Configurare STAS su Sophos Firewall
STAS significa Sophos Transparent Authentication Suite. La funzione associa gli accessi Windows provenienti da Active Directory a un indirizzo IP client, così Sophos Firewall può usare utenti e gruppi nelle regole firewall senza richiedere un login separato nel browser o nel portale.
Nelle classiche reti Windows con dominio è ancora molto utile. Allo stesso tempo STAS non è una soluzione SSO universale. L’associazione funziona in modo affidabile solo se la firewall vede il vero IP del client, i Domain Controller scrivono gli eventi di login corretti e gli account tecnici vengono esclusi in modo pulito. Per ambienti RDS, terminal server o Citrix serve spesso un design diverso, per esempio SATC.
Quando STAS è utile
STAS è adatto soprattutto ad ambienti con normali client Windows in un dominio Active Directory. Obiettivi tipici:
- regole firewall con utenti o gruppi AD
- report con riferimento all’utente invece che solo all’indirizzo IP
- associazione utente trasparente senza Captive Portal
- regole Internet per reti client interne
- autenticazione complementare in ambienti senza design Entra ID SSO
STAS è meno adatto quando più utenti condividono lo stesso IP sorgente. Questo riguarda per esempio Remote Desktop Server, terminal server, server Citrix o sistemi con NAT tra client e firewall. In questi casi conviene verificare presto se Sophos Authentication for Thin Client (SATC) o un altro modello di autenticazione sia più adatto.
Video guida
I seguenti Sophos Techvids mostrano visivamente la struttura STAS. I video sono stati creati con SFOS v21, ma restano utili per il principio di funzionamento, l’architettura e i passaggi di configurazione principali. In SFOS 22 alcune schermate possono apparire leggermente diverse.
Funzionamento
STAS è composto da due componenti:
| Componente | Compito |
|---|---|
| STA Agent | Viene eseguito su un Domain Controller o su un sistema Windows adatto e rileva gli eventi di accesso AD |
| STA Collector | Raccoglie le informazioni da uno o più STA Agent e le trasmette a Sophos Firewall |
Flusso tipico:
- Un utente accede a un client Windows.
- Active Directory scrive un Security Event corrispondente.
- Lo STA Agent legge questo evento.
- Lo STA Collector riceve utente, IP client e informazioni di dominio.
- Sophos Firewall aggiorna i Live Users.
- Le regole firewall possono valutare utenti o gruppi.
In aggiunta, il Collector può verificare i client tramite WMI o Registry Read Access. Questo Workstation Polling aiuta ad associare un indirizzo IP a un utente o a correggere voci obsolete. Devono però essere corretti Windows Firewall, servizi, autorizzazioni e percorsi di rete.
Prerequisiti
Prima dell’installazione vanno chiariti questi punti:
- Sophos Firewall opera in modalità gateway.
- Active Directory è già collegato alla firewall.
- I Domain Controller scrivono gli eventi di login necessari.
- I client Windows sono membri del dominio.
- Non c’è NAT tra client, Collector e Sophos Firewall.
Client Authenticationè consentito in Device Access per le zone interessate.- DNS, ora, routing e regole firewall tra i sistemi coinvolti sono corretti.
- Sono definiti un account di servizio e un processo per il cambio password.
- Gli account tecnici da inserire nelle Exclusions sono noti.
STAS 2.5 e versioni successive supportano, secondo la documentazione ufficiale, Windows Server 2008 R2, 2012 R2, 2016, 2019, 2022 e 2025. Per nuove installazioni non conviene comunque pianificare su generazioni server vecchie. È rilevante soprattutto che STAS possa essere eseguito direttamente su un Domain Controller oppure, da STAS 2.5, anche su un Member Server. Nei design con Member Server bisogna verificare con particolare attenzione accesso agli Event Log, accesso WMI/Registry e percorsi di rete.
Il collegamento AD è descritto in Collegare Active Directory a Sophos Firewall. STAS non deve essere visto come sostituto di una configurazione AD server pulita.
Se nel corso degli anni vengono creati moltissimi utenti e gruppi sulla firewall, conviene tenere d’occhio anche il limite User ID di Sophos Firewall. È particolarmente importante se download del portale o funzioni VPN falliscono solo per singoli utenti.
Pianificare l’architettura
In ambienti piccoli Agent e Collector possono girare sullo stesso Domain Controller. È semplice, ma non sempre è la variante operativa migliore.
Il Collector genera propri percorsi di comunicazione e verifica verso la firewall, gli Agent e, a seconda del metodo di polling, anche verso i client. Per questo non dovrebbe finire automaticamente su un Domain Controller solo perché lì gira già l’Agent. Sophos stessa segnala che l’installazione del Collector su un Domain Controller non è sempre consigliabile a causa del traffico generato. In ambienti produttivi, un server Windows separato è spesso più pulito da monitorare, aggiornare e riavviare in caso di problemi.
In ambienti più grandi è spesso più pulito:
- STA Agent su ogni Domain Controller rilevante
- uno o due STA Collector su sistemi Windows separati
- gruppi Collector per dominio AD
- Exclusion List chiara per account tecnici
- regole firewall e autorizzazioni Device Access definite
- monitoring per servizi, Event Log e associazione Live Users
La vista IP è decisiva. STAS associa utenti a indirizzi IP. Se proxy, NAT, terminal server o gateway VPN nascondono il vero IP client, la firewall non può usare l’associazione in modo affidabile.
Preparare Active Directory
STAS dipende molto dalla presenza degli eventi di login corretti nel Security Event Log. Le impostazioni seguenti devono essere verificate su ogni Domain Controller su cui viene usato lo STA Agent.
Prima dell’installazione conviene annotare anche NetBIOS name, FQDN e Search DN del dominio. Questi valori servono poi nella configurazione di Sophos Firewall e STAS.
Attivare Audit account logon events
Aprire Local Security Policy sul Domain Controller, per esempio con secpol.msc.
Poi aprire il percorso:
Security Settings > Local Policies > Audit Policy
Aprire Audit account logon events.

Attivare quindi Success e Failure e salvare la modifica.

Preparare l’account STAS
Il servizio STAS dovrebbe usare un account documentato. Nei laboratori viene spesso usato un account amministratore. In produzione è meglio un account STAS dedicato, se i diritti necessari sono impostati e testati correttamente.
A seconda del design, l’account deve poter:
- avviare il servizio
- leggere gli Event Log rilevanti
- accedere ai client con WMI o Registry Read Access
- superare in modo pianificato i cambi password
- essere riconoscibile in monitoring e documentazione
L’account non deve necessariamente essere Domain Admin. Per il Domain Controller sono importanti almeno gruppi e diritti file corretti. In pratica conviene verificare:
- appartenenza a Domain Users
- appartenenza a Event Log Readers
- diritti di lettura e scrittura su
C:\Program Files (x86)\Sophos\Sophos Transparent Authentication Suite\ - per WMI polling, diritti adeguati sugli endpoint, per esempio Remote Desktop Users, Distributed COM Users e autorizzazioni WMI su
Root\CIMV2con Execute Methods e Remote Enable
In ambienti grandi questi diritti sugli endpoint si distribuiscono meglio tramite Group Policy. Se non si usa Workstation Polling, non bisogna assegnare diritti inutilmente ampi.
Se il servizio gira con un account proprio, questo account deve ricevere Log on as a service.
Percorso nella Local Security Policy:
Security Settings > Local Policies > User Rights Assignment

Poi aggiungere l’account.

Verificare porte e servizi
Tra Sophos Firewall, STA Collector, STA Agent, Domain Controller e client devono essere possibili le connessioni necessarie. Come base valgono:
| Direzione | Scopo | Porta |
|---|---|---|
| STA Collector verso Sophos Firewall | Inviare informazioni utente | UDP 6060 |
| Sophos Firewall verso STA Collector | Comunicazione Collector | UDP 6677 |
| STA Agent verso STA Collector | Inviare dati Agent al Collector | TCP 5566 |
Le porte aggiuntive dipendono dai metodi attivati:
| Funzione | Presupposto tipico |
|---|---|
| Workstation Polling via WMI | TCP 135, TCP 445, servizi RPC/DCOM/WMI |
| Registry Read Access | TCP 445, Remote Registry |
| Logoff Detection Ping | ICMP verso il client |
| STAS Collector Test | UDP 50001 |
| STAS Configuration Sync | TCP 27015 |
Se Windows Firewall è attivo sui client o sui server, le regole dovrebbero essere limitate in modo stretto al Collector. Esempio per WMI:
New-NetFirewallRule -DisplayName "Sophos STAS Collector WMI" -Direction Inbound -RemoteAddress 10.10.10.10 -Action Allow -Profile Domain
Il comando è solo un modello. In produzione IP sorgente, porte di destinazione, profili e Group Policy devono corrispondere al metodo di polling scelto.
Inserire Active Directory sulla firewall
Prima di attivare STAS, Sophos Firewall deve conoscere il server Active Directory.
Nel WebAdmin:
Authentication > Servers
Aggiungere un server Active Directory o verificare la configurazione esistente.

I singoli campi sono spiegati in Collegare Active Directory a Sophos Firewall. Per STAS sono particolarmente importanti NetBIOS domain, Domain name, Search base e risoluzione gruppi.
Scaricare e installare STAS
L’installazione STAS viene fornita dalla Sophos Firewall.
Nel WebAdmin:
Authentication > Client downloads

Sotto Single Sign-on si trova Sophos Transparent Authentication Suite (STAS).

Avviare il file STAS.exe sul sistema Windows previsto come amministratore.

Varianti tipiche di installazione:
| Variante | Quando è utile |
|---|---|
| SSO Suite su un server | ambiente piccolo o laboratorio |
| STA Agent sui Domain Controller, Collector separato | migliore separazione e scalabilità |
| più Collectors | ridondanza o ambiente più grande |
Con più Domain Controller di solito serve uno STA Agent su ogni Domain Controller rilevante. Un Collector può raccogliere informazioni da più Agents.
Configurare STAS
Dopo l’installazione si configura la STA Suite. Le aree principali sono General, STA Agent, STA Collector ed Exclusion List.
General
Nel tab General si verificano soprattutto account di servizio, informazioni di dominio, NetBIOS name e FQDN.

Se qui sono presenti valori di dominio errati, l’installazione spesso sembra sana, ma utenti o gruppi non vengono associati correttamente. Il NetBIOS name deve essere inserito in STAS in maiuscolo.
STA Agent
Nel tab STA Agent sono decisivi questi punti:
- STA Agent Mode: per il rilevamento locale tramite Event Log,
EVENTLOGè il punto di partenza tipico. - Specify the networks to be monitored: inserire le reti client in cui STAS deve riconoscere utenti.
- Domain Controller IP: impostare solo se l’Agent non gira direttamente sul Domain Controller. Se la SSO Suite è installata su un Domain Controller, questo campo normalmente resta vuoto.
- Collector List: inserire gli indirizzi IP dei sistemi Collector.

Le reti monitorate devono essere scelte consapevolmente. Reti server, reti di management o reti senza normali workstation utente generano altrimenti errori inutili o aspettative sbagliate.
STA Collector
Nel tab STA Collector si registra Sophos Firewall e si pianifica il client polling.
Punti importanti:
- Sophos Appliance: inserire l’indirizzo IP della Sophos Firewall.
- Workstation Polling Method: scegliere consapevolmente WMI o Registry Read Access.
- Enable Logoff Detection: attivare solo se ping e timeout verso la rete client sono coerenti.
- Dead entry timeout: testare un valore adatto alla versione STAS e al modello operativo.

