Sophos NGFW Cấu hình xác định người dùng bằng Captive Portal

Cấu hình xác định người dùng bằng Captive Portal (user được tạo local trên NGFW và thông qua tích hợp với AD (Active Directory)​

I. Lý thuyết
Captive Portal:
Định danh người dùng trên thiết bị cá nhân
Quản lý chính sách theo Con Người
Captive Portal là một trang web đặc biệt được Firewall (như Sophos XG) tự động hiển thị để chặn người dùng lại, bắt buộc họ phải thực hiện một hành động (đăng nhập, đồng ý điều khoản) trước khi cho phép truy cập Internet.

II. Mô hình


III. Thực hành

1. Khai báo Active Directory trên Sophos, Import Group từ DC vào Sophos
Bước 1: Tích hợp Active Directory (AD) vào Sophos XG

1. Truy cập Authentication > Servers > Nhấn Add.
2. Server type: Active Directory.
3. IP Address: IP của máy chủ AD.
4. Port: 389 (LDAP) hoặc 636 (LDAPS - khuyên dùng nếu có chứng chỉ).
5. NetBIOS domain: Tên domain
6. ADS user name / password: Tài khoản có quyền đọc AD (nên dùng tài khoản Administrator hoặc Service Account).
7. Connection security: Simple (nếu dùng port 389).
8. Display Name Attribute: displayName (để hiển thị tên đầy đủ).
9. Email Address Attribute: mail.
10. Nhấn Test Connection để đảm bảo kết nối thành công. Sau đó nhấn Save.

Hình 2.1. Lấy thông tin Display Name Attribute trên DC



Hinh 2.2. Khai báo kết nối từ Sophos đến DC


Hình 2.3. Kiểm tra DC trên Sophos

Bước 2: Quản lý User và Group
2.1. Đối với Active Directory Users:

1. Truy cập Authentication > Servers.
2. Nhấn vào biểu tượng Import (hình mũi tên tải xuống) bên cạnh AD Server vừa tạo.
3. Làm theo hướng dẫn (Wizard) để chọn các Groups (OU) trong AD mà bạn muốn cho phép truy cập mạng (ví dụ: HR, IT, All_Staff).

Lưu ý: Bạn import Group, khi user thuộc group đó đăng nhập lần đầu, user sẽ tự động được tạo trên Sophos.

2.2. Đối với Local Users:

1. Truy cập Authentication > Users.
2. Nhấn Add để tạo user thủ công (dành cho khách hoặc nhân viên không có AD).
3. Điền Username, Password và gán vào Group tương ứng (ví dụ: Open Group hoặc tạo Group mới là Guest).

Hình 2.4. Import Group từ DC đến Sophos



Hình 2.5. Khai báo User Local Sophos

Bước 3: Cấu hình ưu tiên phương thức xác thực

1. Truy cập Authentication > Services.
2. Tại mục Firewall authentication methods:

Chọn Server AD bạn vừa tạo và đẩy lên trên cùng.
Đảm bảo Local nằm ở phía dưới.
Lý do: Sophos sẽ kiểm tra AD trước, nếu không tìm thấy user trong AD thì mới tìm trong Local database.

1. Nhấn Apply.

Hình 2.6. Thứ tự các phương thức xác thực

2. Cấu hình Firewall Rule kết hợp Captive Portal

Bước 4: Bật dịch vụ Captive Portal trên Zone

1. Truy cập Administration > Device Access.
2. Tại dòng Local service ACL, tìm cột Captive Portal.
3. Tích chọn (Check) vào ô tương ứng với LAN (hoặc WiFi nếu bạn áp dụng cho mạng Wifi).
4. Nhấn Apply.

Bước 5: Cấu hình Captive Portal Settings (Tùy chọn)
Truy cập Authentication > Web authentication.
Captive Portal behavior: Bạn có thể chọn Show captive portal link (hiện link đăng nhập khi bị chặn) hoặc tự động chuyển hướng (nhưng lưu ý với HTTPS sẽ bị lỗi certificate warning nếu không cài CA).

Bước 6: Tạo Firewall Rule để kích hoạt Captive Portal

1. Truy cập Rules and policies > Firewall rules > Add firewall rule > New firewall rule.
2. Source zones: LAN
3. Destination zones: WAN.
4. Action: Accept.
5. Tích vào ô Match known users.
6. Tích vào ô Use web authentication for unknown users
7. Tại mục Users or groups: Chọn các Group AD đã import và Group Local (hoặc chọn Any nếu muốn áp dụng cho tất cả user đã tạo).
8. Giải thích: Nếu người dùng chưa đăng nhập (Unknown), Firewall sẽ chặn traffic internet và đẩy ra trang Captive Portal yêu cầu đăng nhập. -> Nên cần có Rule Allow DNS trước
9. Cấu hình các phần khác (Security features, Logging) như bình thường.
10. Nhấn Save.

Hình 3.1. Bật dịch vụ Captive Portal trên Zone LAN

Giải thích: Tạo Rule cho phép DNS trước:
Để trình duyệt hiện ra trang Captive Portal, quy trình phải diễn ra như sau:

1. Máy tính hỏi: "https://www.google.com/search?q=Google.com địa chỉ IP là bao nhiêu?" (Gửi gói tin DNS UDP 53).
2. DNS Server trả lời: "Là 142.250.x.x".
3. Máy tính gửi lệnh kết nối đến 142.250.x.x.
4. Firewall thấy kết nối web -> Chặn lại ->Hiện Captive Portal.
5. Vấn đề của bạn: Cái Rule Captive Portal bạn vừa tạo đang yêu cầu "Phải đăng nhập thì mới được đi qua". -> Vì người dùng chưa đăng nhập, nên Firewall chặn luôn cả gói tin DNS ở bước 1. -> Máy tính không phân giải được tên miền -> Báo lỗi "No Internet" (hoặc DNS_PROBE_FINISHED_NXDOMAIN) -> Không bao giờ tải được trang web để mà hiện Portal.

=> CÁCH KHẮC PHỤC: Rule cho DNS để nó phân giải được tên miền trước


Hình 3.2. Tạo Rule cho phép truy cập DNS




Hình 3.3. Cấu hình Profile Rule LAN_to_WAN kết hợp Captive Portal



Hình 3.4. Cấu hình xác thực Captive Portal, chỉ định các Groups/Users xác thực



Hình 3.5. Profile của Captive Portal



Hình 3.6. Trình duyệt yêu cầu xác thực


Hình 3.8. Xác thực thành công sử dụng User Local Sophos



Hình 3.9. Yêu cầu xác thực



Hình 3.10. Xác thực thành công sử dụng User Active Directory


Hình 3.12. Truy cập website thành công