HƯỚNG DẪN CẤU HÌNH MFA CHO SSL VPN CLIENT-TO-SITE TRÊN SOPHOS FIREWALL

  • Updated
  1. TỔNG QUAN

Trong môi trường mạng ngày nay, bảo mật truy cập từ xa là yếu tố cực kỳ quan trọng, đặc biệt khi ngày càng nhiều người dùng kết nối vào hệ thống nội bộ thông qua VPN. Multi-Factor Authentication (MFA) – hay còn gọi là xác thực đa yếu tố – là một lớp bảo mật bổ sung nhằm bảo vệ tài khoản người dùng khỏi bị truy cập trái phép, kể cả khi mật khẩu bị lộ.

SSL VPN Client-to-Site trên Sophos Firewall cho phép người dùng từ xa kết nối an toàn vào mạng công ty. Khi kết hợp với MFA, mỗi lần đăng nhập VPN sẽ yêu cầu thêm một mã OTP (One-Time Password) được tạo từ ứng dụng xác thực như Google Authenticator, Microsoft Authenticator. Điều này giúp đảm bảo rằng chỉ những người dùng hợp lệ mới có thể truy cập hệ thống.

Bài viết này sẽ hướng dẫn bạn từng bước cấu hình MFA cho SSL VPN Client-to-Site trên Sophos Firewall, từ việc bật OTP, chỉ định người dùng, đến việc buộc xác thực khi kết nối VPN.

  1. LƯU Ý

🔐 Lưu ý khi cấu hình xác thực 2 lớp (MFA) cho người dùng SSL VPN Sophos

  • Nếu người dùng đã có sẵn file cấu hình VPN (file .ovpn hoặc file import vào Sophos Connect) từ trước, quản trị viên vẫn có thể thêm xác thực MFAkhông cần tạo lại file mới.
  • Quản trị viên chỉ cần:
    • Bật OTP (2FA) trên tường lửa Sophos.
    • Yêu cầu người dùng đăng nhập vào VPN Portal (https://<ip-firewall>:445) một lần để quét mã QR và kích hoạt mã OTP bằng ứng dụng như Google Authenticator, Microsoft Authenticator.
  • Sau khi kích hoạt OTP, khi kết nối VPN:
    • User vẫn dùng file VPN cũ đã import trước đó.
    • Nhưng khi đăng nhập, user phải nhập: mật khẩu + mã OTP (Gộp mật khẩu + mã OTP liền nhau, không có khoảng trắng) từ ứng dụng Google Authenticator hoặc Microsoft Authenticator .

➡️ Như vậy, không cần phải gửi lại file VPN cho người dùng, chỉ cần đảm bảo họ đã kích hoạt OTP qua portal.

  1. HƯỚNG DẪN CẤU HÌNH
  2. Bật tính năng Multi-factor Authentication
  • Vào Authentication > Multi-factor Authentication
  • One-time password:
    • Chọn Specific users and groups nếu chỉ muốn bật 2FA cho một số user hoặc group cụ thể.
    • Chọn All users nếu muốn bật 2FA cho tất cả người dùng.
  • OTP required for these users and groups:
    • Khi chọn Specific users and groups, chỉ định user/group cần dùng 2FA tại đây.
  • Generate OTP token with next sign-in:
    • Chọn Enable để hệ thống tự động tạo token OTP và yêu cầu người dùng đăng nhập để quét mã QR lần đầu.
  • Require MFA for:
    • Tích chọn SSL VPN remote access để bắt buộc người dùng phải xác thực OTP khi sử dụng SSL VPN.
  • Nhấn Apply để lưu và áp dụng các thay đổi.
  • Kích hoạt mã OTP qua VPN Portal
  • Truy cập vào VPN Portal bằng địa chỉ IP hoặc domain public của Sophos Firewall, ví dụ:
    https://<địa-chỉ-WAN>:445
  • Đăng nhập bằng tài khoản người dùng đã được bật MFA/2FA ở bước trước.
  • Sau khi đăng nhập, hệ thống sẽ hiển thị một mã QR để thiết lập mã OTP.
  • Mở ứng dụng xác thực trên điện thoại như Google Authenticator, Microsoft Authenticator.
  • Quét mã QR hiện ra trên VPN Portal để thêm tài khoản vào ứng dụng.
  • Ứng dụng sẽ tạo ra một Token Code (mã OTP) – bạn sẽ dùng mã này kèm với mật khẩu khi đăng nhập VPN hoặc User Portal sau này.
Tags: