Aller au contenu
Avanet

Configurer STAS sur un Sophos Firewall (SFOS)

Sophos Firewall

Cet article montre comment configurer STAS (Sophos Transparent Authentication Suite) sur un Sophos Firewall.

Point important au départ : seul le STA Agent doit fonctionner sur un contrôleur de domaine. Le STA Collector peut être installé sur le même système, mais dans les environnements plus grands il peut aussi être exploité séparément sur un autre système Windows. Cette séparation rend aujourd’hui beaucoup d’installations STAS plus robustes et plus faciles à maintenir.

STAS est surtout prévu pour des clients Windows classiques dans un domaine Active Directory. Lorsque plusieurs utilisateurs partagent la même IP source, par exemple sur des serveurs Remote Desktop ou des systèmes Citrix, l’approche doit être planifiée autrement. Dans ce cas, SATC ou une autre méthode d’authentification est souvent plus adaptée que STAS classique.

Conditions préalables

  • Sophos Firewall avec SFOS 16.5 ou version ultérieure
  • Licence : Base Firewall
  • Mode : Gateway
  • Windows Server 2008 R2 ou version ultérieure
  • Active Directory avec contrôleurs de domaine joignables
  • Les clients Windows sont membres du domaine AD
  • Aucun NAT entre les clients, le STA Collector et le Sophos Firewall
  • Client Authentication est autorisé dans Device access pour les zones concernées

Qu’est-ce que STAS ?

STAS signifie Sophos Transparent Authentication Suite. La suite transmet les informations de connexion d’Active Directory au Sophos Firewall afin que les utilisateurs ou groupes puissent être utilisés dans les règles de firewall.

Les deux composants principaux sont :

  • STA Agent : cet agent surveille les demandes d’authentification utilisateur sur un contrôleur de domaine Active Directory et envoie ces informations au STA Collector.
  • STA Collector : collecte les informations d’authentification utilisateur du STA Agent et les transmet au Sophos Firewall.

Comment fonctionne STAS ?

  1. Un utilisateur se connecte à une station de travail et Active Directory l’autorise.
  2. Le contrôleur de domaine écrit les événements de connexion dans le Security Event Log.
  3. L’agent STAS surveille le journal pour détecter ces événements.
  4. Le STAS Collector informe le Sophos Firewall de la connexion.
  5. Le Sophos Firewall met à jour ses Live Users et peut associer le trafic à la règle de firewall correspondante.

En pratique, deux méthodes de détection sont importantes :

  • Détection de connexion via l’Event Log : le STA Agent détecte un événement de connexion sur le contrôleur de domaine et l’envoie au collector.
  • Workstation Polling : si le firewall ne connaît pas encore de Live User pour une adresse IP, il peut interroger le collector. Selon la configuration, le collector vérifie ensuite le client via WMI ou Registry Read Access.

Pour que cela fonctionne correctement, le firewall doit voir la vraie IP du client. Si du NAT se trouve entre le client, le collector et le firewall, STAS ne peut pas associer les utilisateurs de manière fiable à une IP source.

Tutoriel vidéo

Sophos Firewall v21 : architecture réseau STAS et aperçu
Sophos Firewall v21 : installation et configuration de STAS

1. Configurer les paramètres ADS

STAS fonctionne en surveillant le journal d’Active Directory et en indiquant au firewall quels utilisateurs se connectent ou se déconnectent. Il est donc important que ces événements soient journalisés.

Info : les paramètres suivants doivent être configurés sur chaque serveur Active Directory sur lequel le STA Agent est installé.

Avant l’installation, il faut aussi noter le nom NetBIOS, le FQDN et le Search DN du domaine. Ces valeurs seront nécessaires plus tard dans le Sophos Firewall et dans la configuration STAS. Si le Search DN est incorrect ou si la requête LDAP est trop large, la résolution des groupes et l’association des utilisateurs ne fonctionnent souvent que partiellement.

Activer Audit account logon events

Sur le serveur Active Directory, ouvrir Local Security Policy. L’outil se trouve dans les Windows Administrative Tools (secpol.msc). Ouvrir ensuite Audit account logon events sous Security Settings > Local Policies > Audit Policy.

Stratégie Audit account logon events

Activer ensuite les options Success et Failure, puis confirmer les modifications avec OK.

Audit account logon events - Audit these attempts

Démarrer le service STAS avec un utilisateur dédié

Si le service STAS doit être démarré avec un utilisateur dédié, ouvrir également Log on as a service dans Local Security Policy sous Security Settings > Local Policies > User Rights Assignment.

Log on as a service

Sélectionner ensuite Add User or Group et ajouter l’utilisateur souhaité.

Propriétés Log on as a service

Sophos utilise dans de nombreux exemples un compte administrateur AD, car STAS lit les Event Logs sur le contrôleur de domaine, doit démarrer et arrêter le service et, selon la méthode de polling, envoie des requêtes WMI aux clients. En production, le compte utilisé doit être documenté, protégé et testé à l’avance. Si un compte de service dédié est utilisé, ces autorisations doivent fonctionner de manière fiable.

Ouvrir les ports ADS

Les ports nécessaires doivent être joignables entre le contrôleur de domaine, le collector, les clients et le Sophos Firewall. La base typique est la suivante :

  • STA Collector > Sophos Firewall (UDP 6060)
  • Sophos Firewall > STA Collector (UDP 6677)
  • STA Agent > STA Collector (TCP 5566)

Les ports suivants ne doivent être activés que si ces méthodes sont réellement utilisées :

Méthode Workstation Polling (WMI) ou Registry Read Access :

  • TCP sortant 135
  • TCP sortant 445

Logoff Detection Ping :

  • ICMP sortant

STAS Collector Test :

  • UDP entrant/sortant 50001

STAS Configuration Sync :

  • TCP entrant/sortant 27015

Remarque : les services RPC, RPC Locator, DCOM et WMI doivent également être activés sur les clients pour WMI/Registry Read Access.

2. Ajouter le serveur Active Directory au firewall

Une fois Active Directory préparé au point 1, il peut être ajouté sur le Sophos Firewall. Dans WebAdmin, ouvrir Authentication > Servers et créer un nouveau serveur avec Add.

Ajouter un serveur Active Directory sur le firewall

Les différents champs sont décrits en détail dans le guide séparé Ajouter Active Directory au Sophos Firewall.

3. Télécharger l’outil STAS

Préparer ensuite le système Windows sur lequel STAS doit être installé. La STA Suite se télécharge directement depuis le Sophos Firewall. Dans WebAdmin, ouvrir Authentication, puis sélectionner Client downloads dans le menu en haut à droite.

Menu déroulant Client downloads sur le Sophos Firewall (SFOS)

La Sophos Transparent Authentication Suite (STAS) nécessaire se trouve dans la rubrique Single Sign-on.

Télécharger Sophos Transparent Authentication Suite

4. Installer SSO Suite

Exécuter le fichier STAS.exe téléchargé et démarrer l’installateur. Pendant l’installation, une fenêtre de sélection avec plusieurs variantes de setup apparaît :

STAS Type of Setup

Par défaut, SSO Suite peut rester sélectionné, ce qui installe tous les composants sur le même système. Si l’agent et le collector doivent fonctionner séparément, adapter la sélection en conséquence. Avec plusieurs contrôleurs de domaine, un STA Agent est nécessaire sur chaque contrôleur de domaine pertinent, mais un seul STA Collector suffit généralement.

L’installation doit être lancée avec Run as administrator afin que les autorisations Windows ne gênent pas inutilement l’installation.

Le compte de service est également défini pendant l’installation. En production, il doit être clairement documenté quel compte est utilisé, quels droits il possède et comment les changements de mot de passe sont planifiés.

5. Configurer STAS

Après l’installation, la STA Suite doit encore être configurée. Les étapes suivantes couvrent les paramètres importants.

