụ VM Storage 3, rồi tiếp tục Next

Tại màn hình Deployment options, thực hiện cấu hình network mapping và disk provisioning cho Sophos Appliance.

Card mạng được gán như sau:

Disk provisioning cấu hình ở chế độ Thin. Bật tùy chọn Power on automatically để appliance tự khởi động sau khi triển khai

Kiểm tra lại thông tin tại màn hình Ready to complete và nhấn Finish để bắt đầu import appliance.

Theo dõi tiến trình trong mục Recent tasks, đảm bảo tất cả các bước hoàn tất với trạng thái Completed successfully.

Tiến hành Power On máy ảo và theo dõi quá trình khởi động.

Khi quá trình cài đặt hoàn tất, hệ thống sẽ hiển thị bảng thông báo thông tin truy cập

Sử dụng địa chỉ IP được hiển thị để truy cập vào giao diện quản lý và đăng nhập bằng credential được Sophos Central cấp phía trên.

config log syslogd setting

set status enable

set server 172.31.31.22

set port 10514

set format cef

set facility user

end

config log syslogd filter

set severity information

set forward-traffic enable

set local-traffic enable

set anomaly enable

end

Truy cập giao diện Sophos Appliance Manager của Integration Appliance vừa tạo.

Tại tab Status, kiểm tra tình trạng tài nguyên hệ thống:

• CPU Usage
• Memory Usage
• HDD Root Usage
• HDD Data Usage

Các thông số nằm trong ngưỡng cho phép, xác nhận appliance hoạt động ổn định.

Tại tab Integrations, kiểm tra trạng thái Integration:

• Trạng thái hiển thị Running
• Các chỉ số Received và Filtered có giá trị > 0, xác nhận appliance đang nhận và xử lý dữ liệu từ thiết bị nguồn

Tại tab Advanced, kiểm tra trạng thái container:

• Các container liên quan đến syslog, collector và NDR đều ở trạng thái Running
• Không có container lỗi hoặc restart bất thường

Truy cập: Threat Analysis Center → Configured → Integration Appliances

Chọn Integration Appliance đã tạo và kiểm tra mục Telemetry Journey:

Data Collection – Integration Appliance
Input > 0
Output > 0

Data Processing – Sophos Central
Input có dữ liệu

Các chỉ số này xác nhận dữ liệu đã được thu thập từ Integration Appliance và gửi thành công về Sophos Central để xử lý.

Truy cập: Threat Analysis Center → Detections

Cấu hình bộ lọc: Vendor / Source: thiết bị đã tích hợp

Sophos Central hiển thị các sự kiện đã được phân tích và đánh giá.

Lưu ý: Sophos Central không hiển thị raw syslog, chỉ hiển thị các sự kiện có giá trị bảo mật.

Việc cấu hình Third‑Party Integrations cho Sophos XDR cho phép thu thập và quản lý log tập trung từ các hệ thống bên thứ ba thông qua Sophos Data Lake.
Khi hoàn tất cấu hình, quản trị viên có thể theo dõi và phân tích các sự kiện bảo mật phát sinh từ nhiều nguồn trên cùng một giao diện quản lý, giúp nâng cao khả năng giám sát và vận hành hệ thống.

Nếu bạn đã quen với việc triển khai Sophos Firewall trên các nền tảng ảo hóa như VMware Workstation hoặc ESXi, thì Proxmox VE là một lựa chọn đáng để thử khi xây dựng hệ thống lab hoặc hạ tầng ảo hóa chi phí thấp.

Proxmox VE là nền tảng ảo hóa mã nguồn mở hỗ trợ hai công nghệ chính:

• KVM (Kernel-based Virtual Machine) để chạy máy ảo
• LXC (Linux Containers) để chạy container

Với các ưu điểm như:

• Miễn phí và mã nguồn mở
• Cộng đồng sử dụng lớn
• Quản lý VM thông qua Web GUI
• Hỗ trợ snapshot, backup và clustering

Proxmox ngày càng được nhiều doanh nghiệp vừa và nhỏ lựa chọn. Trong bài viết này, chúng ta sẽ thực hiện:

• Triển khai Sophos Firewall Virtual trên Proxmox VE
• Sử dụng file KVM image của Sophos
• Tạo máy ảo bằng lệnh CLI trên Proxmox
• Import disk image vào VM
• Khởi động Sophos Firewall và thực hiện cấu hình ban đầu

Sau khi hoàn thành bài lab, Sophos Firewall sẽ hoạt động như một tường lửa ảo trong hệ thống Proxmox.

Trong mô hình này:

• Proxmox VE đóng vai trò là hypervisor để chạy máy ảo.
• Sophos Firewall được cài đặt dưới dạng Virtual Machine.
• Máy Windows Client dùng để:
  • Truy cập giao diện quản trị firewall
  • Kiểm tra trạng thái hoạt động của hệ thống.

