Đối với các hệ thống mà thiết bị Local hoặc Server Local không có quyền truy cập Internet thì việc cài đặt trực tiếp Sophos Agent và để thiết bị đó giao tiếp được với Sophos Central là bất khả thi. Tuy nhiên Sophos hỗ trợ một tính năng giúp các thiết bị này không cần giao tiếp trực tiếp với Sophos Central nhưng vẫn đảm bảo update được các Policy đồng thời gửi các report đến được Central, đó là thông qua hệ thống Sophos Update Cache và Message Relay Server.
Trong bài viết này mình sẽ làm rõ các thông tin sau:
1. Định nghĩa về Update Cache và Message Relay của Sophos
2. Yêu cầu hệ thống khi cài đặt Update Cache và Message Relay Server
3. Cấu hình Update Cache và Message Relay Server
4. Cấu hình các thiết bị trỏ đến Update Cache và Message Relay Server
Sophos Update Cache được dùng để Sophos Central có thể update các gói quản trị cho thiết bị trong hệ thống. Việc triển khai Update Cache đồng thời giải quyết được vấn đề băng thông khi trong hệ thống thay vì tất cả các Server cài Agent phải giao tiếp trực tiếp và liên tục với Sophos Central thì bây giờ chỉ cần giao tiếp với Update Cache Server trong hệ thống.
Sophos Message Relay cho phép các thiết bị trong hệ thống có thể gửi các báo cáo cũng như giao tiếp được với các chính sách đến Sophos Central. Điều này hoàn toàn giải quyết được bài toán giúp các Server trong hệ thống không cần truy cập Internet mà chỉ cần Message Relay Server giao tiếp để truyền tải thông tin cho Sophos Central. Như vậy có thể hiểu, nếu chúng ta cài đặt Update Cache và Message Relay trên 1 Server đại diện, thì Server này sẽ trở thành cầu nối giao tiếp giữa các Server trong hệ thống muốn cài Agent với Sophos Central.
Để lựa chọn một Server trong hệ thống dùng để cài đặt Update Cache và Message Relay ngoài việc có thể giao tiếp được với Sophos Central (và các Server trong hệ thống, tất nhiên) thì cần đáp ứng được các yêu cầu sau:
Bước 1: Để cấu hình được tính năng Cache Update và Message Relay trên Window Server thì Window Server này cần được cài đặt Sophos Agent và Register thành công vào Sophos Central, có thể tham khảo thêm bài viết [LAB 01] Cài đặt gói Server Installer cho tính năng Sophos Server Protection để biết cách cấu hình
Bước 2: Truy cập vào Sophos Central, vào mục My Products > General Settings:
Bước 3: Ở mục General, chọn Manage Update Caches and Message Relays:
Bước 4: Sổ chọn Cache Capable Servers hoặc Cache Capable Computers (tùy vào Window Server mà các bạn muốn dùng để cài đặt), ở đây mình sẽ chọn Cache Capable Servers:
Bước 5: Chọn Window Server muốn cài đặt sau đó chọn Set Up Cache/Relay:
Bước 6: Tích chọn vào Update Cache và Message Relay và chọn Set up:
Theo dõi tiến độ cấu hình Cache và Message Relay đến khi hiển thị trạng thái Active là đã thành công:
Có thể kiểm tra gói cài đặt được lưu trữ tại C:\ProgramFiles\Sophos\ trên Window Server:
Bước 7: Để gỡ cài đặt Cache và Message Relay khỏi Server, truy cập lại phần My Products > General Settings > General > Manage Update Caches and Message Relays, sau đó sổ chọn Server muốn gỡ và chọn Remove Cache/Relay, thao tác này sẽ giúp gỡ cài đặt:
Sau khi gỡ cài đặt thành công thì các bạn sẽ thấy thông tin Status là Not Installed, lưu ý là phần Sophos Agent được cài trên Window Server này vẫn chưa bị gỡ cài đặt nhé:
Trong quá trình cài đặt, khi Server không thể truy cập Internet, thiết bị sẽ tự động tìm kiếm đến Cache và Message Relay Server gần nhất để cài đặt package. Hãy đảm thiết bị giao tiếp được với Sophos Server và đã allow tất cả các port mà chúng ta xem xét ở yêu cầu cài đặt bên trên cho thiết bị.