STAS General

Dans l’onglet General, l’utilisateur du service peut être modifié après coup. Il faut surtout vérifier que le nom NetBIOS et le FQDN sont correctement renseignés.

Paramètres généraux STAS

STA Agent

Dans l’onglet STA Agent, les points suivants sont particulièrement importants :

  • STA Agent Mode : si l’agent et le collector fonctionnent sur le même système, EVENTLOG est le point de départ typique.
  • Specify the networks to be monitored : indiquer ici tous les réseaux dans lesquels se trouvent les clients.
  • Domain Controller IP : ne renseigner ce champ que si le STA Agent n’est pas installé directement sur le contrôleur de domaine. Si l’agent fonctionne sur le contrôleur de domaine lui-même, ce champ reste normalement vide.
  • Collector List : indiquer ici les systèmes collector auxquels l’agent envoie ses informations.
Configuration du STA Agent

STA Collector

Dans l’onglet STA Collector, les points suivants sont particulièrement importants :

  • Sophos Appliance : indiquer ici l’adresse IP de la Sophos Appliance.
  • Workstation Polling Method : WMI est le point de départ typique, Registry Read Access est une alternative pour les environnements Windows adaptés.
  • Enable Logoff Detection : la détection de déconnexion doit être planifiée consciemment. Elle ne doit pas agir différemment à plusieurs endroits en même temps.
  • Dead entry timeout : cette valeur doit être définie consciemment et testée avec la version STAS utilisée. Dans d’anciennes versions STAS, des valeurs différentes de 0 ont parfois causé des problèmes.
Configuration du STA Collector

Si le Sophos Firewall fonctionne comme cluster HA, utiliser dans le collector l’adresse IP de l’interface interne du firewall, et non une adresse d’administration séparée du peer.

Exclusion List

L’Exclusion List est importante pour que les comptes techniques ne faussent pas l’association des utilisateurs. Les candidats typiques sont les comptes de service, services de mise à jour, agents de sauvegarde ou comptes de monitoring qui se connectent aux clients en arrière-plan.

Sans Exclusion List, un utilisateur réel peut disparaître du statut Live User parce qu’un compte de service devient actif peu après sur le même client. Il faut donc vérifier au minimum ces comptes :

  • Comptes de service pour distribution logicielle, sauvegarde, monitoring ou outils endpoint
  • Comptes administrateur et d’installation qui ne doivent pas compter comme trafic utilisateur normal
  • IP de serveurs, équipements réseau et systèmes sur lesquels STAS ne doit pas attendre d’utilisateurs de poste de travail normaux

Pour valider les utilisateurs connectés, deux options existent sous Workstation Polling Method : la vérification WMI sélectionnée par défaut ou, alternativement, Registry Read Access. Dans les deux cas, un service doit fonctionner sur le client.

WMI :

  • Remote Procedure Call (RPC)
  • Remote Procedure Call (RPC) Locator

Registry Read Access :

  • Remote Registry

Le STA Collector doit pouvoir accéder aux clients. Si Windows Firewall est actif sur les clients, l’accès doit correspondre aux méthodes de polling choisies.

New-NetFirewallRule -DisplayName "Sophos STAS Collector WMI" -Direction Inbound -RemoteAddress 10.10.10.10 -Action Allow -Profile Domain

La commande sert uniquement de modèle. En production, le profil, l’IP source, les ports de destination et les stratégies de groupe doivent correspondre proprement à la méthode de polling choisie.

Groupes de collectors et redondance

Pour les petits environnements, un collector suffit souvent. Dans les environnements plus grands, les groupes de collectors doivent être planifiés consciemment :

  • Un groupe de collectors distinct doit être utilisé pour chaque domaine AD.
  • Plusieurs collectors dans le même groupe augmentent la résilience.
  • Le Sophos Firewall contacte normalement le premier collector du groupe et bascule vers le suivant en cas de panne.
  • Un STA Agent peut desservir plusieurs collectors.
  • Un STA Collector peut desservir plusieurs Sophos Firewalls.

Avec plusieurs contrôleurs de domaine, il est utile d’exécuter un STA Agent sur chaque contrôleur de domaine pertinent et de prévoir au moins deux collectors pour la redondance. Il est important que tous les agents connaissent les collectors prévus et que le firewall ait ces collectors dans le groupe correspondant.

6. Activer STAS sur le Sophos Firewall

Lorsque tout est préparé jusque-là, le Sophos Firewall peut recevoir les données du collector.

Dans WebAdmin, ouvrir Authentication > STAS, activer STAS, puis enregistrer le collector ou le groupe de collectors avec l’adresse IP correspondante.

Paramètres STAS sur le Sophos Firewall (SFOS)

Si la configuration fonctionne, les utilisateurs connectés apparaissent dans le dashboard et dans le Live Viewer sous Authentication.

Affichage Live User sur le dashboard SFOS

Si aucun utilisateur n’apparaît ici, il ne faut pas commencer par chercher dans les règles de firewall. Il faut d’abord vérifier l’Event Log, le STA Agent, le STA Collector, le groupe de collectors et Device Access.

7. Créer une règle de firewall

Dès que les tests sont réussis, des règles de firewall peuvent être créées avec des utilisateurs ou groupes d’Active Directory. L’exemple ci-dessous montre une règle qui autorise le trafic RDP pour un administrateur.

Règle de firewall permettant à un administrateur d'accéder à Internet via RDP

Sujets complémentaires

Après la configuration de base, deux sujets opérationnels restent généralement ouverts : le dépannage et les limites des environnements STAS classiques.

Dépannage

Si les connexions ne sont pas reprises correctement, vérifier d’abord l’Event Log sur le contrôleur de domaine, la joignabilité entre agent et collector ainsi que les Live Users sur le firewall. Pour les phases de transition, le firewall autorise par défaut le trafic non authentifié pendant une courte durée. Cette valeur peut être vérifiée ou ajustée via la CLI si nécessaire :

system auth cta unauth-traffic drop-period

Points de contrôle typiques :

  • Un événement Security correspondant est-il généré sur le contrôleur de domaine lors de la connexion utilisateur ?
  • Le STA Agent fonctionne-t-il et affiche-t-il l’état attendu ?
  • Le STA Collector est-il joignable et connaît-il le Sophos Firewall ?
  • UDP 6060 vers le firewall et UDP 6677 en retour vers le collector sont-ils autorisés ?
  • WMI ou Registry Read Access fonctionne-t-il vers les clients ?
  • Les comptes techniques sont-ils inscrits dans l’Exclusion List ?
  • Client Authentication est-il autorisé dans Device access pour la bonne zone ?
  • Existe-t-il du NAT entre le client, le collector et le firewall ?

Sophos Authentication For Thin Client (SATC)

STAS classique fonctionne bien pour les clients monoposte normaux. Dans les environnements Remote Desktop Server, terminal server ou Citrix, cette approche ne suffit toutefois souvent pas, car plusieurs utilisateurs partagent une même IP source. Dans ces cas, il faut vérifier si SATC ou une autre méthode SSO adaptée est préférable.

SATC associe les utilisateurs différemment de STAS dans les environnements terminal server et n’est donc pas simplement un remplacement pour chaque client, mais un sujet de conception à part entière. Avant une migration, il faut savoir clairement quels serveurs sont concernés, quels groupes d’utilisateurs les utilisent et quelles règles de firewall doivent réellement être basées sur les utilisateurs.

Environnements plus grands

Ce guide a montré la variante standard. Dans les environnements plus grands avec plusieurs contrôleurs de domaine, sous-réseaux ou domaines, le rôle de l’agent, du collector, du polling et des règles de fallback doit être planifié consciemment au lieu de reprendre uniquement les paramètres de base.

Documentation complémentaire