Ir al contenido
Avanet

Configurar STAS en Sophos Firewall (SFOS)

Sophos Firewall

Este artículo muestra cómo configurar STAS (Sophos Transparent Authentication Suite) en Sophos Firewall.

Importante al principio: solo el STA Agent debe ejecutarse en un controlador de dominio. El STA Collector puede instalarse en el mismo sistema, pero en entornos más grandes también puede ejecutarse por separado en otro sistema Windows. Esta separación hace que muchas instalaciones STAS sean hoy más robustas y fáciles de mantener.

STAS está pensado principalmente para clientes Windows clásicos dentro de un dominio Active Directory. Si varios usuarios comparten la misma IP de origen, por ejemplo en servidores Remote Desktop o sistemas Citrix, el enfoque debe planificarse de otra forma. En esos casos, SATC u otro método de autenticación suele ser más adecuado que STAS clásico.

Requisitos

  • Sophos Firewall con SFOS 16.5 o superior
  • Licencia: Base Firewall
  • Modo: Gateway
  • Windows Server 2008 R2 o superior
  • Active Directory con controladores de dominio accesibles
  • Los clientes Windows son miembros del dominio AD
  • Sin NAT entre clientes, STA Collector y Sophos Firewall
  • Client Authentication está permitido en Device access para las zonas afectadas

¿Qué es STAS?

STAS significa Sophos Transparent Authentication Suite. La suite transmite información de inicio de sesión desde Active Directory a Sophos Firewall para que usuarios o grupos puedan utilizarse en reglas de firewall.

Los dos componentes principales son:

  • STA Agent: este agente supervisa las solicitudes de autenticación de usuarios en un controlador de dominio Active Directory y envía esta información al STA Collector.
  • STA Collector: recopila la información de autenticación de usuarios del STA Agent y la transmite a Sophos Firewall.

¿Cómo funciona STAS?

  1. Un usuario inicia sesión en una estación de trabajo y Active Directory lo permite.
  2. El controlador de dominio escribe los eventos de inicio de sesión en el Security Event Log.
  3. El agente STAS supervisa el log para detectar estos eventos.
  4. El STAS Collector informa a Sophos Firewall del inicio de sesión.
  5. Sophos Firewall actualiza sus Live Users y puede asignar el tráfico a la regla de firewall correspondiente.

En la práctica hay dos métodos de detección importantes:

  • Detección de inicio de sesión mediante Event Log: el STA Agent detecta un evento de inicio de sesión en el controlador de dominio y lo envía al collector.
  • Workstation Polling: si el firewall todavía no conoce un Live User para una dirección IP, puede consultar al collector. Según la configuración, el collector comprueba el cliente mediante WMI o Registry Read Access.

Para que esto funcione correctamente, el firewall debe ver la IP real del cliente. Si hay NAT entre cliente, collector y firewall, STAS no puede asociar de forma fiable los usuarios a una IP de origen.

Vídeo tutorial

Sophos Firewall v21: diseño de red STAS y visión general
Sophos Firewall v21: instalación y configuración de STAS

1. Configurar los ajustes ADS

STAS funciona supervisando el log de Active Directory e indicando al firewall qué usuarios inician o cierran sesión. Para ello es importante que estos eventos también se registren.

Información: los siguientes ajustes deben realizarse en cada servidor Active Directory en el que se instale el STA Agent.

Antes de la instalación, también conviene anotar el nombre NetBIOS, el FQDN y el Search DN del dominio. Estos valores se necesitarán más adelante en Sophos Firewall y en la configuración STAS. Si el Search DN es incorrecto o la consulta LDAP es demasiado amplia, la resolución de grupos y la asignación de usuarios a menudo solo funcionan parcialmente.

Activar Audit account logon events

En el servidor Active Directory, abrir Local Security Policy. Se encuentra en Windows Administrative Tools (secpol.msc). A continuación, abrir Audit account logon events en Security Settings > Local Policies > Audit Policy.

Directiva Audit account logon events

Después, activar las opciones Success y Failure y confirmar los cambios con OK.

Audit account logon events - Audit these attempts

Iniciar el servicio STAS con un usuario dedicado

Si el servicio STAS debe iniciarse con un usuario dedicado, también debe abrirse Log on as a service en Local Security Policy, bajo Security Settings > Local Policies > User Rights Assignment.

Log on as a service

A continuación, seleccionar Add User or Group y añadir el usuario deseado.

Propiedades de Log on as a service

Sophos utiliza una cuenta de administrador AD en muchos ejemplos porque STAS lee Event Logs en el controlador de dominio, debe iniciar y detener el servicio y, según el método de polling, envía consultas WMI a los clientes. En entornos productivos, la cuenta utilizada debe documentarse, protegerse y probarse previamente. Si se utiliza una cuenta de servicio dedicada, estos permisos deben funcionar de forma fiable.