Quản trị viên truy cập vào giao diện quản trị của Sophos Firewall thông qua trình duyệt web với địa chỉ: https://10.10.10.200:4444

Trong bài lab này, chúng ta thực hiện triển khai Sophos Firewall dưới dạng máy ảo trên Proxmox VE với mục đích xây dựng môi trường thử nghiệm.

Các yêu cầu của hệ thống như sau:

• Cài đặt Sophos Firewall Virtual trên Proxmox.
• Cấu hình địa chỉ IP cho firewall là 10.10.10.200/24.
• Máy Windows Client có địa chỉ 10.10.10.116/24.
• Máy Windows có thể truy cập vào giao diện quản trị của Sophos Firewall thông qua trình duyệt web.

Sau khi hoàn thành cấu hình:

• Quản trị viên có thể đăng nhập vào giao diện Web Admin
• Thực hiện các cấu hình bảo mật, firewall rule và quản lý hệ thống.

Quá trình triển khai Sophos Firewall Virtual trên Proxmox gồm các bước chính sau:

1. Tải file “Sophos Firewall KVM Image”
2. Upload file image lên server Proxmox
3. Tạo máy ảo Sophos Firewall bằng CLI
4. Import disk image vào máy ảo
5. Cấu hình boot disk
6. Khởi động Sophos Firewall
7. Truy cập giao diện Web Admin

Trước khi bắt tay vào dựng Sophos Firewall trên Proxmox, bạn cần chuẩn bị:

• Máy chủ/PC đã cài Proxmox VE (khuyến nghị bản 7.x hoặc mới hơn).
• File KVM Sophos Firewall (SFOS): tải từ trang chủ Sophos (bản Home hoặc Trial).
• Tài nguyên tối thiểu cho VM: CPU: 2, coreRAM: 4 GB

Trước tiên, chúng ta cần chuẩn bị file KVM cài đặt Sophos Firewall. Truy cập trang chính thức của Sophos tại: https://www.sophos.com/en-us/support/downloads/firewall-installers. Tại đây, chọn và tải về phiên bản dành cho KVM (tương thích với Proxmox).

Sau khi tải và giải nén ta được 2 file như sau:

Tạo máy ảo Sophos Firewall trên Proxmox -> Đăng nhập vào Proxmox Web UI -> chọn Create VM để bắt đầu tạo máy ảo mới -> Nhập VM ID và Tên máy ảo (Name).

Tick chọn Do not use any media ->Type: linux ->Version: 6.x – 2.6 Kernel

Sockets: 2

Cores: 2

Type: host

Memory(MB): 4096 và click next

Chọn card mạng bridge và clicknext -> chắc chắn ràng không có gì sai xót sau khi tạo xong, nhấn finish.

Sử dụng công cụ WinSCP để tiến hành copy file KVM Sophos đã tải về vào thư mục của VM theo đường dẫn: /mnt/pve/disk-pve1/images/2027/

Trong đó:

• disk-pve1 là tên storage trên Proxmox.
• 2027 là VM ID mà bạn đã tạo ở bước trước.

** Lưu ý: Thư mục có dạng/mnt/pve/<storage-name>/images/<VMID>/. Bạn cần thay đúng <storage-name> và <VMID> theo môi trường của mình.

Mở Shell trong giao diện Proxmox.

Truy cập thư mục lưu trữ:

• cd /mnt/pve
• ls

→ Lệnh ls sẽ liệt kê tất cả các storage có trong Proxmox.

Di chuyển vào storage bạn đã dùng để lưu file KVM, ví dụ:

• cd /mnt/pve/disk1-pve1/images/
• Ls

Tại đây sẽ hiển thị danh sách các thư mục tương ứng với VM ID. Trong ví dụ này, máy Sophos Firewall được gán VM ID = 1027:

• cd 1027
• ls

→ Bạn sẽ thấy toàn bộ các file (bao gồm ISO và disk image) của VM Sophos Firewall.

Mở file cấu hình của VM bằng trình soạn thảo nano:

•  nano /etc/pve/qemu-server/1027.conf

Thêm hoặc chỉnh sửa 2 dòng sau để khai báo ổ đĩa cho Sophos Firewall:

• scsi0: disk1-pve1:1027/PRIMARY-DISK.qcow2,size=32G
• scsi1: disk1-pve1:1027/AUXILIARY-DISK.qcow2,size=80G

→ scsi0: Ổ cứng chính (32GB).

→ scsi1: Ổ phụ (80GB).

Lưu file cấu hình:

• Nhấn Ctrl + O → Enter để lưu.
• Nhấn Ctrl + X để thoát khỏi nano.

Tick chọn như hình bên dưới

Sau khi hoàn tất, nhấn Start để khởi động node Sophos Firewall.

