Sophos NGFW Xác định người dùng bằng Agent (CAA)

I. Lý thuyết
1. Tổng quan
Với môi trường Domain lớn, người ta thường dùng STAS (Sophos Transparent Authentication Suite). STAS cài trên AD Server, tự động phát hiện user khi họ login vào Windows mà không cần cài agent lên từng máy con. Chỉ dùng Agent (CAA) cài trên máy khi:
Máy tính không join domain.
Hệ điều hành là macOS hoặc Linux (nơi STAS hạn chế).
STAS hoạt động không ổn định.
2. Tóm tắt luồng hoạt động

1. Người dùng mở máy tính.
2. Phần mềm Agent (được cấu hình Auto-launch) bật lên.
3. Người dùng nhập user/pass (hoặc Agent tự nhớ) -> Gửi thông tin đến Sophos XG.
4. Sophos XG kiểm tra với AD Server (nếu là user AD) hoặc Database nội bộ (nếu là user Local).
5. Nếu đúng -> Sophos map IP của máy tính đó với Username đó.
6. Khi user truy cập mạng, Firewall Rule sẽ kiểm tra xem User này có được phép đi qua không.

II. Mô hình


III. Cấu hình
Bước 1: Tích hợp Active Directory (AD) vào Sophos XG
Trước hết, bạn cần đảm bảo Sophos XG có thể kết nối với AD để xác thực các user miền (domain users).

1. Truy cập Configure > Authentication > Servers.
2. Nhấn Add để thêm server mới.
3. Chọn Server type là Active Directory.
4. Điền các thông tin:
5. Server IP/Port: IP của máy chủ AD (thường là port 389 hoặc 636 nếu dùng SSL).
6. NetBIOS domain: Tên domain (VD: COMPANY).
7. ADS User Name/Password: Tài khoản Administrator của AD để Sophos có quyền query thông tin.
8. Connection Security: Chọn Simple hoặc SSL/TLS tùy cấu hình AD.
9. Nhấn Test Connection để đảm bảo kết nối thành công.

Hình 1.1. Lấy thông tin NetBIOS, Display Name Attribute trên DC


Hình 1.2. Khai báo DC trên Sophos

1. Sau khi lưu, nhấn vào biểu tượng Import (hình mũi tên tải xuống) bên cạnh AD Server vừa tạo để import các Groups hoặc OU từ AD vào Sophos XG.

Hình 1.3. Import Group từ DC lên Sophos


Hình 1.4. Kết nối thành công từ Sophos đến AD



Hình 1.5. Kiểm tra thông tin về User/Group Local và AD

Bước 2: Cấu hình ưu tiên xác thực (Authentication Services)

1. Truy cập Configure > Authentication > Services.
2. Tại mục Firewall authentication methods:
3. Chọn AD Server bạn vừa tạo ở Bước 1.
4. Chọn Local.
5. Quan trọng: Sắp xếp thứ tự sao cho AD Server nằm trên cùng, sau đó đến Local. Điều này đảm bảo user AD được ưu tiên xác thực đúng.

Hình 2.1. Cấu hình Authentication Methods

Bước 3: Tải và Cài đặt Agent (Client Authentication Agent)
Đây là bước thực hiện trên máy tính của người dùng (User PC). Agent này được tải về từ User Portal của Sophos XG.
3.1. Kích hoạt User Portal (Nếu chưa bật):

1. Vào Administration > Device Access.
2. Tick chọn User Portal ở zone LAN (hoặc zone mà người dùng đang kết nối).

Hình 3.1. Cấu hình Local Service User Portal

3.2. Tải Agent:

1. Từ máy tính người dùng, mở trình duyệt và truy cập: https://<IP_LAN_Sophos_XG>:443 (hoặc port User Portal bạn đã đổi).
2. Đăng nhập bằng tài khoản người dùng (AD hoặc Local đều được).
3. Tại giao diện User Portal, chọn tab Download Client (Tải xuống máy khách).
4. Tìm mục Authentication Client và nhấn Download for Windows (hoặc macOS/Linux tương ứng).

Hình 3.2. Port cấu hình của Portal


Hình 3.3. Truy cập User Portal


Hình 3.4. Download các Authentication Clients về máy Client tương ứng

3.3. Cài đặt và Đăng nhập:

1. Cài đặt file .exe vừa tải về trên máy người dùng.
2. Sau khi cài xong, mở ứng dụng Sophos Authentication Agent (thường có icon hình cái khiên màu xanh/trắng ở khay hệ thống).
3. Nhập thông tin:
4. Username/Password: Tài khoản AD hoặc Local của người dùng.
5. Nhấn Login. Nếu thành công, biểu tượng sẽ sáng lên và thông báo đã xác thực.

Hình 3.5. File .exe của gói Authentication Client for Windows


Hình 3.6. Cài đặt CAA


Hình 3.7. Sau khi cài đặt thành công thì xuất hiện Client Authentication Agent

Bước 4: Tạo Policy áp dụng cho User (Identity-based Rule)

1. Vào Protect > Rules and policies > Firewall rules.
2. Tạo mới hoặc sửa Rule cho phép ra internet (LAN to WAN).
3. Kéo xuống phần Identity and control (hoặc User/Network Rule ở phiên bản cũ):
4. Tick chọn Match known users.
5. Tại mục Show captive portal to unknown users, bạn BỎ TICK (Vì chúng ta đang dùng Agent, không dùng Web Captive Portal).
6. Trong danh sách Users or groups, thêm các Group AD hoặc User Local mà bạn muốn áp dụng chính sách này.
7. Lưu Rule lại

Hình 4.1. Quá trình tạo Firewall Rule

Bước 5: Kiểm tra kết quả

Hình 5.1. Truy cập trang web tước khi Connect CAA (Client Authentication Agent)

TH1: Xác thực Local

Hình 5.2. Login sử dụng User/Password Local Database Sophos

Hình 5.3. Kiểm tra lại kết nối thấy thành công


Hình 5.4. Kiểm tra Log xác thực thành công

TH2: Xác thực Active Directory

Hình 5.5. Login sử dụng User/Password của Active Directory


Hình 5.6. Kiểm tra kết nối thành công


Hình 5.7. Kiểm tra Log xác thực thành công