Nei cluster HA conviene usare l’indirizzo firewall interno raggiungibile e adatto al traffico STAS. Gli indirizzi separati di amministrazione dei peer di solito non sono il target corretto.
Exclusion List
La Exclusion List impedisce che account tecnici sovrascrivano le normali associazioni utente. È una delle aree operative più importanti di STAS.
Voci tipiche:
- account di servizio per backup, monitoring, distribuzione software o strumenti endpoint
- account di amministrazione e installazione
- account che accedono in background a molti client
- server o sistemi su cui non sono attesi utenti workstation
Senza Exclusion List un vero utente può sparire dai Live Users perché poco dopo è stato rilevato un account di servizio sullo stesso client. In seguito sembra un problema di regola firewall, anche se la causa è nell’associazione di autenticazione.
Gruppi Collector e ridondanza
Per ambienti piccoli spesso basta un Collector. In ambienti più grandi i gruppi Collector vanno pianificati consapevolmente.
Regole collaudate:
- Usare un gruppo Collector adeguato per ogni dominio AD.
- Prevedere almeno due Collectors se le regole utente sono critiche.
- Configurare gli STA Agents con tutti i Collectors previsti.
- Testare firewall e Collectors in entrambe le direzioni.
- Non posizionare Collectors su sistemi che vengono riavviati spesso.
Uno STA Agent può servire più Collectors. Uno STA Collector può servire anche più Sophos Firewalls. La relazione va comunque documentata, altrimenti il troubleshooting diventa inutilmente difficile.
Sulla firewall un Collector viene inserito con Collector IP, Collector port e Collector group. Per ogni Collector group sono possibili al massimo cinque Collectors. L’ordine nel gruppo è importante: il primo Collector è primario, gli altri fungono da backup. Collectors dello stesso dominio appartengono allo stesso Collector group. Per sottodomini o domini AD separati conviene usare Collector group dedicati.
Attivare STAS su Sophos Firewall
Quando Agent, Collector, AD e rete sono preparati, STAS viene attivato sulla firewall.
Nel WebAdmin:
Authentication > STAS
Attivare STAS e inserire il Collector o il Collector group.

Se la configurazione funziona, gli utenti appaiono nella dashboard e nell’area Live Users.

Se non appaiono utenti, prima vanno verificati AD Events, Agent, Collector, Device Access e porte. Le regole firewall sono solo il passo successivo.
Opzioni STAS importanti sulla firewall
In Authentication > STAS ci sono alcune opzioni da impostare consapevolmente.
- STAS quarantine: per traffico in ingresso la firewall chiede al Collector l’associazione tra utente e IP di destinazione. Senza risultato, il traffico viene scartato. È utile per regole utente rigide, ma con STAS instabile può sembrare un problema di rete.
- Identity probe time-out: tempo di attesa della firewall per la risposta del Collector. Lo standard è
120secondi. Non aumentare questo valore alla cieca; prima va capito perché il Collector non risponde o risponde tardi. - Restrict client traffic during identity probe: con
Yesil traffico può essere bloccato durante la verifica dell’identità finché il firewall non riceve una risposta da STAS. ConNoviene inoltrato durante la verifica. Il valore predefinito di fabbrica èYes, quindi anche installazioni STAS rimaste invariate per anni possono essere interessate. Prima degli upgrade SFOS 22 questa opzione va controllata, perché in SFOS 22.0 MR1 è rilevante per un problema STAS documentato di upgrade e funzionamento. - Enable user inactivity: rimuove utenti inattivi dai Live Users. Aiuta a mantenere puliti i Live Users, ma deve combaciare con client, polling e timeout.
- Inactivity timer: minuti fino al sign-out degli utenti inattivi. Lo standard è
3. Valori troppo brevi possono causare logout irritanti con client poco attivi. - Data transfer threshold: quantità minima di dati in byte perché un utente venga considerato attivo. Lo standard è
100. Soglie basse sono di solito più adatte ai client Office rispetto a valori aggressivi.
Creare una regola firewall con riferimento utente
Appena STAS riconosce stabilmente gli utenti, le regole firewall possono usare utenti o gruppi di Active Directory.

Importante:
- Testare la regola con un gruppo reale.
- Attivare Log firewall traffic se la regola dovrà essere analizzata in seguito.
- Controllare la posizione della regola.
- Evitare regole fallback che nascondono errori di autenticazione.
- Controllare insieme Live Users e Log Viewer.
Per l’analisi delle regole si adatta Testare una regola firewall con Log Viewer, Policy Test e Packet Capture.
Validazione dopo l’installazione
Uno stato servizio verde non basta. Dopo la configurazione bisogna testare tutta la catena.
Procedura pratica:
- Effettuare il login con un utente di test su un client di dominio.
- Verificare il Security Event sul Domain Controller.
- Verificare lo stato dello STA Agent.
- Verificare lo stato dello STA Collector e gli utenti riconosciuti.
- Verificare i Live Users su Sophos Firewall.
- Testare una regola firewall basata su utenti con logging.
- Testare logoff o cambio utente.
- Verificare gli account tecnici rispetto alla Exclusion List.
In STAS si può controllare in Advanced > Show live users quali utenti conosce attualmente il Collector. Sulla firewall il punto corretto è Current activities > Live users. Le due viste devono essere logicamente coerenti al momento del test.
Se STAS controlla regole business-critical, questo test dovrebbe essere ripetuto dopo Windows Updates, modifiche ai Domain Controller, upgrade firewall e cambi password dell’account di servizio.
Test, log e backup
STAS offre diversi strumenti locali di verifica. Spesso sono più rapidi di un semplice sguardo al Log Viewer della firewall.
- Test connessione firewall:
Advanced > Troubleshooting > Test Connectivity > Sophosverifica se Agent o Collector raggiungono la firewall. - Test STA Agent:
Advanced > Troubleshooting > Test Connectivity > STAS Agentverifica se il Collector raggiunge un Agent. - Test STA Collector:
Advanced > Troubleshooting > Test Connectivity > STAS Collectorverifica se un Agent raggiunge un Collector. - WMI Verification:
Advanced > Troubleshooting > STAS Polling Utilities > WMI Verificationverifica Workstation Polling via WMI verso un IP client. - Registry Read Verification:
Advanced > Troubleshooting > STAS Polling Utilities > Registry Read Verificationverifica Workstation Polling tramite Registry Read Access verso un IP client.
Il log STAS è visibile direttamente nell’applicazione STAS sotto Advanced > View Log. Inoltre il file log si trova sul sistema Windows in:
C:\Program Files (x86)\Sophos\Sophos Transparent Authentication Suite\stas.log
Prima di modifiche più grandi conviene salvare la configurazione STAS. Nell’applicazione STAS si fa in Advanced > Backup / Restore > Backup Now. Il backup viene creato come file nel formato STAS_ConfigBackup_DD_MM_YYYY_THH_MM_SS.bkp. Per il restore si seleziona il file .bkp in Backup / Restore e lo si importa con Upload and Restore.
Controllare STAS prima di SFOS 22 MR1
STAS è una delle funzioni da verificare consapevolmente prima di un Major Upgrade. Nell’attuale lista Known Issues esiste un problema relativo a SFOS 22.0 MR1, STAS e l’opzione Restrict client traffic during identity probe. Se questa opzione è impostata su Yes, può impedire un upgrade a SFOS 22.0 MR1 o causare dopo l’upgrade Identity Probes ripetuti e quindi interruzioni temporanee del traffico. Poiché Yes è il valore predefinito, non bisogna presumere che siano interessate solo configurazioni speciali volutamente irrigidite.
Per gli admin è importante: non è un normale problema di configurazione STAS. Un ambiente può funzionare per anni e diventare problematico solo durante l’upgrade, perché una configurazione finora accettata diventa critica in combinazione con SFOS 22.0 MR1. Per questo STAS va incluso nel SFOS 22 Upgrade Check.
Prima di un upgrade a SFOS 22.0 MR1 o successivo controllare:
- STAS è attivo?
- Le regole basate su utenti sono usate in produzione?
- Restrict client traffic during identity probe è attivo?