Truy cập Console của VM để theo dõi quá trình boot. Nếu thấy giao diện cài đặt của Sophos xuất hiện và hệ thống chạy ổn định, nghĩa là bạn đã triển khai thành công.

Như vậy, chúng ta đã chạy Sophos Firewall ảo trong Proxmox thành công. Từ đây, bạn có thể tiếp tục:

• Truy cập WebAdmin
• Thực hiện các bước cấu hình cơ bản (IP LAN/WAN, NAT, Firewall Rule).
• Mở rộng lab với VPN, IPS, WAF, hoặc thử nghiệm các tính năng bảo mật khác.

Bài viết này hướng dẫn cấu hình IPsec Site-to-Site VPN giữa hai thiết bị Sophos Firewall XGS sử dụng firmware v22, nhằm xây dựng kết nối bảo mật giữa hai hệ thống mạng đặt tại hai địa điểm khác nhau.

Mục tiêu của bài lab:

• Thiết lập thành công đường hầm IPsec giữa hai firewall.
• Cho phép hai mạng LAN tại hai site truy cập và trao đổi dữ liệu với nhau.
• Đảm bảo toàn bộ lưu lượng truyền qua Internet được mã hóa an toàn.
• Kiểm tra và xác minh trạng thái hoạt động của VPN Tunnel.
• Hiểu rõ cơ chế hoạt động của Phase 1 (IKE SA) và Phase 2 (IPsec SA) trong quá trình thiết lập VPN.

Môi trường triển khai:

• 02 Sophos Firewall XGS (Virtual Appliance).
• Cài đặt trên nền tảng ảo hóa Proxmox VE.
• Hai đầu sử dụng IP WAN tĩnh, được cấp từ firewall/router thật để mô phỏng môi trường thực tế.

Doanh nghiệp có hai site sử dụng hai thiết bị Sophos Firewall XGS kết nối ra Internet qua router Viettel với IP WAN lần lượt là 123.123.123.11 và 123.123.123.15. Mỗi site có một mạng LAN riêng là 100.100.100.0/24 và 200.200.200.0/24. Hiện tại hai mạng này không thể truy cập lẫn nhau qua Internet. Yêu cầu đặt ra là cho phép hai mạng LAN giao tiếp an toàn và ổn định. Giải pháp là triển khai VPN Site-to-Site IPsec để mã hóa và kết nối hai hệ thống qua Internet.

• Chuẩn bị thông tin cấu hình
• Tạo các Network Object (Host/Subnet)
• Cấu hình IPsec Site-to-Site VPN
• Tạo Firewall Rule cho phép lưu lượng LAN VPN
• Kiểm tra trạng thái hoạt động của VPN

Đến phần Hosts and services > IP Host > Add để thêm local and remote LAN network như hình ở bên dưới.

Vào mục Site to site > IPsec > Add

• IP Version: IPv4 -> Tunnel sử dụng địa chỉ IPv4 để thiết lập IKE và truyền dữ liệu ESP.
• Connection Type: Policy-based -> Chỉ những subnet khai báo ở Local subnet và Remote subnet mới được phép đi qua tunnel.
• Gateway Type: Respond only -> Firewall này không chủ động kết nối, chỉ phản hồi khi bên kia gọi.
• Profile: IKEv2 → Chuẩn VPN mới, ổn định và bảo mật hơn IKEv1.
• Authentication: Preshared Key (PSK) → Hai firewall dùng chung một mật khẩu bí mật

• Listening interface: 123.123.123.11 -> Đây là IP WAN của firewall này, firewall sẽ chờ kết nối VPN tại IP này.
• Gateway address: 123.123.123.15 -> Đây là IP WAN của firewall bên kia, VPN sẽ kết nối đến IP này.
• Local Subnet: LOCAL_VLAN_100 -> Mạng nội bộ phía mình được phép đi qua VPN.
• Remote Subnet: VPN_VLAN_200 -> Mạng nội bộ phía bên kia.

• Rule name: VPN_SF_TO_SF1
• Action: Accept -> Cho phép lưu lượng đi qua
• Log firewall traffic: Tick chọn -> Ghi log để kiểm tra khi cần

• Source zones: LAN, VPN -> Nghĩa là lưu lượng có thể xuất phát từ mạng nội bộ, hoặc từ phía VPN bên kia
• Source networks: LOCAL_VLAN_100, VPN_VLAN_200 ->chỉ những mạng này mới được phép sử dụng rule
• Destination zones: LAN, VPN -> Cho phép truy cập hai chiều giữa LAN và VPN
• Destination networks: LOCAL_VLAN_100, VPN_VLAN_200
• Services: Any -> Cho phép tất cả dịch vụ (ping, RDP, SMB, HTTP…)

 Vào mục Site to site VPN -> IPsec -> Tick chọn Active và Connection để bật cấu hình.

Vào Hosts and services > IP Host > Add để thêm local and remote LAN network như hình ở bên dưới.

