TÀI LIỆU CẤU HÌNH SOPHOS UTM (Unified Threat Management) Version 9.X Biên soạn Công Ty Cổ Phần DASS ĐC: Lầu 1, Tòa nhà PVFCco, 43 Mạc Đĩnh Chi, P Đa Kao, Q.1, Tp HCM ĐT: +84 5445 6977 | Fax: +84 5445 6976 | Email: info@dass.vn THÔNG TIN KIỂM SOÁT Đơn vị chịu trách nhiệm CÔNG TY CỔ PHẦN DASS Địa : Lầu 1, Tòa nhà PVFCco, 43 Mạc Đĩnh Chi, P Đa Kao, Q.1, Tp HCM Điện thoại : +84 5445 6977 Fax : +84 5445 6976 Email : tec@dass.vn Mô tả Tài liệu hướng dẫn cấu hình thiết bị Sophos UTM Tác giả DASS Biên tập Phiên 1.0 (Sophos UTM Version 9.x) Thời hạn hiệu lực Phạm vi lưu hành Dành riêng cho nội DASS khách hàng liên quan Tài liệu thay cho Các tài liệu đính kèm Hotline Hỗ trợ kỹ thuật +84 5445 6977 Email tec@dass.vn Tài liệu cấu hình SOPHOS UTM v9.x Email support: tec@dass.vn MỤC LỤC MÔ HÌNH KẾTNỐI 1.1 Chuẩn bị 1.2 Kết nối thiết bị BƯỚC CÀI ĐẶT 2.1 Bước cài đặt 2.2 Các bước cài đặt nâng cao CHI TIẾT CÀI ĐẶTCƠ BẢN 3.1 Cài đặt Software 3.2 Cài đặt thiết bị Hardware 3.3 Khai báo thông số ban đầu 3.4 Bỏ qua cấu hình wizard 3.5 Cấu hình LAN interface 3.6 Cấu hình WAN interface 10 3.7 Cấu hình DNS Server 11 3.8 Cấu hình DHCP Server 12 3.9 Cấu hình Firewall Rules 13 3.10 Cấu hình NAT MASQUERADING 16 CÂU HÌNH CÀI ĐẶT NÂNG CAO 17 4.1 Cấu hình Uplink Balancing 17 4.2 Cấu hình phòng chống xâm nhập (IPS) 18 4.2.1 Cấu hình tính phòng chống xâm nhập 18 4.2.2 Tính Attack Patterns 19 4.2.3 Cấu hình tính Anti-DoS/ Flooding 20 4.2.4 Bật tính Anti-Portscan 22 4.2.5 Cấu hình Exception 23 4.2.6 Cấu hình chủ bảo vệ 23 4.3 Cấu hình Web Filtering 24 4.4 Cấu hình Mail Protection 29 4.5 Cấu hình VPN Site-to-Site SSL 29 4.6 Cấu hình VPN Site-to-Site IPSec 32 Tài liệu cấu hình SOPHOS UTM v9.x Email support: tec@dass.vn 4.7 Cấu hình Client-to-Site SSL 32 4.8 Cấu hình Client-to-Site PPTP 32 4.9 Tích hợp AD Authentication 32 4.10 Cấu hình Web Protection nâng cao 33 4.10.1 Cấu hình Web Filtering Profiles 33 4.10.2 Cấu hình Filtering Options 34 4.10.3 Cấu hình Policy Test 39 4.10.4 Cấu hình Application Control 39 4.10.5 Cấu hình FTP (File Transfer Protocol) 41 4.11 Cấu hình phần quản trị backup, notify 43 4.11.1 Cấu hình backup 43 4.11.2 Cấu hình Notifications 45 4.11.3 Cấu hình xem báo cáo 46 4.11.4 Cấu hình gửi báo cáo 46 4.12 Reset password admin 47 4.13 Reset password root 48 4.14 Reset factory default 51 4.15 Cấu hình thay thiết bị Backup-Restore 52 Tài liệu cấu hình SOPHOS UTM v9.x Email support: tec@dass.vn MÔ HÌNH KẾTNỐI 1.1 Chuẩn bị Scope of Supply License: Activate license sử dụng trial 30-ngày với đầy đủ tính Xác nhận tập tin quyền (có thể skip bước để dùng trial 30 ngày) Tài liệu cấu hình SOPHOS UTM v9.x Email support: tec@dass.vn 1.2 Kết nối thiết bị Mô hình kết nối thiết bị FireWall UTM thiết bị LAN, WAN Kết nối cổng LAN WAN thiết bị: • Kết nối LAN thông qua cổng eth0 (SG 210/230/310/330) cổng MGMT (SG 430/450) Dùng Cable ethernet RJ45 để kết nối từ cổng LAN thiết bị UTM đến thiết bị Switch, Hub mạng internal • Kết nối WAN thông qua cổng eth1 (SG 210/230/310/330) cổng định cổng WAN modul mở rộng (SG 430/450) Kết nối từ cổng WAN thiết bị UTM đến INTERNET Các thông số mặc định thiết bị UTM: • • • • • • • Internal network card (eth0/MGMT) IP address: 192.168.0.1 Network mask: 255.255.255.0 Default gateway: None DNS proxy: Enabled Firewall: Block all DHCP service: Disabled Tài liệu cấu hình SOPHOS UTM v9.x Email support: tec@dass.vn BƯỚC CÀI ĐẶT 2.1 Bước cài đặt STT CÔNG VIỆC Gắn thiết bị, bật nguồn, gắn cáp Kết nối web admin: https://192.168.0.1:4444 