Abrir puertos ADS

Los puertos necesarios deben ser accesibles entre controlador de dominio, collector, clientes y Sophos Firewall. Como base típica se utilizan:

  • STA Collector > Sophos Firewall (UDP 6060)
  • Sophos Firewall > STA Collector (UDP 6677)
  • STA Agent > STA Collector (TCP 5566)

Los siguientes puertos solo deben activarse si estos métodos se utilizan realmente:

Método Workstation Polling (WMI) o Registry Read Access:

  • TCP saliente 135
  • TCP saliente 445

Logoff Detection Ping:

  • ICMP saliente

STAS Collector Test:

  • UDP entrante/saliente 50001

STAS Configuration Sync:

  • TCP entrante/saliente 27015

Nota: los servicios RPC, RPC Locator, DCOM y WMI también deben estar activados en los clientes para WMI/Registry Read Access.

2. Añadir el servidor Active Directory al firewall

Después de preparar Active Directory en el punto 1, puede añadirse en Sophos Firewall. En WebAdmin, abrir Authentication > Servers y crear un nuevo servidor con Add.

Añadir servidor Active Directory al firewall

Los distintos campos se describen en detalle en la guía separada Añadir Active Directory a Sophos Firewall.

3. Descargar la herramienta STAS

El siguiente paso es preparar el sistema Windows en el que se instalará STAS. La STA Suite se descarga directamente desde Sophos Firewall. En WebAdmin, abrir Authentication y seleccionar Client downloads en el menú de la parte superior derecha.

Menú desplegable Client downloads en Sophos Firewall (SFOS)

En la sección Single Sign-on se encuentra la Sophos Transparent Authentication Suite (STAS) necesaria para descargar.

Descargar Sophos Transparent Authentication Suite

4. Instalar SSO Suite

Ejecutar el archivo STAS.exe descargado e iniciar el instalador. Durante la instalación aparece una ventana de selección con varias variantes de setup:

STAS Type of Setup

Por defecto, puede dejarse seleccionada SSO Suite, con lo que todos los componentes se instalan en el mismo sistema. Si agente y collector deben ejecutarse por separado, la selección debe ajustarse en consecuencia. Con varios controladores de dominio, se necesita un STA Agent en cada controlador relevante, pero normalmente solo un STA Collector.

La instalación debe iniciarse con Run as administrator para que los permisos de Windows no interfieran innecesariamente durante la instalación.

Durante la instalación también se define la cuenta de servicio. En entornos productivos debe quedar claro qué cuenta se utiliza, qué permisos tiene y cómo se planifican los cambios de contraseña.

5. Configurar STAS

Después de la instalación, la STA Suite debe configurarse. Los siguientes pasos cubren los ajustes relevantes.

STAS General

En la pestaña General, el usuario del servicio puede modificarse posteriormente. Sobre todo debe comprobarse que el nombre NetBIOS y el FQDN estén introducidos correctamente.

Ajustes generales de STAS

STA Agent

En la pestaña STA Agent, estos puntos son especialmente relevantes:

  • STA Agent Mode: si el agente y el collector se ejecutan en el mismo sistema, EVENTLOG es el punto de partida típico.
  • Specify the networks to be monitored: aquí se indican todas las redes en las que se encuentran los clientes.
  • Domain Controller IP: solo debe configurarse si el STA Agent no está instalado directamente en el controlador de dominio. Si el agente se ejecuta en el propio controlador de dominio, este campo normalmente queda vacío.
  • Collector List: aquí se introducen los sistemas collector a los que el agente envía su información.
Configuración del STA Agent

STA Collector

En la pestaña STA Collector, estos puntos son especialmente relevantes:

  • Sophos Appliance: aquí se indica la IP de la Sophos Appliance.
  • Workstation Polling Method: WMI es el punto de partida típico; Registry Read Access es una alternativa para entornos Windows adecuados.
  • Enable Logoff Detection: la detección de cierre de sesión debe planificarse de forma consciente. No debe actuar de forma diferente en varios lugares al mismo tiempo.
  • Dead entry timeout: este valor debe definirse conscientemente y probarse con la versión STAS utilizada. En versiones STAS antiguas hubo casos en los que un valor distinto de 0 causaba problemas.
Configuración del STA Collector

Si Sophos Firewall funciona como clúster HA, en el collector debe utilizarse la IP interna de la interfaz del firewall, no una dirección administrativa separada del peer.

Exclusion List

La Exclusion List es importante para que las cuentas técnicas no falseen la asignación de usuarios. Los candidatos típicos son cuentas de servicio, servicios de actualización, agentes de backup o cuentas de monitorización que inician sesión en clientes en segundo plano.

Sin Exclusion List puede ocurrir que un usuario real desaparezca del estado Live User porque poco después una cuenta de servicio se activa en el mismo cliente. Por ello conviene revisar al menos estas cuentas:

  • Cuentas de servicio para distribución de software, backup, monitorización o herramientas endpoint
  • Cuentas de administrador e instalación que no deben considerarse tráfico normal de usuario
  • IP de servidores, dispositivos de red y sistemas en los que STAS no debe esperar usuarios normales de estaciones de trabajo

Para validar usuarios conectados, en la sección Workstation Polling Method hay dos opciones: la verificación WMI seleccionada por defecto o, alternativamente, Registry Read Access. En ambos casos debe ejecutarse un servicio en el cliente.