Bước 1: Đối với Window Server, các bạn sử dụng câu lệnh để dễ dàng trỏ đến Messege Relay Server. Sau khi đã upload được file SophosSetup.exe vào Server, tiến hành truy cập Window PowerShell và dùng lệnh cd <path-link> để truy cập vào thư mục chứa file exe và dùng lệnh ./SophosSetup --messagerelays=<IP-Message-Relay>:8190 để download package. Ví dụ như mình để trong thư mục Download:
cd C:\Users\Administrator\Downloads
./SophosSetup.exe --messagerelays=10.120.199.62:8190
Bước 2: Đối với các thiết bị Linux Server, các bạn tiến hành cài đặt Sophos Agent như bình thường (tham khảo bài viết [LAB 01] Cài đặt gói Server Installer cho tính năng Sophos Server Protection ) bằng cách sử dụng lệnh:
./SophosSetup.sh --message-relays=10.120.199.96:8190
Bước 3: Truy cập Sophos Central để kiểm tra thông tin thiết bị đã được thêm vào và bảo vệ thành công:
Chúc các bạn thành công :">
Trong bài viết này mình sẽ làm rõ các thông tin sau:
1. Định nghĩa về Update Cache và Message Relay của Sophos
2. Yêu cầu hệ thống khi cài đặt Update Cache và Message Relay Server
3. Cấu hình Update Cache và Message Relay Server
4. Cấu hình các thiết bị trỏ đến Update Cache và Message Relay Server
SOPHOS UPDATE CACHE VÀ MESSAGE RELAY
1. Định nghĩa
Sophos Update Cache được dùng để Sophos Central có thể update các gói quản trị cho thiết bị trong hệ thống. Việc triển khai Update Cache đồng thời giải quyết được vấn đề băng thông khi trong hệ thống thay vì tất cả các Server cài Agent phải giao tiếp trực tiếp và liên tục với Sophos Central thì bây giờ chỉ cần giao tiếp với Update Cache Server trong hệ thống.
Sophos Message Relay cho phép các thiết bị trong hệ thống có thể gửi các báo cáo cũng như giao tiếp được với các chính sách đến Sophos Central. Điều này hoàn toàn giải quyết được bài toán giúp các Server trong hệ thống không cần truy cập Internet mà chỉ cần Message Relay Server giao tiếp để truyền tải thông tin cho Sophos Central. Như vậy có thể hiểu, nếu chúng ta cài đặt Update Cache và Message Relay trên 1 Server đại diện, thì Server này sẽ trở thành cầu nối giao tiếp giữa các Server trong hệ thống muốn cài Agent với Sophos Central.
2. Yêu cầu hệ thống
Để lựa chọn một Server trong hệ thống dùng để cài đặt Update Cache và Message Relay ngoài việc có thể giao tiếp được với Sophos Central (và các Server trong hệ thống, tất nhiên) thì cần đáp ứng được các yêu cầu sau:
- Hỗ trợ Window Server phiên bản sau: Windows 2008 R2, Windows 2012, Windows 2012 R2, Windows 2016, Windows 2019 và Windows 2022
- Yêu cầu tối thiểu 4 CPUs và 8 GB bộ nhớ trống
- Mở port TCP 8191 (cho giao tiếp Update Cache đến các thiết bị Local) và TCP 8190 (cho giao tiếp giữa thiết bị Local đến Message Relay)
- Cấu hình DNS đảm bảo Server local của hệ thống có khả năng phân giải tên miền và tên host của Update Cache (có thể cấu hình join cùng AD hoặc cấu hình hostname match với IP của Update Cache)
- Đề xuất đối với hệ thống nhiều Chi nhánh, thì mỗi chi nhánh nên có 1 Server Update Cache và Message Relay để tránh trường hợp tổn thất băng thông và giao tiếp giữa các thiết bị Local đến Server đại diện chỉ đặt tại Trụ sở chính
- Trong trường hợp hệ thống có nhiều Update Cache và Message Relay Server thì các thiết bị sẽ tìm đến Server gần nhất để update và sử dụng để giao tiếp với Sophos Central thông qua IP của thiết bị, tất nhiên bạn vẫn có thể chỉ định cụ thể Cache và Message Relay Server sẽ quản lý thiết bị nào trong hệ thống, và trong trường hợp nếu thiết bị không thể giao tiếp đến Server được chỉ định nó sẽ cố gắng giao tiếp đến các Server khác và cuối cùng là Sophos Central.
