Sophos Firewall [LAB 10] Cấu hình tính năng IPS cho Sophos Firewall

HanaLink

Junior – IT Sơ cấp
Mar 11, 2022
189
27
28
25
Ho Chi Minh City
Trong bài viết này mình sẽ hướng dẫn các bạn cấu hình tính năng Intrusion Prevention (IPS) trên Sophos Firewall, version mình sử dụng là 19.5.

Tính năng IPS trên Sophos XGS giúp kiểm tra các lưu lượng truy cập mạng để phát hiện các điểm bất thường nhằm ngăn chặn tấn công DoS và các cuộc tấn công giả mạo khác. Bằng cách thiết lập các chính sách phù hợp mà người quản trị viên có thể xác định các hành động cần thực hiện khi lưu lượng truy cập khớp với tiêu chí signature do Sophos đưa ra. Bên cạnh đó, người quản trị còn có thể kiểm soát lưu lượng truy cập trên cơ sở từng vùng cụ thể và giới hạn lưu lượng truy cập ở các địa chỉ MAC đáng tin cậy hoặc cặp IP-MAC.

Tình huống: Bài viết sẽ hướng dẫn cách custom IPS Policy là để Drop các traffic tấn công Brute force port RDP 3389 của AD server trong khi AD sẽ NAT port 3389 ra ngoài.

1. Cấu hình NAT port 3389 của AD Server
(Hãy đảm bảo AD Server đã mở port 3389 - Remote Desktop)
Bước 1: Tạo subject cho AD Server cần được bảo vệ bên trong mạng nội bộ. Truy cập vào GUI của Firewall, vào phần Hosts and service > IP host > Add:
1700471636128.png


Bước 2: Điền thông tin tên, địa chỉ IP của AD server rồi chọn Save:
1700471689921.png

Tương tự trường hợp nếu Sophos các bạn chưa có Object service RDP thì các bạn vào phần Service > Add:
1700472805997.png

Điền thông tin và chọn Save:
1700472845859.png


Bước 3: Vào phần PROTECT > Rules and policies > NAT rules > Add NAT rule > Server access assistant (DNAT)
1700471894319.png


Bước 4: Chọn AD Server vừa tạo và chọn Next:
1700472154901.png


Bước 5: Tiếp tục chọn cổng WAN muốn NAT và chọn Next:
1700472657662.png


Bước 6: Chọn service muốn NAT và chọn Next:
1700472939191.png


Bước 7: Tùy chỉnh thiết bị hoặc subnet có thể truy cập, nếu không có thì chọn Any và chọn Next:
1700473000657.png


Bước 8: Kiểm tra thông tin cấu hình và chọn Save and finish:
1700473038358.png


Kiểm tra truy cập RDP đến AD Server:
1700473238594.png


2. Cấu hình IPS Policy
Bước 1: Truy cập vào phần PROTECT > Intrusion prevention > IPS policies và Enable tính năng này:
1700473489036.png


Bước 2: Chọn Add:
1700473843751.png


Bước 3: Đặt tên cho policy và chọn Save:
1700473880953.png


Bước 4: Chọn Edit ở policy vừa thêm:
1700473910850.png


Bước 5: Chọn Add:
1700473936730.png


Bước 6:
 

Attachments

  • 1699267383363.png
    1699267383363.png
    342.2 KB · Views: 0
  • 1699267468720.png
    1699267468720.png
    57.2 KB · Views: 0
Last edited:

About us

  • Securityzone.vn là một trang web chuyên về an ninh mạng và công nghệ thông tin. Trang web này cung cấp các bài viết, tin tức, video, diễn đàn và các dịch vụ liên quan đến lĩnh vực này. Securityzone.vn là một trong những cộng đồng IT lớn và uy tín tại Việt Nam, thu hút nhiều người quan tâm và tham gia. Securityzone.vn cũng là nơi để các chuyên gia, nhà nghiên cứu, sinh viên và người yêu thích an ninh mạng có thể trao đổi, học hỏi và chia sẻ kiến thức, kinh nghiệm và giải pháp về các vấn đề bảo mật trong thời đại số.

Quick Navigation

User Menu