Aller au contenu
Avanet

Configurer STAS sur Sophos Firewall

Sophos Firewall

STAS signifie Sophos Transparent Authentication Suite. La fonction associe les connexions Windows issues d’Active Directory à une adresse IP cliente, afin que Sophos Firewall puisse utiliser des utilisateurs et groupes dans les règles Firewall sans imposer une connexion séparée dans le navigateur ou le portail.

Dans les domaines Windows classiques, cela reste très utile. Mais STAS n’est pas un SSO universel. L’association n’est fiable que si la firewall voit la vraie IP cliente, si les Domain Controllers écrivent les bons événements de connexion et si les comptes techniques sont correctement exclus. Pour les environnements RDS, Terminal Server ou Citrix, un autre design est souvent nécessaire, par exemple SATC.

Quand STAS est utile

STAS convient surtout aux environnements avec des clients Windows classiques dans un domaine Active Directory. Les objectifs typiques sont :

  • règles Firewall avec utilisateurs ou groupes AD
  • reporting avec référence utilisateur au lieu de simples adresses IP
  • association utilisateur transparente sans Captive Portal
  • règles Internet pour les réseaux clients internes
  • authentification complémentaire dans des environnements sans design Entra ID SSO

STAS est moins adapté lorsque plusieurs utilisateurs partagent la même IP source. C’est le cas des Remote Desktop Servers, Terminal Servers, Citrix Servers ou des systèmes avec NAT entre client et firewall. Dans ces scénarios, vérifier tôt si Sophos Authentication for Thin Client (SATC) ou un autre modèle d’authentification est plus approprié.

Vidéos

Les vidéos Sophos Techvids suivantes montrent l’architecture STAS visuellement. Elles ont été réalisées avec SFOS v21, mais restent utiles pour le principe, l’architecture et les étapes importantes. Certaines vues peuvent être légèrement différentes dans SFOS 22.

Partie 1 : vue d'ensemble STAS, architecture réseau, composants et Logon Detection.
Partie 2 : prérequis, configuration Firewall, Windows AD, STA Agent et STA Collector.
Résumé de la série d'installation STAS.

Fonctionnement

STAS se compose de deux composants :

ComposantRôle
STA AgentFonctionne sur un Domain Controller ou un système Windows adapté et détecte les événements de connexion AD
STA CollectorCollecte les informations d’un ou plusieurs STA Agents et les transmet à Sophos Firewall

Déroulement typique :

  1. Un utilisateur se connecte sur un client Windows.
  2. Active Directory écrit un Security Event adapté.
  3. Le STA Agent lit cet événement.
  4. Le STA Collector reçoit utilisateur, IP cliente et informations de domaine.
  5. Sophos Firewall met à jour les Live Users.
  6. Les règles Firewall peuvent évaluer l’utilisateur ou le groupe.

Le Collector peut aussi vérifier les clients via WMI ou Registry Read Access. Ce Workstation Polling aide à associer une IP à un utilisateur ou à corriger des entrées obsolètes. Les services Windows, la Windows Firewall, les droits et les chemins réseau doivent alors être corrects.

Prérequis

Avant l’installation, vérifier :

  • Sophos Firewall fonctionne en Gateway mode.
  • Active Directory est déjà connecté à la firewall.
  • Les Domain Controllers écrivent les événements de connexion nécessaires.
  • Les clients Windows sont membres du domaine.
  • Aucun NAT ne se trouve entre clients, Collector et Sophos Firewall.
  • Client Authentication est autorisé sous Device Access pour les zones concernées.
  • DNS, heure, routage et règles Firewall sont corrects entre les systèmes.
  • Un compte de service et un processus de changement de mot de passe sont définis.
  • Les comptes techniques à exclure sont connus.

STAS 2.5 et versions plus récentes prennent en charge, selon la documentation officielle, Windows Server 2008 R2, 2012 R2, 2016, 2019, 2022 et 2025. Pour les nouvelles installations, il ne faut toutefois plus planifier avec de très anciennes générations de serveurs. Important : STAS peut être installé directement sur un Domain Controller ou, depuis STAS 2.5, sur un Member Server. Avec un design Member Server, il faut vérifier très précisément l’accès Event Log, WMI/Registry et les chemins réseau.