Khai báo thông số ban đầu 10 Bỏ qua Wizard, License: 30 ngày trial Cấu hình LAN Interface Cấu hình WAN Interface Cấu hình DNS server Cấu hình DHCP server (nếu cần) Cấu hình Firewall rules Cấu hình NAT (MASQUERADING) GHI CHÚ CHI TIẾT Mục 3.2 Thông tin công ty, dùng để tạo Certificate theo wizard cần Mục 3.3 Mục 3.4 Mục 3.5 Mục 3.6 Mục 3.7 Mục 3.8 Cho phép LAN Internet Mục 3.9 Mục 3.10 Kết quả: Sau bước cài đặt bản, máy tính LAN có khả Internet 2.2 Các bước cài đặt nâng cao STT 10 11 12 13 14 15 CÔNG VIỆC Cấu hình Link Load balancing Cấu hình IPS Cấu hình Web Protection Cấu hình Email Protection Cấu hình VPN Site-tos-site SSL Cấu hình VPN Site-tos-site IPSec Cấu hình VPN Client-to-site SSL Cấu hình VPN Client-to-site PPTP Tích hợp AD authentication Cấu hình Web Protection nâng cao Cấu hình phần quản trị: backup, notify Reset password admin Reset password root Reset factory default Thay thiết bị: Backup-Restore Tài liệu cấu hình SOPHOS UTM v9.x GHI CHÚ CHI TIẾT Mục 4.1 Mục 4.2 Mục 4.3 Mục 4.4 Mục 4.5 Mục 4.6 Mục 4.7 Mục 4.8 Mục 4.9 Mục 4.10 Mục 4.11 Mục 4.12 Mục 4.13 Mục 4.14 Mục 4.15 Email support: tec@dass.vn CHI TIẾT CÀI ĐẶTCƠ BẢN 3.1 Cài đặt Software • • Sophos cho tải hoàn toàn miễn phí phiên hãng Cấu hình tối thiểu phần cứng sau: o 1.5+ GHz processor o GB RAM (2GB Recommended) o 40 GB hard disk o Bootable CD-ROM o or more network cards Có thể tải gói cài đặtUTM v9 software appliance link sau: http://www.sophos.com/en-us/support/utm-downloads.aspx • Cài đặt máy ảo • Mặc định ta cấu hình thông qua WebAdmin Thông qua địa mặc định: https://192.168.2.100:4444/ Tham khảo thêm Quick Star Guide đây: 3.2 Cài đặt thiết bị Hardware • Cài đặt phiên OS: Có thể tải gói cài đặtUTM v9 hardware appliance link sau: http://www.sophos.com/en-us/support/utm-downloads.aspx Các bước tiến hành cài đặt OS: o Download phiên ISO image o Ghi ISO image vào disc CD Tài liệu cấu hình SOPHOS UTM v9.x Email support: tec@dass.vn o Insert CD and boot the Sophos UTM appliance from the CD-ROM USB drive o Follow the on-screen installation instructions The WebAdmin URL will be shown in the final step of the installation o Point your browser to the web-based configuration tool (WebAdmin) o Follow the wizard to setup a basic configuration • Mặc định truy cập cấu port Eth0 Với địa ip mặc định https://192.168.0.1:4444/ • Đầu tiên Login vào WebAdmin ta thiết lập thông số cho hệ thống sau (chỉ thiết lập lần login thay đổi sau) 3.3 Khai báo thông số ban đầu Thuộc tính Hostname Mô tả Tên thiết bị tên công ty, tổ chức tên thành phố chọn quốc gia gõ mật admin nhập lại mật admin Repeat password Admin account email address nhập địa email sau thiết bị tự động gửi báo cáo Company or Organization Name City Country Admin account password Sau check vào "I accept the license agreement" sau Click "Perform basic system setup" • Đợi khoảng 40 giây đăng nhập lại ta giao diện LOGIN sau: Tài liệu cấu hình SOPHOS UTM v9.x Email support: tec@dass.vn 3.4 Bỏ qua cấu hình wizard • Sau Login vào hệ thống yêu cầu cấu hình theo Wizard chọn Continue • • Chọn Restore a backup trước có file cấu hình sẵn để phục hồi cấu hình Nhấn "Cancel" để bỏ qua bước cấu hình cho thiết bị từ đầu 3.5 Cấu hình LAN interface • Vào mode "Interface & Routing" > "Inerface" > "New interface" Cấu hình thông số bản: o Name: Tên Interface Tài liệu cấu hình SOPHOS UTM v9.x Email support: tec@dass.vn 38 • Web Caching: Khi Enable Caching web proxy lưu trữ nội dung đệm Cache • Skip transparent mode soure hosts/nets: Các địa IP, Host URLs thiết lập bỏ qua không lọc duyệt web • Skip Transparent mode destination hosts/nets: Khi truy cập đến địa IP mạng, URLs thiết lập không bị Filter Allow HTTP/S traffic for listed hosts/nets: Cho phép truy cập không cần qua Proxy • Tài liệu cấu hình SOPHOS UTM v9.x Email support: tec@dass.vn 39 4.10.3 Cấu hình Policy Test Nhập thông tin Domain cần test URLs để xem kế bên phải hình (Allowed Bloccked) 4.10.4 Cấu hình Application Control • Vào "Applicatio Control" > Enable chức • Cấu hình Application Control Rules >>Tạo "New Rule " Trong đó: o o Name: Tên rule Group: Tạo Group IP, Network rules Tài liệu cấu hình SOPHOS UTM v9.x Email support: tec@dass.vn 40 o o o • Action: Block Allow Control by: Chọn Applications Dynamic Filter Control these Applications: Thêm ứng dụng muốn Block Allow Cấu hình danh sách bỏ qua tính Application Control Application Control Skiplist: Cho phép thêm IP , Hosts để bỏ qua Application Control Tài liệu cấu hình SOPHOS UTM v9.x Email support: tec@dass.vn 41 4.10.5 Cấu hình FTP (File Transfer Protocol) • Cấu hình tổng thể Trong đó: o o • Allow network: Lựa chọn mạng phép dịch vụ FTP Operation Mode: Lựa chọn cách thức hoạt động FTP Cấu hình FTP-Antivirus: Cấu hình tính quét virus chạy giao thức FTP Trong đó: o o o Use Antivirus scanning: Có thể chọn Single-Scan Dual-Scan để quét virus Max scanning size: Chọn kích thước file để scan File Extension filter: Thêm vào file có phần mở rộng mà muốn Block Tài liệu cấu hình SOPHOS UTM v9.x Email support: tec@dass.vn 42 • Cấu hình Exception: tạo danh sách ngoại lệ để bỏ qua rule như: Antivius, files Extention, • Cấu hình Advaced: Cho phép tạo danh sách host, IP để FTP proxy bỏ qua Tài liệu cấu hình SOPHOS UTM v9.x Email support: tec@dass.vn 43 4.11 Cấu hình phần quản trị backup, notify 4.11.1 • Cấu hình backup Vào mode Management > "Backup/Restore" > tab "Backup/Restore" thực việc Backup cho hệ thống Quá trình thực hiện: o Nhập tên file backup Comment (Optional) Có thể không cho hiển thị thông tin license, password, Endoint, Certificates/keys địa mail người quản trị Click vào nnút "Create backup now" để thực trình backup o Sau download file bakup click vào biểu tượng " o o Tài liệu cấu hình SOPHOS UTM v9.x " Email support: tec@dass.vn 44 • Chuyển qua tab "Automatic Backups" Tại cho phép cấu hình thông tin để backup tự động như: o o o o • Thời gian thực backup: Daily, Weekly, Monthly Giới hạn số lượng file backup lưu thiết bị Gửi file backup mail định Cho phép mã hoá email thực gửi file backup Hoàn tất click nút "Apply" để lưu cấu hình Tài liệu cấu hình SOPHOS UTM v9.x Email support: tec@dass.vn 45 4.11.2 • • Cấu hình Notifications Vào mode Management > "Notificaions" > tab "Global" thực việc định thông báo đến email định Nhấn Apply để save thiết lập • Qua tab "Notifications" để cấu hình lựa chọn cho việc gửi notifications đến email định • Click nút Apply cho loại (Base System, Endpoint, HA/Cluster, IPS, Loging&Reporting, SeftMonitor, Up2date) Tài liệu cấu hình SOPHOS UTM v9.x Email support: tec@dass.vn 46 4.11.3 • Cấu hình xem báo cáo Vào Loging and Reporting >> View Log Files o Tab " Today's log file" xem file log ngày "Live log" xem log diễn ra, "view" xem log ngày, "Clear log" xoá log o o Tab "Archived Log Files" Lưu log ngày trước dó, download máy tính để xem Tab "Search Log File" tìm file log theo loại theo thời gian để xem 4.11.4 Cấu hình gửi báo cáo Vào loging and reporting >> Executive Report >> • • • Tab "View report" Nhấn Generate