Đến phần Site-to-Site VPN > IPsec và chọn Add. Tạo kết nối với thông số bên dưới.

Đến phần Rules and Policies -> Firewall rules chọn Add như hình bên dưới.

• Vào mục Site to site -> IPsec -> Tick chọn Active và Connection để bắt đầu kết nối.
• Từ máy tính đang ở trong LAN 100.100.100.0/24 ping đến máy tính trong LAN 200.200.200.0/24 -> ping thành công.
• Ngược lại, từ máy tính đang ở trong LAN 200.200.200.0/24 ping đến máy tính trong LAN 100.100.100.0/24 –> ping thành công.

Bài viết này nhằm:

• Hướng dẫn cách theo dõi và lọc log Sophos Firewall trên Sophos Central.
• Hướng dẫn xuất report phục vụ vận hành và báo cáo.
• Giúp quản trị viên nhanh chóng phát hiện sự cố và mối đe dọa bảo mật.

Qua đó, giúp hệ thống được giám sát hiệu quả và vận hành an toàn hơn.

Sophos Central giúp quản trị viên theo dõi và quản lý toàn bộ Sophos Firewall ttrên một giao diện web duy nhất, không cần đăng nhập từng thiết bị. Để giám sát, theo dõi, xuất Report tổng quan các thiệt bị Firewall, làm như sau:

Trên Sophos Central, chọn My Products -> Firewall Management -> Report Generator

Report Generator là công cụ để quản trị viên giám sát, theo dõi và tạo báo cáo (report) tùy chỉnh cho Sophos Firewall.

• Firewalls: chọn Firewall cần xuất report.
• Report Template: Chọn Template có sẵn phù hợp với nhu cầu xem, chi tiết:
  • Antivirus: Các mã độc hoặc đối tượng nghi ngờ đã bị chặn.
  • Bandwidth usage: Mức sử dụng băng thông theo từng ứng dụng.
  • Cloud app risks and usage: Các ứng dụng Cloud được sử dụng và rủi ro liên quan.
  • Firewall: Số lượng kết nối giữa các địa chỉ IP cụ thể.
  • IPS: Các cuộc tấn công bị phát hiện/chặn bởi hệ thống IPS.
  • Log viewer and search: Log chi tiết của firewall (chỉ có biểu đồ dạng bảng).
  • SD-WAN: Tóm tắt mức độ đáp ứng SLA theo từng profile SD-WAN, kèm biểu đồ xu hướng.
  • SD-WAN SLA trend: Xu hướng SLA theo gateway (jitter, latency, packet loss).
  • SD-WAN Bandwidth usage: Thống kê băng thông theo gateway và theo thời gian.
  • Security posture assessment (SPA): Đánh giá tổng thể mức độ an toàn của hệ thống. (Có thể chọn tối đa 10 thành phần như: Bandwidth, Web usage, Threat geo activity…) (Recommend sử dụng)
  • Synchronized app: Thống kê ứng dụng được nhận diện bởi Synchronized App Control.
  • Threat geo activity: Các mối đe dọa bị chặn theo quốc gia.
  • Threats and events blocked: Toàn bộ các mối đe dọa/sự kiện đã bị chặn.
  • VPN usage: Mức độ sử dụng các kết nối VPN.
  • Web usage: Thống kê truy cập website.
  • Web user risk: Hoạt động web của người dùng truy cập website rủi ro cao.
  • X-Ops: Hoạt động tấn công nâng cao (Advanced Threat activities) do firewall phát hiện/chặn. Bao gồm traffic trong MDR.
  • Zero-day protection: File/email nghi ngờ được gửi đến module phân tích Sandstorm

• Time Frame: Chọn mốc thời gian phù hợp với nhu cầu xem
• Query: Tùy chọn query phù hợp với nhu cầu lọc.

Sau đó, nhấn Schedule để lên lịch gửi report:

• Template Name: Đặt tên của mẫu báo cáo.
• Export scheduling: Bật/Tắt việc xuất report tự động theo lịch.
• Time frame: Chọn khoảng thời gian dữ liệu trong mỗi report
• Export frequency: Chọn chu kỳ xuất báo cáo
• Export format: Chọn định xạng file xuất (PDF, CSV, HTML)
• Export notification / delivery: Chọn cách gửi email
• Send this export to other Sophos admins?: Chọn chia sẻ report cho các admin khác

Sau khi hoàn tất, Nhấn Save.

Thông báo hiển thị đã tạo Template và Schedule thành công

Đúng Schedule, Sophos sẽ tự động xuất file Export dựa trên cấu hình đã setup

Bài viết này hướng dẫn cách cấu hình IPSec VPN Site-to-Site giữa hai thiết bị tường lửa Fortinet Firewall và Sophos Firewall, nhằm kết nối an toàn các mạng LAN tại hai site khác nhau thông qua Internet.