3. Cấu hình Update Cache và Message Relay Server
Bước 1: Để cấu hình được tính năng Cache Update và Message Relay trên Window Server thì Window Server này cần được cài đặt Sophos Agent và Register thành công vào Sophos Central, có thể tham khảo thêm bài viết [LAB 01] Cài đặt gói Server Installer cho tính năng Sophos Server Protection để biết cách cấu hình
Bước 2: Truy cập vào Sophos Central, vào mục My Products > General Settings:
Bước 3: Ở mục General, chọn Manage Update Caches and Message Relays:
Bước 4: Sổ chọn Cache Capable Servers hoặc Cache Capable Computers (tùy vào Window Server mà các bạn muốn dùng để cài đặt), ở đây mình sẽ chọn Cache Capable Servers:
Bước 5: Chọn Window Server muốn cài đặt sau đó chọn Set Up Cache/Relay:
Bước 6: Tích chọn vào Update Cache và Message Relay và chọn Set up:
Theo dõi tiến độ cấu hình Cache và Message Relay đến khi hiển thị trạng thái Active là đã thành công:
Có thể kiểm tra gói cài đặt được lưu trữ tại C:\ProgramFiles\Sophos\ trên Window Server:
Bước 7: Để gỡ cài đặt Cache và Message Relay khỏi Server, truy cập lại phần My Products > General Settings > General > Manage Update Caches and Message Relays, sau đó sổ chọn Server muốn gỡ và chọn Remove Cache/Relay, thao tác này sẽ giúp gỡ cài đặt:
- Ứng dụng Update Cache và Message Relay khỏi Server
- Mọi gói cài đặt và download của Update Cache từ Sophos Central sẽ được xóa
- Window Firewall Rule trên Server sẽ được gỡ (sử dụng cho port TCP 8190 và 8191)
- Cấu hình trỏ đến Update Cache và Message Relay trên các thiết bị của hệ thống sẽ cũng được gỡ
Sau khi gỡ cài đặt thành công thì các bạn sẽ thấy thông tin Status là Not Installed, lưu ý là phần Sophos Agent được cài trên Window Server này vẫn chưa bị gỡ cài đặt nhé:
4. Cấu hình các thiết bị trỏ đến Update Cache và Message Relay Server
Trong quá trình cài đặt, khi Server không thể truy cập Internet, thiết bị sẽ tự động tìm kiếm đến Cache và Message Relay Server gần nhất để cài đặt package. Hãy đảm thiết bị giao tiếp được với Sophos Server và đã allow tất cả các port mà chúng ta xem xét ở yêu cầu cài đặt bên trên cho thiết bị.
Bước 1: Đối với Window Server, các bạn sử dụng câu lệnh để dễ dàng trỏ đến Messege Relay Server. Sau khi đã upload được file SophosSetup.exe vào Server, tiến hành truy cập Window PowerShell và dùng lệnh cd <path-link> để truy cập vào thư mục chứa file exe và dùng lệnh ./SophosSetup --messagerelays=<IP-Message-Relay>:8190 để download package. Ví dụ như mình để trong thư mục Download:
cd C:\Users\Administrator\Downloads
./SophosSetup.exe --messagerelays=10.120.199.62:8190
Bước 2: Đối với các thiết bị Linux Server, các bạn tiến hành cài đặt Sophos Agent như bình thường (tham khảo bài viết [LAB 01] Cài đặt gói Server Installer cho tính năng Sophos Server Protection ) bằng cách sử dụng lệnh:
./SophosSetup.sh --message-relays=10.120.199.96:8190
Bước 3: Truy cập Sophos Central để kiểm tra thông tin thiết bị đã được thêm vào và bảo vệ thành công:
Chúc các bạn thành công :">
Attachments
Last edited: