Sophos NGFW [LAB 3-3] HƯỚNG DẪN TÍCH HỢP ACTIVE DIRECTORY (AD) VÀ CẤU HÌNH XÁC THỰC 2 LỚP (MFA/OTP) CHO SSL VPN TRÊN SOPHOS XG FIREWALL

CHẶNG 1: KẾT NỐI ACTIVE DIRECTORY SERVER VÀO SOPHOS XG​

1. Trên giao diện quản trị Sophos XG, truy cập CONFIGURE > Authentication > Servers và bấm Add.
2. Cấu hình các thông số kết nối máy chủ AD:
   • Server type: Active Directory
   • Server name: Đặt tên gợi nhớ (Ví dụ: AD_Winserver1)
   • Server IP/domain: Nhập IP của máy chủ Domain Controller.
   • Port: 389
   • NetBIOS domain / Domain name: Nhập thông tin Domain hệ thống.
   • ADS user name: Nhập tài khoản quản trị Domain (Cú pháp dạng Domain\Administrator hoặc administrator@domain.edu.vn).
   • Password: Mật khẩu của tài khoản quản trị.
   • Search queries: Nhập thông tin phân cấp thư mục để tìm kiếm user (Ví dụ: dc=uef,dc=edu,dc=vn).

CHẶNG 2: PHÂN QUYỀN DỊCH VỤ XÁC THỰC (AUTHENTICATION SERVICES)​

1. Chuyển sang tab Services (ngay bên cạnh tab Servers).
2. Tại mục Firewall authentication methods(Quản lý đăng nhập User/VPN Portal):
   • Tích chọn máy chủ AD vừa cấu hình.
   • Đẩy máy chủ AD lên vị trí đầu tiên trong danh sách để ưu tiên xác thực trước Local.
     
3. Kéo xuống mục VPN (IPsec/L2TP/PPTP/SSL) authentication methods:
   • Tiếp tục tích chọn máy chủ AD và đẩy lên vị trí ưu tiên số 1.
     
4. Bấm Apply ở dưới cùng để lưu lại.

CHẶNG 3: KÍCH HOẠT MULTI-FACTOR AUTHENTICATION (MFA/OTP)​

1. Truy cập tab Multi-factor authentication.
2. Cấu hình phân hệ One-time password (OTP):
   
   • Chọn All users (hoặc chọn nhóm user cụ thể tùy nhu cầu).
   • Bật tính năng Generate OTP token with next sign-in (Tự động tạo mã Token trong lần đăng nhập kế tiếp).
3. Tại mục Require MFA for, tích chọn các dịch vụ bắt buộc áp dụng mã xác thực bước 2:
   
   • Tích chọn VPN portal.
   • Tích chọn SSL VPN remote access.
   • Lưu ý: Bỏ tích chọn Web admin console để tránh khóa tài khoản quản trị tối cao của Firewall.
4. Bấm Apply.

CHẶNG 4: ĐĂNG NHẬP PORTAL KHỞI TẠO VÀ LẤY MÃ OTP (MFA)​

1. Sử dụng máy trạm (Client) ở đây của mình là Win10-2, mở trình duyệt web và truy cập vào đường dẫn VPN Portal của Sophos XG thông qua giao thức HTTPS và Port đã cấu hình (Ví dụ: https://[IP_WAN_Sophos]:10443).
2. Đăng nhập bằng tài khoản người dùng cần thiết lập VPN.

3. Sau khi xác thực thông tin tài khoản thành công, Sophos XG sẽ tự động điều hướng sang trang OTP tokens. Tại đây hệ thống sẽ cung cấp:

• Một Mã QR Code.
• Chuỗi mã Secret (BASE32) để nhập thủ công.
  
  
  
  
  

4. Sử dụng ứng dụng xác thực (Google Authenticator, WinAuth hoặc các Extension Authenticator trên trình duyệt) để quét mã QR hoặc nhập chuỗi Secret nhằm đồng bộ và lấy mã OTP gồm 6 chữ số (thay đổi mỗi 30 giây). Ở đây mình dùng Google Authenticator

CHẶNG 5: NGHIỆM THU KẾT NỐI TRÊN OPENVPN CONNECT​

1. Khởi động phần mềm OpenVPN Connect trên máy trạm và chọn Profile kết nối tương ứng.
2. Bấm Connect. Hệ thống sẽ yêu cầu nhập thông tin xác thực.
3. Cú pháp nhập mật khẩu áp dụng cơ chế MFA:
   • Username: Nhập tên tài khoản người dùng.
   • Password: Gõ mật khẩu gốc của tài khoản, sau đó viết liền không khoảng cách với 6 số OTP đang hiển thị trên ứng dụng xác thực (Ví dụ: MatKhauGoc123456).
     
     
     
     
     
4. Phần mềm chuyển sang trạng thái Securely Connected màu xanh lá cây. Quá trình tích hợp AD và cấu hình bảo mật 2 lớp cho SSL VPN hoàn thành hoàn hảo.

Chúc anh em thành công nhenn :3