Sau khi cấu hình hoàn tất, các lớp mạng LAN sau có thể kết nối và truy cập lẫn nhau:

• 172.16.16.0/24 – Site A
• 10.10.10.0/24 – Site B
• 192.168.20.0/24 – Site B

Site A – Fortinet Firewall

• Đường Internet được kết nối vào cổng WAN của thiết bị Fortinet
• IP WAN: 192.168.1.2
• Mạng LAN nội bộ: 172.16.16.0/24
• LAN được cấu hình trên interface LAN của Fortinet

Site B – Sophos Firewall

• Đường Internet được kết nối vào interface a (WAN) của Sophos Firewall
• IP WAN: 192.168.1.3
• Mạng LAN nội bộ gồm 2 lớp mạng: 10.10.10.0/24, 192.168.20.0/24

• Kết nối VPN sử dụng IPSec Site-to-Site
• Xác thực bằng Pre-shared Key
• Sử dụng IKEv2

• Fortinet (192.168.1.2)
• Sophos (192.168.1.3)

Mạng LAN 172.16.16.0/24 (Fortinet) ⬄ Mạng LAN 10.10.10.0/24 và 192.168.20.0/24 (Sophos) có thể kết nối qua lại trực tiếp.

• Tạo VPN Tunnels
• Tạo Static Route
• Tạo Firewall Policy

• Tạo subnet
• Tạo IPSec Profile
• Tạo IPSec Connection
• Tạo Firewall Rule

Vào VPN → IPsec Tunnels → Create New → Custom

Name: S2S-LAB

Template Type: Custom

Dùng Custom để chủ động cấu hình Phase 1 / Phase 2

Selector 1

• Local Address: 172.16.16.0/24
• Remote Address: 10.10.10.0/24

Selector 2

• Local Address: 172.16.16.0/24
• Remote Address: 192.168.20.0/24

Nhấn OK để tạo VPN Tunnel.

Vào Network → Static Routes → Create New

Vào Hosts and Services → Add

Vào SYSTEM > Profiles → IPsec Profiles → Add

Vào CONFIGURE → Site-to-site VPN →  IPsec → Add

• Listening interface: Port 2 – 192.168.1.3
• Gateway address: 192.168.1.2 (WAN Fortinet)
• Local Subnet: 10.10.10.0/24 , 192.168.20.0/24
• Remote Subnet: 172.16.16.0/24

Sophos: VPN → IPsec Connections → Status: Connected

Fortinet: Monitor → IPsec Monitor → Tunnel: UP (Có Incoming / Outgoing Data)

Test:

• 172.16.16.x → 10.10.10.x
• 172.16.16.x → 192.168.20.x

• Đảm bảo thời gian hệ thống đồng bộ (NTP) để tránh lỗi IKEv2 do lệch thời gian.
• PSK, thuật toán mã hóa và nhóm DH phải trùng khớp 2 đầu – sai khác sẽ khiến Phase 1/2 thất bại.
• Tắt NAT trên policy đi vào VPN; bật NAT sẽ làm sai nguồn và gói tin không match selector.
• Mỗi cặp Local/Remote subnet cần 1 selector (Phase 2). Không gộp nhiều subnet nếu thiết bị không hỗ trợ.
• Nếu tunnel UP nhưng không ping được, kiểm tra: Static Route, Policy thứ tự, và bảng ARP/Route trên hai đầu.

Bài viết này nhằm:

• Hướng dẫn cách xem và lọc log trên Sophos Firewall.
• Hướng dẫn đọc và xuất report phục vụ vận hành và báo cáo.
• Giúp quản trị viên nhanh chóng phát hiện sự cố và mối đe dọa bảo mật.

Qua đó, giúp hệ thống được giám sát hiệu quả và vận hành an toàn hơn.

Xem thông tin về lưu lượng mạng đi qua firewall và các mối đe dọa bảo mật

Các loại Dashboard chính:

• Traffic dashboard: Phân loại theo lưu lượng mạng
• Security dashboard:  Hoạt động bị chặn và các mối đe dọa: Malware, IPS, Spam, nguồn tấn công.
• Executive report: Thông tin tổng hợp cho người quản lý: Traffic & Threat nổi bật.
• User threat quotient (UTQ): Xếp hạng người dùng dựa trên điểm rủi ro bảo mật.

Xem thông tin về việc sử dụng ứng dụng và Internet trên hệ thống mạng của bạn.