WMI:

  • Remote Procedure Call (RPC)
  • Remote Procedure Call (RPC) Locator

Registry Read Access:

  • Remote Registry

El STA Collector debe poder acceder a los clientes. Si Windows Firewall está activo en los clientes, el acceso debe coincidir con los métodos de polling elegidos.

New-NetFirewallRule -DisplayName "Sophos STAS Collector WMI" -Direction Inbound -RemoteAddress 10.10.10.10 -Action Allow -Profile Domain

El comando debe entenderse solo como plantilla. En un entorno productivo, perfil, IP de origen, puertos de destino y políticas de grupo deben ajustarse correctamente al método de polling elegido.

Grupos de collectors y redundancia

En entornos pequeños, un collector suele ser suficiente. En entornos más grandes, los grupos de collectors deben planificarse de forma consciente:

  • Debe utilizarse un grupo de collectors propio para cada dominio AD.
  • Varios collectors en el mismo grupo aumentan la disponibilidad.
  • Sophos Firewall normalmente contacta con el primer collector del grupo y cambia al siguiente si falla.
  • Un STA Agent puede servir a varios collectors.
  • Un STA Collector puede servir a varios Sophos Firewalls.

Con varios controladores de dominio, es recomendable ejecutar un STA Agent en cada controlador de dominio relevante y planificar al menos dos collectors para redundancia. Es importante que todos los agents conozcan los collectors previstos y que el firewall tenga estos collectors configurados en el grupo adecuado.

6. Activar STAS en Sophos Firewall

Cuando todo esté preparado hasta este punto, Sophos Firewall puede recibir datos del collector.

En WebAdmin, abrir Authentication > STAS, activar STAS y después registrar el collector o el grupo de collectors con la dirección IP correspondiente.

Ajustes STAS en Sophos Firewall (SFOS)

Si la configuración funciona, los usuarios conectados aparecen en el dashboard y en Live Viewer bajo Authentication.

Vista Live User en el dashboard SFOS

Si aquí no aparece ningún usuario, no se debe empezar buscando en las reglas de firewall. Primero deben estar correctos Event Log, STA Agent, STA Collector, grupo de collectors y Device Access.

7. Crear regla de firewall

Cuando las pruebas hayan sido correctas, pueden crearse reglas de firewall con usuarios o grupos de Active Directory. El ejemplo siguiente muestra una regla que permite tráfico RDP para un administrador.

Regla de firewall para que un administrador acceda a Internet mediante RDP

Temas adicionales

Después de la configuración básica suelen quedar dos temas operativos: troubleshooting y los límites de los entornos STAS clásicos.

Troubleshooting

Si los inicios de sesión no se importan correctamente, primero deben comprobarse el Event Log en el controlador de dominio, la conectividad entre agente y collector y los Live Users en el firewall. Para fases de transición, el firewall permite por defecto tráfico no autenticado durante un breve periodo. Este valor puede comprobarse o ajustarse por CLI si es necesario:

system auth cta unauth-traffic drop-period

Puntos de comprobación típicos:

  • ¿Se genera un evento Security adecuado en el controlador de dominio cuando el usuario inicia sesión?
  • ¿Está en ejecución el STA Agent y muestra el estado esperado?
  • ¿Es accesible el STA Collector y conoce Sophos Firewall?
  • ¿Está permitido UDP 6060 hacia el firewall y UDP 6677 de vuelta hacia el collector?
  • ¿Funciona WMI o Registry Read Access hacia los clientes?
  • ¿Están registradas las cuentas técnicas en la Exclusion List?
  • ¿Está permitido Client Authentication en Device access para la zona correcta?
  • ¿Hay NAT entre cliente, collector y firewall?

Sophos Authentication For Thin Client (SATC)

STAS clásico funciona bien para clientes normales de un solo usuario. Sin embargo, en entornos Remote Desktop Server, terminal server o Citrix, este enfoque a menudo no es suficiente porque varios usuarios comparten una IP de origen. En estos casos hay que comprobar si SATC u otro método SSO adecuado es la mejor opción.

SATC asigna usuarios en entornos terminal server de forma distinta a STAS y, por tanto, no es simplemente un sustituto para cualquier cliente, sino un tema de diseño propio. Antes de una migración debe quedar claro qué servidores están afectados, qué grupos de usuarios trabajan a través de ellos y qué reglas de firewall deben ser realmente basadas en usuarios.

Entornos más grandes

En esta guía se ha mostrado la variante estándar. En entornos más grandes con varios controladores de dominio, subredes o dominios, el papel de agent, collector, polling y reglas de fallback debe planificarse conscientemente en lugar de limitarse a aplicar la configuración básica.

Documentación adicional