L’intégration AD elle-même est décrite dans Connecter Active Directory à Sophos Firewall. STAS ne remplace pas une configuration AD propre.

Si de très nombreux utilisateurs et groupes s’accumulent au fil des années sur la firewall, surveiller aussi la limite User-ID de Sophos Firewall, surtout lorsque certaines fonctions Portal ou VPN échouent uniquement pour des utilisateurs isolés.

Planifier l’architecture

Dans les petits environnements, Agent et Collector peuvent fonctionner sur le même Domain Controller. C’est simple, mais pas toujours idéal pour l’exploitation.

Dans les environnements plus grands, un design plus propre consiste souvent à utiliser :

  • STA Agent sur chaque Domain Controller pertinent
  • un ou deux STA Collectors sur des systèmes Windows séparés
  • des Collector Groups par domaine AD
  • une Exclusion List claire pour les comptes techniques
  • des règles Firewall et validations Device Access définies
  • un monitoring des services, Event Logs et associations Live Users

La visibilité IP est décisive. STAS associe un utilisateur à une adresse IP. Si un proxy, NAT, Terminal Server ou VPN Gateway masque la vraie IP cliente, la firewall ne peut pas utiliser l’association de manière fiable.

Préparer Active Directory

STAS dépend fortement des bons événements de connexion dans le Security Event Log. Les paramètres suivants doivent être vérifiés sur chaque Domain Controller où un STA Agent est utilisé.

Noter aussi avant l’installation le nom NetBIOS, le FQDN et le Search DN du domaine. Ces valeurs seront nécessaires dans Sophos Firewall et dans la configuration STAS.

Activer Audit account logon events

Sur le Domain Controller, ouvrir Local Security Policy, par exemple avec secpol.msc.

Ouvrir ensuite :

Security Settings > Local Policies > Audit Policy

Ouvrir Audit account logon events.

Audit account logon events Policy
STAS nécessite des événements de connexion adaptés dans le Security Event Log.

Activer Success et Failure, puis enregistrer.

Activer Success et Failure pour Audit account logon events
Success et Failure aident à la détection et au dépannage.

Préparer le compte STAS

Le service STAS doit utiliser un compte documenté. Dans un laboratoire, un compte administrateur est souvent utilisé. En production, un compte STAS dédié est préférable si les droits nécessaires sont définis et testés.

Selon le design, le compte doit pouvoir :

  • démarrer le service
  • lire les Event Logs pertinents
  • accéder aux clients via WMI ou Registry Read Access si nécessaire
  • supporter un changement de mot de passe planifié
  • être identifié clairement dans le monitoring et la documentation

Le compte ne doit pas forcément être Domain Admin. Sur le Domain Controller, les groupes et droits de fichiers adaptés sont importants. Vérifier en pratique :

  • appartenance à Domain Users
  • appartenance à Event Log Readers
  • droits de lecture et d’écriture sur C:\Program Files (x86)\Sophos\Sophos Transparent Authentication Suite\
  • pour WMI Polling, droits adaptés sur les endpoints, par exemple Remote Desktop Users, Distributed COM Users et permissions WMI sur Root\CIMV2 avec Execute Methods et Remote Enable

Ces droits endpoint se distribuent mieux via Group Policy dans les grands environnements. Si Workstation Polling n’est pas utilisé, ne pas attribuer de droits inutilement larges.

Si le service utilise son propre compte, ce compte doit recevoir Log on as a service.

Chemin dans Local Security Policy :

Security Settings > Local Policies > User Rights Assignment
Droit utilisateur Log on as a service
Le compte de service STAS a besoin du droit Log on as a service.

Ajouter ensuite le compte.

Propriétés Log on as a service
Le compte de service doit être documenté et protégé contre les expirations de mot de passe non planifiées.

Vérifier ports et services

Les connexions nécessaires doivent être possibles entre Sophos Firewall, STA Collector, STA Agent, Domain Controller et clients.