Report Now để xem thông tin phần cứng ứng dụng Tab " Archived Executive Report" Chọn report lưu trước để tải máy xem Tab "Configuration": o Daily executive report: Gửi báo cáo hàng ngày o Archive PDF reports: gửi gói báo cáo dạng PDF o Send reports as PDF instead of HTML: gửi dạng PDF thay cho HTML o Email address: Địa email nhận báo cáo Tài liệu cấu hình SOPHOS UTM v9.x Email support: tec@dass.vn 47 • Tương tự cấu hình với Weekly Monthly 4.12 Reset password admin Tiến hành reset password admin, đảm bảo login vào quyền root • Đứng mode root, nhấn lệnh "cc" enter, sau sẽlàm việc với mode 127.0.0.1 MAIN> giao diện command-line • Tại 127.0.0.1 MAIN> gõ "RAW", chuyển mode RAW • Tiếp tục gõ "system_password_reset" Tài liệu cấu hình SOPHOS UTM v9.x Email support: tec@dass.vn 48 • Sau đăng nhập lại vào webadmin, Sẽ yêu cầu đặt lại password • Nhấn "Apply " để lưu lại thông tin vừa reset Và đăng nhập với quyền Admin 4.13 Reset password root Cách 1: Reset qua giao diện command-line • Khởi động lại Sophos UTM, giao diện Command-line nhấn "ESC": Tài liệu cấu hình SOPHOS UTM v9.x Email support: tec@dass.vn 49 • Chọn Sophos UTM 9.x beta hình (không chọn "previous" hay "rescue") Tiếp theo, chọn dòng lệnh "kernel" cách nhấn phím "e" (không nhấn enter") Nhấn lại phím "e" lần nhập dòng lệnh "init=/bin/bash" vào cuối đoạn text Nhấn "enter" sau nhấn phím "b" để reboot sophos UTM Sau reboot xong, trỏ nằm vị trí "(none:/#_)" o Đến bước reset password Password loginuser nhâp "passwd loginuser" o nhập nhập lại password tài khoản "loginuser" o Đến tài khoản root: "passwd root" o nhập nhập lại password tài khoản "root" Tài liệu cấu hình SOPHOS UTM v9.x Email support: tec@dass.vn 50 Nhấn "Ctrl+Alt+Delete" để khởi động lại sophos UTM đăng nhập để check lại thông tin vừa reset Cách 2: Reset qua giao diện webadmin Đăng nhập vào webadmin • Vào Management | System Settings | Reset Configurations or Passwords chọn 'Run factory reset now' • Tài liệu cấu hình SOPHOS UTM v9.x Email support: tec@dass.vn 51 4.14 Reset factory default Cách 1: Reset với giao diện command-line Tiến hành reset factory default, đảm bảo login vào quyền root Tiến trình tương tự reset password admin • Đứng mode root, nhấn lệnh "cc" enter, sau sẽlàm việc với mode 127.0.0.1 MAIN> giao diện command-line • Tại 127.0.0.1 MAIN> gõ "RAW", chuyển mode RAW • Tiếp tục gõ "system_factory_reset" Nhấn "enter" • sau hoàn thành thiết bị shutdown Tài liệu cấu hình SOPHOS UTM v9.x Email support: tec@dass.vn 52 Cách 2: Reset với giao diện Webadmin • Đăng nhập vào webadmin • Vào Management | System Settings | Reset Configurations or Passwords chọn 'Run factory reset now' 4.15 Cấu hình thay thiết bị Backup-Restore Khi thay thiết bị, cần cấu hình Restore từ file backup Vào mode Management > "Backup/Restore" > tab "Backup/Restore" thực việc Restore cho hệ thống o o Chọn file cần backup tiến hành upload Chọn "Import backup" để thực việc restore Tài liệu cấu hình SOPHOS UTM v9.x Email support: tec@dass.vn ... 3.2 Cài đặt thiết bị Hardware • Cài đặt phiên OS: Có thể tải gói cài đặtUTM v9 hardware appliance... sau: http://www .sophos. com/en-us/support /utm- downloads.aspx Các bước tiến hành cài đặt OS: o Download phiên ISO image o Ghi ISO image vào disc CD Tài liệu cấu hình SOPHOS UTM v9. x Email support:... lại Tài liệu cấu hình SOPHOS UTM v9. x Email support: tec@dass.vn 15 • Tạo rule cho phép LAN DMZ Internet • Sau tạo xong nhấn "Save" để lưu nhấn " Tài liệu cấu hình SOPHOS UTM v9. x " để Enable sách