Trong bài viết này mình sẽ hướng dẫn các bạn cấu hình tính năng Intrusion Prevention (IPS) trên Sophos Firewall, version mình sử dụng là 19.5.
Tính năng IPS trên Sophos XGS giúp kiểm tra các lưu lượng truy cập mạng để phát hiện các điểm bất thường nhằm ngăn chặn tấn công DoS và các cuộc tấn công giả mạo khác. Bằng cách thiết lập các chính sách phù hợp mà người quản trị viên có thể xác định các hành động cần thực hiện khi lưu lượng truy cập khớp với tiêu chí signature do Sophos đưa ra. Bên cạnh đó, người quản trị còn có thể kiểm soát lưu lượng truy cập trên cơ sở từng vùng cụ thể và giới hạn lưu lượng truy cập ở các địa chỉ MAC đáng tin cậy hoặc cặp IP-MAC.
Tình huống: Bài viết sẽ hướng dẫn cách custom IPS Policy là để Drop các traffic tấn công Brute force port RDP 3389 của AD server trong khi AD sẽ NAT port 3389 ra ngoài.
1. Cấu hình NAT port 3389 của AD Server
(Hãy đảm bảo AD Server đã mở port 3389 - Remote Desktop)
Bước 1: Tạo subject cho AD Server cần được bảo vệ bên trong mạng nội bộ. Truy cập vào GUI của Firewall, vào phần Hosts and service > IP host > Add:
Bước 2: Điền thông tin tên, địa chỉ IP của AD server rồi chọn Save:
Tương tự trường hợp nếu Sophos các bạn chưa có Object service RDP thì các bạn vào phần Service > Add:
Điền thông tin và chọn Save:
Bước 3: Vào phần PROTECT > Rules and policies > NAT rules > Add NAT rule > Server access assistant (DNAT)
Bước 4: Chọn AD Server vừa tạo và chọn Next:
Bước 5: Tiếp tục chọn cổng WAN muốn NAT và chọn Next:
Bước 6: Chọn service muốn NAT và chọn Next:
Bước 7: Tùy chỉnh thiết bị hoặc subnet có thể truy cập, nếu không có thì chọn Any và chọn Next:
Bước 8: Kiểm tra thông tin cấu hình và chọn Save and finish:
Kiểm tra truy cập RDP đến AD Server:
2. Cấu hình IPS Policy
Bước 1: Truy cập vào phần PROTECT > Intrusion prevention > IPS policies và Enable tính năng này:
Bước 2: Chọn Add:
Bước 3: Đặt tên cho policy và chọn Save:
Bước 4: Chọn Edit ở policy vừa thêm:
Bước 5: Chọn Add:
Bước 6:
Tính năng IPS trên Sophos XGS giúp kiểm tra các lưu lượng truy cập mạng để phát hiện các điểm bất thường nhằm ngăn chặn tấn công DoS và các cuộc tấn công giả mạo khác. Bằng cách thiết lập các chính sách phù hợp mà người quản trị viên có thể xác định các hành động cần thực hiện khi lưu lượng truy cập khớp với tiêu chí signature do Sophos đưa ra. Bên cạnh đó, người quản trị còn có thể kiểm soát lưu lượng truy cập trên cơ sở từng vùng cụ thể và giới hạn lưu lượng truy cập ở các địa chỉ MAC đáng tin cậy hoặc cặp IP-MAC.
Tình huống: Bài viết sẽ hướng dẫn cách custom IPS Policy là để Drop các traffic tấn công Brute force port RDP 3389 của AD server trong khi AD sẽ NAT port 3389 ra ngoài.
1. Cấu hình NAT port 3389 của AD Server
(Hãy đảm bảo AD Server đã mở port 3389 - Remote Desktop)
Bước 1: Tạo subject cho AD Server cần được bảo vệ bên trong mạng nội bộ. Truy cập vào GUI của Firewall, vào phần Hosts and service > IP host > Add:
Bước 2: Điền thông tin tên, địa chỉ IP của AD server rồi chọn Save:
Tương tự trường hợp nếu Sophos các bạn chưa có Object service RDP thì các bạn vào phần Service > Add:
Điền thông tin và chọn Save:
Bước 3: Vào phần PROTECT > Rules and policies > NAT rules > Add NAT rule > Server access assistant (DNAT)
Bước 4: Chọn AD Server vừa tạo và chọn Next:
Bước 5: Tiếp tục chọn cổng WAN muốn NAT và chọn Next:
Bước 6: Chọn service muốn NAT và chọn Next:
Bước 7: Tùy chỉnh thiết bị hoặc subnet có thể truy cập, nếu không có thì chọn Any và chọn Next:
Bước 8: Kiểm tra thông tin cấu hình và chọn Save and finish:
Kiểm tra truy cập RDP đến AD Server:
2. Cấu hình IPS Policy
Bước 1: Truy cập vào phần PROTECT > Intrusion prevention > IPS policies và Enable tính năng này:
Bước 2: Chọn Add:
Bước 3: Đặt tên cho policy và chọn Save:
Bước 4: Chọn Edit ở policy vừa thêm:
Bước 5: Chọn Add:
Bước 6:
Attachments
Last edited:
![[LAB 13] Cấu hình tính năng Zero-day Protection trên Sophos XGS](data:image/png;base64,iVBORw0KGgoAAAANSUhEUgAAAAEAAAABCAQAAAC1HAwCAAAAC0lEQVR42mP8Xw8AAoMBgDTD2qgAAAAASUVORK5CYII=)