Sophos [LAB 4.2] Cấu Hình VPN Clientless Access Trên SophosXG

Tài liệu này sẽ hướng dẫn cấu hình VPN Clientless Access trên SophosXG v18.5

Việc sử dụng clientless access không yêu cầu cài client ở phía người dùng, nó cho phép ta truy cập trực tiếp vào các resource bên trong thông qua user portal. Các dịch vụ có thể truy cập thông qua clientless access là:

• RDP: Remote access sử dụng Remote Desktop Protocol (RDP), để truy cập từ xa 1 host window.
• TELNET: Truy cập Terminal sử dụng Telnet protocol, để quản trị switch, router,...
• SSH: Giống với telnet nhưng secure hơn vì các thông tin được mã hóa.
• FTP: File Transfer Protocol để trao đổi file qua mạng.
• FTPS: Giống với FTP nhưng có hỗ trợ TLS và SSL protocols để tăng tính bảo mật.
• SFTP: SSH File Transfer Protocol giống với FTP nhưng dùng phương thức giống SSH đã mã hóa file.
• SMB: Server Message Block (SMB) Protocol là giao thức cho phép chia sẻ file qua mạng.
• VNC: Remote access sử dụng Virtual Network Computing (VNC) để truy cập Linux/Unix host.

Lưu ý: Từ version v18 trở đi Sophos không còn hỗ trợ clientless cho HTTP/HTTPS thay vào đó ta có thể sử dụng Web Server Protection (WAF).
1. Mô hình và yêu cầu của bài lab

• Cấu hình clientless access sao cho chỉ cho user1 có thể RDP vào PC ở vlan 198 thông qua user portal.​
• Cấu hình clientless access sao cho chỉ cho user2 truy cập thư mục share từ PC ở vlan 199 thông qua user portal.​

2. Thực hiện cấu hình
Đầu tiên ta sẽ phải tạo bookmark cho service và ta muốn sử dụng, để tạo bookmark ta vào VPN->Bookmarks->Add ở đây có các thông tin như:

• Type: Loại service mà ta muốn sử dụng ở bài lab này ta sẽ chọn RDP.
• URL: Đây là ip của resource bên trong mà ta muốn truy cập RDP ở bài lab này là 172.16.198.10.
• Port: Port default của RDP là 3389 ta có thể thay đổi được port này trên PC mà ta muốn truy cập.
• Automatic login: Khi bật tính năng này ta sẽ phải nhập username và password của PC muốn truy cập trước nếu không bật ta có thể điền thông tin đó sau khi kết nối.
• Protocol security: Đối với RDP sẽ có 3 sự lựa chọn là: RDP, TLS và NLA trong bài lab này ta sẽ sử dụng NLA.

Lưu ý: Đối với các Type khác nhau sẽ có các thành phần khác nhau. Nếu có nhiều bookmark muốn sử dụng ta có thể tạo groups cho chúng bằng các vào VPN->Bookmark groups.

Sau khi đã tạo xong bookmark RDP tiếp theo ta sẽ tạo clientless access để cho phép user1 sử dụng bookmark này bằng các vào VPN->Clientless access->Add ở đây có 2 thông tin quan trọng ta cần điền là Policy members ta có thể chọn từng users hoặc group ở bài lab này ta sẽ chọn user1. Phần Published bookmarks ta sẽ chọn bookmark để assign cho user1 ở bài lab này ta sẽ chọn RDP.

Cuối cùng ta sẽ phải bật truy cập user portal trên cổng WAN bằng cách vào Administration->Device access

Lưu ý: Clientless access không cần yêu cầu cấu hình rule như SSL VPN hoặc IPSEC VPN.

Kiểm tra bằng các vào user port bằng user1 ở phần VPN ta sẽ thấy 1 lựa chọn cho Clientless access connections mà ta đã cấu hình chọn vào Connect

Ta cũng làm tương tự như trên đầu tiên ta cũng tạo bookmark. chú ý phần Init remote folder ta sẽ điền path để truy cập folder, ví dụ: sau khi cấu hình share folder hiện thông tin share là: \\Tên PC\path thì ta điền thông tin trong phần Init remote folder bắt đầu từ path, trong bài lab này path là Users\Client-Test01\Desktop\Shared (thông tin đầy đủ khi share là : \\TESTFS-2\Users\Client-Test01\Desktop\Shared)

Sau đó ta cũng tạo clientless access

Kiểm tra bằng các vào user port bằng user2 ở phần VPN ta sẽ thấy 1 lựa chọn cho Clientless access connections mà ta đã cấu hình chọn vào Connect