Application risk meter là cách thức mà Firewall sẽ tính điểm dựa trên mức độ rủi ro và số lần truy cập (hits) của từng ứng dụng. Chỉ số rủi ro ứng dụng được xác định dựa trên điểm trung bình của toàn bộ lưu lượng ứng dụng

Các nhóm Setting có thể theo dõi trong phần này, bao gồm:

• User app risks & usage: Thống kê việc sử dụng các ứng dụng và mức độ rủi ro tương ứng.
• Cloud applications usage: Thống kê việc sử dụng các ứng dụng đám mây
• Blocked user apps: Các lần truy cập ứng dụng bị chặn.
• Synchronized applications: Các ứng dụng được phân loại và đồng bộ từ endpoint lên firewall.
• Web risks & usage: Hoạt động truy cập web trong mạng và các rủi ro liên quan.
• Blocked web attempts: Các lần truy cập web bị chặn
• Search engine: Thống kê hành vi tìm kiếm của người dùn
• Web content: Các kết quả khớp của bộ lọc nội dung và các thông tin liên quan.
• Web server usage: Lưu lượng Application, Web, Internet và FTP.
• Web server protection: Trạng thái bảo mật của các Web Server, bao gồm các cuộc tấn công và nguồn tấn công.
• User data transfer: User traffic
• FTP usage: FTP activity
• FTP protection: Malicious FTP activity

Xem thông tin về việc sử dụng mạng và các mối đe dọa liên quan.

Các nhóm Setting có thể theo dõi trong phần này, bao gồm:

• Intrusion attacks: Các lượt tấn công
• Active threat response: Threat events và các máy bị xâm nhập được phát hiện bởi MDR (Managed Detection and Response) và Sophos X-Ops
• Wireless: Access point và SSID được sử dụng
• Security Heartbeat: Tình trạng sức khỏe của máy trạm trong mạng dựa trên kết nối giữa máy trạm và Firewall.
• Zero-day protection: Bảo vệ nâng cao trước các cuộc tấn công mới.

Xem thông tin về remote user (người dùng kết nối từ xa) vào hệ thống mạng của bạn thông qua IPSEC VPN, SSL VPN và Clientless access

Các nhóm Setting có thể theo dõi trong phần này, bao gồm:

• VPN: Lưu lượng phát sinh từ remote users qua IPsec, L2TP hoặc PPTP
• SSL VPN: Lưu lượng phát sinh từ remote users thông qua SSL VPN Client.
• Clientless Access: Lưu lượng phát sinh từ remote users thông qua trình duyệt web.

Xem thông tin về email traffic (lưu lượng email) trong hệ thống mạng

Các nhóm Setting có thể theo dõi trong phần này, bao gồm:

• Email Usage: Email traffic trong hệ thống mạng của mình
• Email Protection: Email Traffic bị Virus và Spam trong hệ thống mạng của mình

Xem thông tin về việc tuân thủ các quy định/quy chuẩn:

Các nhóm Quy chuẩn có thể theo dõi trong phần này, bao gồm:

• HIPAA: Security Report tuân thủ chuẩn HIPAA
• GLBA: Security Report tuân thủ chuẩn GLBA
• SOX: Security Report tuân thủ chuẩn SOX
• FISMA: Security Report tuân thủ chuẩn FISMA
• PCI: Security Report tuân thủ chuẩn PCI
• NERC CIP v3: Security Report tuân thủ chuẩn NERC CIP v3
• CIPA: Security Report tuân thủ chuẩn CIPA
• Events: Network Event và các mức độ nghiêm trọng tương ứng

Tạo báo cáo bao gồm các tiêu chí được chỉ định.

Các loại Report có thể tạo trong phần này, bao gồm:

• Web Report: Tìm kiếm hoạt động duyệt web hoặc virus. Có thể lọc theo user, domain và các tiêu chí khác
• Mail Report: Tìm kiếm lưu lượng Email, Spam và Virus. Có thể lọc theo protocol, user và các tiêu chí khác.
• FTP Report: Tìm kiếm hoạt động FTP và Virus. Có thể lọc theo kiểu truyền, user, file hoặc source IP
• User Report: Thống kê mức độ sử dụng: ứng dụng rủi ro cao, website không hiệu quả, virus phát hiện. Có thể lọc theo username, source host.
• Web Server Report: Tìm kiếm hoạt động Web Server (time, user, URI) và cả các sự kiện bảo vệ Web Server.

Log Viewer hiển thị event logs và được tự động cập nhật khi có event mới (Real-time).

Để truy cập, ở góc phải phía trên Sophos Firewall, nhấn Log viewer

Cửa sổ Log Viewer mới sẽ xuất hiện, và quản trị viên có thể xem log Realtime ở đây

Quản trị viên có thể tùy chọn các loại log cụ thể để giám sát như sau:

• Admin
• Active Threat Response
• Application filter
• Authentication
• Email
• Firewall
• IPS
• Malware
• Security Heartbeat
• SSL/TLS inspection
• SD-WAN
• System
• VPN
• Web content policy
• Web filter
• Web server protection
• Zero-day protection

Trong quá trình quản trị hệ thống, người quản trị cần các file báo cáo tổng hợp phản ánh tình trạng sử dụng hệ thống và các mối đe dọa tiêu biểu. Vì vậy, trong bài hướng dẫn này sẽ lựa chọn Executive report để thực hiện việc xuất báo cáo.