- Esistono già segnalazioni di Identity Probes ripetuti o brevi interruzioni di traffico inspiegabili?
- Esiste un utente di test con cui verificare STAS dopo l’upgrade?
Se l’opzione interessata è attiva, non dovrebbe essere valutata solo durante la finestra di manutenzione firmware. Meglio eseguire prima un breve test separato: documentare la modifica, effettuare login con utente di test, controllare Live Users, testare una regola basata su utenti e verificare il Log Viewer. Se STAS controlla regole critiche per la sicurezza, va chiarito anche se serve una regola fallback temporanea per evitare blocchi incontrollati degli utenti.
Per il percorso di upgrade a SFOS 22.0 MR1 vale pragmaticamente: se STAS è attivo e Restrict client traffic during identity probe è su Yes, impostare l’opzione su No prima dell’upgrade e poi validare con utenti di test reali. Se questa modifica non può essere testata in anticipo, rinviare l’upgrade è spesso più pulito di una finestra di manutenzione rischiosa. Sui sistemi SFOS 22.0 MR1 già interessati, No è anche la mitigazione documentata fino alla disponibilità di una release corretta.
Dopo l’upgrade controllare in modo mirato:
- Stato STAS in
Authentication > STAS. - Live Users con un nuovo login di dominio.
- Regola firewall basata su utenti con logging.
- Nel Log Viewer verificare se è visibile il nome utente e non solo l’indirizzo IP.
- Prestare attenzione a Identity Probes ripetuti o brevi interruzioni.
Se l’upgrade viene bloccato da un messaggio STAS o dopo l’upgrade si verificano interruzioni riproducibili, conviene preparare un Sophos Support Case. Sono utili screenshot del messaggio di upgrade, configurazione STAS attuale, versione firmware, regola utente interessata e breve procedura di test.
Troubleshooting
Nessun utente in Live Users
Per prima cosa verificare se il Domain Controller scrive Security Events adatti. Poi controllare STA Agent, STA Collector, porte e Device Access.
Cause tipiche:
- Audit Policy non attiva
- STA Agent non in esecuzione o legge il Domain Controller sbagliato
- Collector non raggiungibile
- UDP
6060o6677bloccati Client Authenticationnon consentito in Device Access- NAT nasconde il vero IP client
Utente associato in modo errato
Spesso sono coinvolti Exclusions, Workstation Polling o account tecnici. Verificare se account di servizio, monitoring o installazione sovrascrivono lo stesso client.
Utente che scompare troppo rapidamente
Controllare Logoff Detection, Dead Entry Timeout, raggiungibilità client e metodo di polling. Se i client non rispondono a ping, WMI o Registry Access, le voci possono sparire in modo inatteso o restare obsolete.
Errori DCOM o STAS interroga reti sbagliate
Se dopo l’installazione di STAS nel Windows Event Viewer compaiono errori DCOM come Event ID 10009 o 10028, la causa non è automaticamente la regola firewall. Spesso il Collector prova a controllare tramite WMI o Registry Read Access client che non sono raggiungibili o che non appartengono alle reti monitorate.
In questo caso, limitare in STAS le reti monitorate:
- Nell’applicazione STAS aprire il tab STA Collector.
- Sotto Sophos appliances, selezionare la Sophos Firewall interessata e aprire Edit.
- Attivare Enable subnet based filter.
- Inserire solo le reti che devono davvero essere monitorate.
- Nel tab STA Agent, verificare le stesse reti client sotto Specify the networks to be monitored.
- Applicare le modifiche e riavviare STAS.
Questo riduce query WMI inutili ed evita che utenti da reti non adatte compaiano come LogonType: 1. Dopo la modifica, controllare insieme stas.log, Windows Event Viewer e Current activities > Live users.
La regola firewall non viene applicata
Non guardare solo la regola. Verificare:
- L’utente è visibile in Live Users?
- Viene riconosciuto il gruppo AD corretto?
- Si applica una regola firewall precedente?
- Il logging è attivo sulla regola?
- Il Log Viewer vede l’utente o solo l’indirizzo IP?
Periodo di transizione per traffico non autenticato