DirectionButPort
STA Collector vers Sophos Firewallenvoyer les informations utilisateurUDP 6060
Sophos Firewall vers STA Collectorcommunication CollectorUDP 6677
STA Agent vers STA Collectordonnées Agent vers CollectorTCP 5566

Ports supplémentaires selon les méthodes activées :

FonctionPrérequis typique
Workstation Polling via WMITCP 135, TCP 445, services RPC/DCOM/WMI
Registry Read AccessTCP 445, Remote Registry
Logoff Detection PingICMP vers le client
STAS Collector TestUDP 50001
STAS Configuration SyncTCP 27015

Si la Windows Firewall est active sur clients ou serveurs, restreindre les règles au Collector. Exemple de modèle WMI :

New-NetFirewallRule -DisplayName "Sophos STAS Collector WMI" -Direction Inbound -RemoteAddress 10.10.10.10 -Action Allow -Profile Domain

Ce n’est qu’un modèle. En production, l’IP source, les ports, profils et GPO doivent correspondre à la méthode de polling choisie.

Ajouter Active Directory sur la firewall

Avant d’activer STAS, Sophos Firewall doit connaître le serveur Active Directory.

Dans WebAdmin :

Authentication > Servers

Ajouter un serveur Active Directory ou vérifier la configuration existante.

Ajouter un serveur Active Directory sur Sophos Firewall
La configuration AD est la base de la résolution des utilisateurs et groupes.

Les différents champs sont expliqués dans Connecter Active Directory à Sophos Firewall. Pour STAS, NetBIOS Domain, Domain Name, Search Base et résolution des groupes sont particulièrement importants.

Télécharger et installer STAS

L’installation STAS est fournie via Sophos Firewall.

Dans WebAdmin :

Authentication > Client downloads
Menu Client Downloads sur Sophos Firewall
Le fichier d’installation STAS est téléchargé depuis Client downloads.

Sous Single Sign-on, on trouve Sophos Transparent Authentication Suite (STAS).

Télécharger Sophos Transparent Authentication Suite
STAS est fourni comme installeur Windows.

Lancer le fichier STAS.exe téléchargé comme administrateur sur le système Windows prévu.

STAS Installer Setup Type
Selon le design, Agent, Collector ou les deux composants sont installés.

Variantes typiques :

VarianteQuand l’utiliser
SSO Suite sur un serveurpetit environnement ou laboratoire
STA Agent sur Domain Controllers, Collector séparémeilleure séparation et évolutivité
plusieurs Collectorsredondance ou environnement plus grand

Avec plusieurs Domain Controllers, installer normalement un STA Agent sur chaque Domain Controller pertinent. Un Collector peut collecter les informations de plusieurs Agents.

Configurer STAS

Après l’installation, configurer la STA Suite. Les zones importantes sont General, STA Agent, STA Collector et Exclusion List.

General

Dans General, vérifier surtout le compte de service, les informations de domaine, le nom NetBIOS et le FQDN.

Paramètres généraux STAS
NetBIOS, FQDN et compte de service doivent correspondre à l’environnement AD.

Si les valeurs de domaine sont fausses, l’installation peut paraître saine mais les utilisateurs ou groupes ne seront pas correctement associés. Le nom NetBIOS doit être saisi en majuscules dans STAS.

STA Agent

Dans STA Agent, les points suivants sont décisifs :

  • STA Agent Mode : EVENTLOG est le point de départ typique pour la détection locale via Event Log.
  • Specify the networks to be monitored : saisir les réseaux clients où STAS doit détecter des utilisateurs.
  • Domain Controller IP : renseigner seulement si l’Agent ne tourne pas directement sur le Domain Controller. Si la SSO Suite est installée sur un Domain Controller, ce champ reste normalement vide.
  • Collector List : saisir les IP des systèmes Collector.
Configuration du STA Agent
Le STA Agent détecte les Logon Events et les envoie au Collector.

Choisir consciemment les réseaux surveillés. Les réseaux serveurs, management ou sans workstations normales génèrent sinon des erreurs ou de fausses attentes.

STA Collector

Dans STA Collector, on indique la Sophos Firewall et on planifie le Client Polling.

Points importants :

  • Sophos Appliance : saisir l’adresse IP de Sophos Firewall.
  • Workstation Polling Method : choisir WMI ou Registry Read Access consciemment.
  • Enable Logoff Detection : activer seulement si le ping et les timeouts conviennent au réseau client.
  • Dead entry timeout : tester une valeur adaptée à la version STAS et au modèle d’exploitation.
Configuration du STA Collector
Le Collector fait l’intermédiaire entre STA Agents, clients et Sophos Firewall.