 Để xuất Report báo cáo theo lịch trình, chọn Show Reports Settings

Chọn Report Scheduling, nhấn Add

Nhập thông tin sau:

• Name: Đặt tên lịch report.
• Description: Mô tả (không bắt buộc).
• To email address: Địa chỉ email nhận report (có thể nhập nhiều email)
• Report type: Chọn loại report (VD: Report group)
• Report group: Chọn nhóm report phù hợp (VD: Executive Report)
• Email frequency: Chọn Daily hoặc Weekly và mốc thời gian gửi report qua email.

Sau khi nhập hoàn tất, nhấn Save.

Đúng lịch trình cấu hình, Sophos sẽ gửi email bảng báo cáo report về email.

Nếu chưa có tài khoản Sophos Central, tham khảo: https://thegioifirewall.com/sophos-central-huong-dan-tao-tai-khoan-sophos-central-trial/

Đăng nhập Sophos Central bằng tài khoản Super Admin.

– Vào Account → Licensing Firewall licenses

– Chọn Firewall licenses 

– Chọn Claim firewall 

– Nhập Serial Number thiết bị 

Sau khi claim thành công, thiết bị sẽ hiển thị trong danh sách quản lý.

– Chọn thiết bị → Apply subscriptions

– Nhập License Key

– Preview subscription → Apply license

Đối với các lần gia hạn (renew) license trong tương lai, cần lưu ý

– License Number: chỉ dùng để tracking và support, không dùng để activate.

– License Key: bắt buộc để kích hoạt hoặc renew license.

• Trong hầu hết các trường hợp, nếu Sophos Firewall đã được liên kết đúng Sophos Central account, license sau khi renew sẽ tự động đồng bộ xuống thiết bị mà không cần thao tác thủ công.
• Tuy nhiên, nếu license không tự đồng bộ và vẫn hiển thị trạng thái Expired, bạn có thể thực hiện các bước sau:
  • Kiểm tra license trong Sophos Central hoặc Sophos Partner Portal để xác định License Key tương ứng
  • Thực hiện apply License Key thủ công cho thiết bị Firewall (theo hướng dẫn ở Mục II.3)

• Nếu email gia hạn không chứa License Key, khuyến nghị:
  • Kiểm tra lại thông tin license trong Sophos Portal
  • Hoặc liên hệ Sophos Support / Partner để xác nhận chính xác License Key trước khi apply

Trong môi trường thực tế, đôi khi chúng ta không muốn (hoặc không thể) mở đúng port gốc của một dịch vụ ra ngoài Internet. Thay vào đó, chúng ta sẽ chuyển hướng port ngoài sang port nội bộ để:

• Tăng bảo mật: tránh sử dụng những port phổ biến dễ bị quét (ví dụ: 3389 – RDP, 21 – FTP…)
• Giải quyết xung đột port: khi có nhiều dịch vụ trong mạng nội bộ cùng sử dụng một port giống nhau, nhưng cần ánh xạ ra ngoài bằng port khác nhau
• Giảm rủi ro tấn công tự động, đặc biệt là các loại botnet hay brute force

Kỹ thuật này gọi là NAT Forwarding, hay còn gọi là Port Forwarding hoặc PAT – Port Address Translation. Trên Sophos Firewall, việc cấu hình NAT Forwarding cực kỳ linh hoạt, dễ dàng thông qua giao diện đồ họa.

Doanh nghiệp có một máy chủ nội bộ sử dụng Remote Desktop Protocol (RDP) với port mặc định là 3389, nhưng vì lý do bảo mật, muốn người dùng bên ngoài truy cập bằng port 1606 thay vì 3389.

• IP WAN của doanh nghiệp: 123.20.40.173
• Máy chủ nội bộ cần truy cập: 192.168.206.104
• Port dịch vụ nội bộ (gốc): 3389 (Remote Desktop)
• Port truy cập từ ngoài Internet: 1606

Để NAT port dịch vụ ra bên ngoài, trước hết các bạn cần định nghĩa IP của máy chủ nội bộ và dịch vụ cần mở. Các bạn click vào menu Host and services trên Dashboard, tại mục IP host các bạn click chọn Add.

Trong bảng thông tin này, các bạn cần điền:

• Name: Đặt tên cho host cần mở port
• Type: chọn IP
• IP address: Nhập IP nội bộ của host

Tiếp theo, bạn cần định nghĩa các dịch vụ sẽ sử dụng

Vào Services và click chọn Add

• Name: Remote_Desktop
• Type: TCP/UDP
• Destination Port: 3389
• tab Source Port: Để mặc định (1:65535), trừ khi có yêu cầu cụ thể

Sau khi điền đầy đủ, nhấn Save để lưu.

Vào Services và click chọn Add

• Name: Forwarding_1606
• Type: TCP/UDP
• Destination Port: 1606
• tab Source Port: Để mặc định (1:65535), trừ khi có yêu cầu cụ thể

Sau khi điền đầy đủ, nhấn Save để lưu.

Tiến hành tạo NAT Policy để ánh xạ port từ IP WAN về máy chủ nội bộ.

Để tạo vào PROTECT > Rules and policies > NAT rules > Add NAT rule > New NAT rule.

Sau khi điền đầy đủ, nhấn Save để lưu rule.

Mặc định, Sophos Firewall sẽ chặn các lưu lượng truy cập từ Internet vào mạng nội bộ (LAN).
Vì vậy, sau khi cấu hình NAT policy, bạn cần tạo thêm một Firewall Rule để cho phép lưu lượng sử dụng dịch vụ (VD: Remote Desktop) được đi vào.

Để tạo vào PROTECT > Rules and policies > Add firewall rule > New firewall rule

Cấu hình các thông số như sau

Sau khi điền đầy đủ, nhấn Save để lưu rule.

Sau khi cấu hình xong, bạn có thể kiểm tra xem port đã mở thành công chưa bằng cách:

• Truy cập trang:
  https://www.yougetsignal.com/tools/open-ports/
• Nhập port 1606, nhấn Check.
  Nếu hiển thị “Port is open”, nghĩa là NAT thành công.

Trong quá trình vận hành và sử dụng các sản phẩm bảo mật của Sophos, đôi khi người quản trị có thể gặp phải những sự cố hoặc tình huống cần được hỗ trợ chuyên sâu từ đội ngũ kỹ thuật của hãng. Để chẩn đoán chính xác nguyên nhân, Sophos thường yêu cầu người dùng thu thập và gửi bộ log hệ thống.

Thay vì phải thao tác trực tiếp trên từng thiết bị, Sophos đã cung cấp Sophos Diagnostic Utility (SDU) – một công cụ hỗ trợ tự động thu thập thông tin cần thiết. Khi được kích hoạt thông qua bảng điều khiển Sophos Central, SDU có thể chạy từ xa trên các thiết bị Windows, macOS hoặc Linux, tổng hợp log và gửi thẳng về hệ thống của Sophos.

Điều này giúp tiết kiệm thời gian, giảm thiểu sai sót khi thao tác thủ công, đồng thời mang lại sự thuận tiện cho cả quản trị viên lẫn đội ngũ hỗ trợ của Sophos trong quá trình xử lý sự cố.

Đăng nhập vào Sophos Central Admin.

Vào My Products -> chọn mục Endpoint hoặc mục Server, sau đó chọn thiết bị mà bạn muốn chạy công cụ SDU

Nhấp More actions → Diagnose.

Trong cửa sổ pop-up Diagnose, nhấp Run.

Sau đó kiểm tra trạng thái SDU

Ở cuối trang SUMMARY của thiết bị, bạn sẽ thấy:

• Status: Hiển thị công cụ SDU đang chạy hay không.
• Last Run: Hiển thị lệnh chạy công cụ đã được gửi đến thiết bị hay chưa.
• File Name: Hiển thị tên của tệp log chẩn đoán được tạo trên thiết bị và tải lên Sophos. Tên file bao gồm ID thiết bị và ngày hoặc timestamp.

Trạng thái khi SDU tool đang chạy

Trạng thái khi SDU tool hoàn tất. Sau đó bạn sẽ cần cung cấp File Name này để cung cấp cho Sophos Support

Khi công cụ SDU được sử dụng, hành động này sẽ được ghi lại trong Reports > General Logs > Audit Logs và sẽ hiển thị các cột sau:

• DATE: Ngày
• MODIFIED BY: Người thực hiện thay đổi
• ITEM TYPE: Loại mục
• ITEM MODIFIED: Mục đã thay đổi
• DESCRIPTION: Mô tả
• IP ADDRESS: Địa chỉ IP

Chúng tôi sẽ lưu trữ lệnh chạy Sophos Diagnostic Utility trong tối đa 14 ngày. Trong khoảng thời gian này, nếu thiết bị được bật, lệnh sẽ tự động chạy khi thiết bị giao tiếp với Sophos Central. Nếu thiết bị bị tắt lâu hơn 14 ngày, lệnh chạy SDU sẽ bị xóa.

Tệp .zip được tạo ra trong quá trình này sẽ được tải lên tên miền sophos.com qua giao thức HTTPS (cổng 443). Việc truy cập vào tên miền và cổng này đã được yêu cầu sẵn để cài đặt thành công, đăng ký và duy trì giao tiếp giữa thiết bị Sophos Central và Sophos Central Admin, như đã nêu chi tiết trong tài liệu:
Sophos Central Admin: Domains and ports to allow.

Do đó, bạn không cần thực hiện thêm thay đổi nào để việc tải log được thành công.