Dans les clusters HA, utiliser l’adresse interne de firewall atteignable et adaptée au trafic STAS. Les adresses d’administration séparées des peers ne sont généralement pas la bonne cible.

Exclusion List

L’Exclusion List empêche les comptes techniques d’écraser les associations des vrais utilisateurs. C’est l’un des points d’exploitation les plus importants de STAS.

Entrées typiques :

  • comptes de service pour sauvegarde, monitoring, distribution logicielle ou outils endpoint
  • comptes d’administration et d’installation
  • comptes se connectant en arrière-plan sur de nombreux clients
  • serveurs ou systèmes où aucun utilisateur de poste de travail n’est attendu

Sans Exclusion List, un vrai utilisateur peut disparaître des Live Users parce qu’un compte de service a été détecté juste après sur le même client. Cela ressemble ensuite à un problème de règle Firewall, alors que la cause se trouve dans l’association d’authentification.

Collector Groups et redondance

Dans les petits environnements, un Collector suffit souvent. Dans les environnements plus grands, les Collector Groups doivent être planifiés.

Règles éprouvées :

  • utiliser un Collector Group adapté par domaine AD
  • prévoir au moins deux Collectors si les règles utilisateur sont critiques
  • configurer les STA Agents avec tous les Collectors prévus
  • tester les deux directions entre Firewall et Collectors
  • ne pas placer les Collectors sur des systèmes fréquemment redémarrés

Un STA Agent peut alimenter plusieurs Collectors. Un STA Collector peut aussi alimenter plusieurs Sophos Firewalls. Documenter malgré tout les associations pour faciliter le dépannage.

Sur la firewall, un Collector est saisi avec Collector IP, Collector port et Collector group. Un Collector Group peut contenir au maximum cinq Collectors. L’ordre est important : le premier Collector est primaire, les suivants servent de backup. Les Collectors du même domaine appartiennent au même Collector Group. Pour des sous-domaines ou domaines AD séparés, utiliser des groupes séparés.

Activer STAS sur Sophos Firewall

Lorsque Agent, Collector, AD et réseau sont prêts, activer STAS sur la firewall.

Dans WebAdmin :

Authentication > STAS

Activer STAS et saisir le Collector ou Collector Group.

Paramètres STAS sur Sophos Firewall
Sous Authentication > STAS, le Collector est ajouté sur la firewall.

Si la configuration fonctionne, les utilisateurs apparaissent dans le Dashboard et la zone Live Users.

Live Users dans le Dashboard Sophos Firewall
Live Users indique si STAS détecte actuellement des utilisateurs.

Si aucun utilisateur n’apparaît, vérifier d’abord les événements AD, Agent, Collector, Device Access et ports. Les règles Firewall viennent seulement ensuite.

Options STAS importantes sur la firewall

Sous Authentication > STAS, plusieurs options doivent être définies consciemment.

OptionSignificationRemarque pratique
STAS quarantinePour le trafic entrant, la firewall interroge le Collector sur l’association utilisateur/IP de destination. Sans correspondance, le trafic est rejeté.Utile pour des règles utilisateur strictes, mais avec une détection STAS instable cela peut ressembler à un problème réseau.
Identity probe time-outTemps d’attente de la réponse du Collector. Valeur par défaut : 120 secondes.Ne pas augmenter à l’aveugle. Comprendre d’abord pourquoi le Collector répond trop tard ou pas du tout.
Restrict client traffic during identity probeAvec Yes, le trafic attend pendant la vérification d’identité. Avec No, le trafic continue pendant la vérification.À vérifier avant les upgrades SFOS 22, car l’option a été pertinente pour certains problèmes STAS connus.
Enable user inactivitySupprime les utilisateurs inactifs des Live Users.Aide à garder la liste propre, mais doit correspondre aux clients, au polling et aux timeouts.
Inactivity timerMinutes avant la déconnexion des utilisateurs inactifs. Défaut : 3.Des valeurs trop courtes peuvent provoquer des déconnexions irritantes sur des clients silencieux.
Data transfer thresholdVolume minimal en octets pour considérer un utilisateur comme actif. Défaut : 100.Des seuils bas sont souvent plus adaptés aux postes Office que des valeurs agressives.

Créer une règle Firewall avec référence utilisateur

Dès que STAS détecte les utilisateurs de manière stable, les règles Firewall peuvent utiliser des utilisateurs ou groupes Active Directory.

Règle Firewall avec référence utilisateur pour RDP
Les règles basées sur les utilisateurs doivent toujours être journalisées et validées avec de vrais utilisateurs de test.

Important :

  • Tester la règle avec un vrai groupe de test.
  • Activer Log firewall traffic si la règle doit être analysée plus tard.
  • Contrôler la position de la règle.
  • Éviter les règles fallback qui masquent les erreurs d’authentification.
  • Vérifier ensemble Live Users et Log Viewer.

Pour l’analyse des règles, voir Tester une règle Firewall avec Log Viewer, Policy Test et Packet Capture.

Validation après la configuration

Un statut de service vert ne suffit pas. Tester toute la chaîne :

  1. Connecter un utilisateur de test sur un client du domaine.
  2. Vérifier le Security Event sur le Domain Controller.
  3. Vérifier l’état du STA Agent.
  4. Vérifier le STA Collector et les utilisateurs détectés.
  5. Vérifier Live Users sur Sophos Firewall.
  6. Tester une règle utilisateur avec logging.
  7. Tester Logoff ou changement d’utilisateur.
  8. Vérifier les comptes techniques avec l’Exclusion List.

Dans STAS, Advanced > Show live users montre les utilisateurs connus du Collector. Sur la firewall, utiliser Current activities > Live users. Les deux vues doivent être cohérentes au moment du test.

Si STAS pilote des règles critiques, répéter ce test après des mises à jour Windows, changements de Domain Controller, upgrades Firewall et changements de mot de passe du compte de service.

Tests, logs et sauvegarde

STAS offre plusieurs outils de contrôle locaux, souvent plus rapides qu’un simple coup d’œil au Log Viewer.

ZoneChemin dans STASUtilisation
Tester la connexion FirewallAdvanced > Troubleshooting > Test Connectivity > SophosVérifie si Agent ou Collector atteint la firewall.
Tester STA AgentAdvanced > Troubleshooting > Test Connectivity > STAS AgentVérifie si le Collector atteint un Agent.
Tester STA CollectorAdvanced > Troubleshooting > Test Connectivity > STAS CollectorVérifie si un Agent atteint un Collector.
WMI VerificationAdvanced > Troubleshooting > STAS Polling Utilities > WMI VerificationVérifie Workstation Polling via WMI vers une IP cliente.
Registry Read VerificationAdvanced > Troubleshooting > STAS Polling Utilities > Registry Read VerificationVérifie Workstation Polling via Registry Read Access vers une IP cliente.

Le log STAS est visible dans l’application sous Advanced > View Log. Le fichier se trouve aussi sur le système Windows :

C:\Program Files (x86)\Sophos\Sophos Transparent Authentication Suite\stas.log

Avant de gros changements, sauvegarder la configuration STAS via Advanced > Backup / Restore > Backup Now. La sauvegarde est créée au format STAS_ConfigBackup_DD_MM_YYYY_THH_MM_SS.bkp. Pour restaurer, sélectionner le fichier .bkp sous Backup / Restore et utiliser Upload and Restore.

Vérifier STAS avant SFOS 22 MR1

STAS fait partie des fonctions à vérifier consciemment avant un Major Upgrade. Dans la liste actuelle des Known Issues, un problème concerne SFOS 22.0 MR1, STAS et l’option Restrict client traffic during identity probe. Selon l’état initial, ce paramètre peut empêcher un upgrade vers SFOS 22.0 MR1 ou provoquer après l’upgrade des Identity Probes répétées avec interruptions temporaires du trafic.

Important pour les admins : ce n’est pas un problème normal de configuration STAS. Un environnement peut fonctionner pendant des années et devenir visible lors de l’upgrade parce qu’un paramètre auparavant accepté devient critique avec SFOS 22.0 MR1. STAS doit donc faire partie du SFOS 22 Upgrade Check.

Avant un upgrade vers SFOS 22.0 MR1 ou plus récent, vérifier :

  • STAS est-il actif ?
  • Des règles basées sur les utilisateurs sont-elles utilisées en production ?
  • Restrict client traffic during identity probe est-il activé ?
  • Y a-t-il déjà des messages sur des Identity Probes répétées ou de courtes interruptions inexpliquées ?
  • Existe-t-il un utilisateur de test pour vérifier STAS après l’upgrade ?

Si l’option concernée est active, ne pas l’évaluer seulement pendant la fenêtre de firmware. Mieux vaut faire un test séparé : documenter le changement, connecter un utilisateur de test, vérifier Live Users, tester une règle utilisateur et contrôler le Log Viewer. Si STAS pilote des règles critiques, prévoir si une règle fallback temporaire est nécessaire.

Après l’upgrade :

  1. Contrôler le statut STAS sous Authentication > STAS.
  2. Vérifier Live Users avec un nouveau login de domaine.
  3. Tester une règle utilisateur avec logging.
  4. Vérifier dans le Log Viewer que le nom d’utilisateur est visible, pas seulement l’IP.
  5. Surveiller les effets d’Identity Probe répétés ou les courtes interruptions.

Si l’upgrade est bloqué par un message STAS ou si des interruptions reproductibles apparaissent, préparer un cas Sophos Support. Captures d’écran du message d’upgrade, configuration STAS actuelle, version firmware, règle utilisateur concernée et procédure de test courte sont utiles.

Troubleshooting

Aucun utilisateur dans Live Users

Vérifier d’abord si le Domain Controller écrit les bons Security Events. Ensuite contrôler STA Agent, STA Collector, ports et Device Access.

Causes typiques :

  • Audit Policy inactive
  • STA Agent arrêté ou mauvais Domain Controller lu
  • Collector non joignable
  • UDP 6060 ou 6677 bloqué
  • Client Authentication non autorisé dans Device Access
  • NAT masque la vraie IP cliente

Utilisateur mal associé

Les causes sont souvent les exclusions, Workstation Polling ou des comptes techniques. Vérifier si des comptes de service, monitoring ou installation écrasent le même client.

Utilisateur supprimé trop vite

Contrôler Logoff Detection, Dead Entry Timeout, accessibilité client et méthode de polling. Si les clients ne répondent pas à Ping, WMI ou Registry Access, les entrées peuvent disparaître ou rester obsolètes.

La règle Firewall ne s’applique pas

Ne pas regarder seulement la règle. Vérifier :

  • L’utilisateur est-il visible sous Live Users ?
  • Le bon groupe AD est-il reconnu ?
  • Une règle Firewall précédente s’applique-t-elle ?
  • Le logging est-il activé sur la règle ?
  • Le Log Viewer voit-il l’utilisateur ou seulement l’adresse IP ?

Période transitoire pour le trafic non authentifié

La firewall autorise par défaut une courte période de trafic non authentifié pendant les transitions. La valeur peut être vérifiée ou ajustée via Device Console :

system auth cta unauth-traffic drop-period

Ne pas changer ce paramètre à l’aveugle. Il faut d’abord savoir si le problème vient vraiment de la période transitoire ou d’une mauvaise association STAS.

Si la firewall voit du trafic depuis une IP pour laquelle STAS ne connaît pas encore d’utilisateur, cette IP est d’abord vérifiée en mode apprentissage. Pendant cette phase, du trafic peut être rejeté. Si le Collector ne répond pas, la firewall traite l’IP comme non authentifiée pendant un certain temps. Pour des appareils hors domaine, il ne faut donc pas attendre que STAS les couvre automatiquement ; Clientless Users ou des règles dédiées peuvent être plus adaptés.

STAS via VPN

STAS peut aussi être utilisé dans un scénario IPsec VPN si des utilisateurs d’un site distant s’authentifient auprès d’un Domain Controller du site principal. Cela doit être planifié consciemment, car routage, IP source, STAS Monitored Networks et zones Firewall doivent correspondre.

Prérequis :

  • La connexion IPsec est active et stable.
  • Le trafic de la succursale passe par le tunnel.
  • STAS et Active Directory sont correctement configurés au site principal.
  • Le réseau de la succursale est saisi dans STAS comme réseau surveillé.
  • La firewall de la succursale est ajoutée comme Sophos Appliance dans la configuration du STA Collector.
  • Client Authentication est autorisé pour la zone VPN dans Device Access.

Sur la firewall du site principal, ajouter le réseau distant pour STAS via Device Console. Exemple :

system auth cta vpnzonenetwork add source-network 172.50.50.0 netmask 255.255.255.0

Remplacer l’exemple par le vrai réseau de la succursale. Dans beaucoup d’environnements, il reste plus simple et robuste d’utiliser STAS seulement pour les réseaux clients locaux et de concevoir les sites distants séparément.

STAS, SATC et Remote Desktop Server

STAS classique fonctionne bien lorsqu’une IP cliente correspond généralement à un utilisateur. Sur Remote Desktop Servers, Terminal Servers ou Citrix, plusieurs utilisateurs partagent la même IP. STAS ne peut alors pas les distinguer proprement.

Dans ces environnements, vérifier Sophos Authentication for Thin Client (SATC). SATC n’est pas une simple case dans STAS, mais un design séparé :

  • Quels serveurs sont concernés ?
  • Quels utilisateurs travaillent via ces serveurs ?
  • Quelles règles Firewall doivent vraiment être basées sur l’utilisateur ?
  • Existe-t-il du trafic mixte de services serveur et de sessions utilisateur ?
  • Comment tester et documenter le comportement ?

Si les Terminal Servers sont rarement utilisés, il peut être préférable de segmenter ces connexions autrement ou d’utiliser des règles sans référence utilisateur. L’important est que l’authentification corresponde à la vraie architecture réseau.

Checklist d’exploitation

Avant l’installation :

  • Le serveur AD fonctionne sur Sophos Firewall.
  • Les réseaux clients et Domain Controllers sont documentés.
  • Aucun NAT ne masque les IP clientes.
  • Le compte de service et ses droits sont définis.
  • L’Audit Policy est active sur les Domain Controllers pertinents.
  • L’Exclusion List est préparée.

Après l’installation :

  • Agent et Collector fonctionnent.
  • Les ports entre Agent, Collector, Firewall et clients sont ouverts.
  • Live Users affiche l’utilisateur de test.
  • La règle utilisateur apparaît dans le Log Viewer.
  • Logoff, changement d’utilisateur et comptes techniques ont été testés.
  • La redondance Collector est documentée si nécessaire.

En exploitation :

  • Surveiller le compte de service.
  • Maintenir régulièrement l’Exclusion List.
  • Comparer les changements Windows Firewall et GPO avec STAS.
  • Tester STAS après upgrades Firewall et Domain Controller.
  • Avant SFOS 22.0 MR1 ou plus récent, vérifier Restrict client traffic during identity probe.
  • Ne pas improviser STAS avec RDS/Citrix ; vérifier SATC ou un autre design.

Sources Sophos complémentaires

FAQ

Qu'est-ce que STAS sur Sophos Firewall ?

STAS est la Sophos Transparent Authentication Suite. Elle lit les événements de connexion Windows dans Active Directory et transmet les associations utilisateur-IP à Sophos Firewall, afin que les règles et rapports puissent utiliser des utilisateurs ou groupes.

Le STA Collector doit-il fonctionner sur un Domain Controller ?

Non. Le STA Agent est généralement installé sur les Domain Controllers. Le STA Collector peut fonctionner sur le même système, mais dans les environnements plus grands il est souvent exploité séparément.

Pourquoi STAS ne fonctionne-t-il pas avec NAT entre client et firewall ?

STAS associe un utilisateur à une IP cliente. Si NAT modifie l’IP source, la firewall ne voit plus la même IP que celle connue par STAS. L’association devient alors peu fiable.

Que faut-il mettre dans la STAS Exclusion List ?

Y placer les comptes techniques, comptes de service, sauvegarde, monitoring, installation et administration qui ne représentent pas des accès utilisateur normaux et pourraient écraser de vraies associations utilisateur.

Quand faut-il SATC au lieu de STAS ?

SATC doit être vérifié lorsque plusieurs utilisateurs partagent la même IP source, par exemple sur Remote Desktop Servers, Terminal Servers ou Citrix. Le STAS classique ne peut pas distinguer ces sessions proprement. La procédure est décrite dans Configurer Sophos Firewall SATC pour Remote Desktop Services.

Pourquoi vérifier STAS avant SFOS 22 MR1 ?

Un Known Issue documenté indique que STAS avec l’option Restrict client traffic during identity probe activée peut empêcher un upgrade vers SFOS 22.0 MR1 ou provoquer après l’upgrade des Identity Probes répétées avec interruptions de trafic.