Per fasi di transizione la firewall consente per impostazione predefinita una breve finestra di traffico non autenticato. Questo valore può essere verificato o adattato tramite Device Console:
system auth cta unauth-traffic drop-period
Questa impostazione non va cambiata alla cieca. Prima deve essere chiaro se il problema è davvero il periodo di transizione o un’associazione STAS errata.
Quando la firewall vede traffico da un IP per cui STAS non conosce ancora un utente, questo IP viene prima verificato in learning mode. Durante questa fase il traffico può essere scartato. Se il Collector non risponde, la firewall considera l’IP non autenticato per un certo periodo. Per dispositivi fuori dominio non bisogna quindi aspettarsi che STAS li copra automaticamente in modo pulito. Per questi sistemi possono essere più adatti Clientless Users o regole dedicate.
STAS tramite VPN
STAS può essere usato anche in uno scenario IPsec VPN, quando utenti in una sede remota si autenticano contro un Domain Controller nella sede principale. Questo va però pianificato consapevolmente, perché routing, IP sorgente, STAS Monitored Networks e zone firewall devono combaciare.
Prerequisiti per questo design:
- Connessione IPsec attiva e stabile.
- Il traffico della branch viene instradato nel tunnel.
- STAS e Active Directory sono configurati correttamente nella sede principale.
- La rete branch è inserita in STAS come rete monitorata.
- La branch firewall è registrata nella configurazione STA Collector come Sophos Appliance.
Client Authenticationè consentito per la zona VPN in Device Access.
Sulla firewall della sede principale la rete remota deve essere aggiunta per STAS tramite Device Console. Esempio:
system auth cta vpnzonenetwork add source-network 172.50.50.0 netmask 255.255.255.0
L’esempio va sostituito con la vera rete branch. In molti ambienti resta comunque più semplice e robusto usare STAS solo per reti client locali e progettare separatamente le sedi remote.
STAS, SATC e Remote Desktop Server
STAS classico funziona bene quando un IP client appartiene tipicamente a un utente. Su Remote Desktop Server, terminal server o sistemi Citrix più utenti condividono però lo stesso indirizzo IP. In questo caso STAS classico non può distinguere correttamente gli utenti.
In questi ambienti bisogna valutare Sophos Authentication for Thin Client (SATC). SATC non è un semplice flag in STAS, ma un tema di design autonomo:
- Quali server sono interessati?
- Quali utenti lavorano tramite questi server?
- Quali regole firewall devono davvero essere basate su utente?
- Esiste traffico misto da servizi server e sessioni utente?
- Come viene testato e documentato il comportamento?
Se i terminal server vengono usati raramente, può essere più sensato segmentare diversamente queste connessioni o usare regole dedicate senza riferimento utente. L’importante è che l’autenticazione corrisponda alla reale architettura di rete.
Checklist operativa
Prima dell’installazione:
- Il server AD funziona su Sophos Firewall.
- Reti client e Domain Controller sono documentati.
- Nessun NAT nasconde gli IP client.
- Account di servizio e diritti sono definiti.
- Audit Policy attiva sui Domain Controller rilevanti.
- Exclusion List preparata.
Dopo l’installazione:
- Agent e Collector sono in esecuzione.
- Le porte tra Agent, Collector, firewall e client sono aperte.
- Live Users mostra l’utente di test.
- La regola firewall basata su utente viene rilevata nel Log Viewer.
- Logoff, cambio utente e account tecnici sono stati testati.
- La ridondanza Collector è documentata, se necessaria.
In esercizio:
- Monitorare l’account di servizio.
- Mantenere regolarmente la Exclusion List.
- Confrontare modifiche Windows Firewall e GPO con STAS.
- Confrontare regolarmente subnet-based filter e reti monitorate con la struttura reale dei client.
- Testare STAS dopo upgrade firewall e Domain Controller.
- Prima di SFOS 22.0 MR1 o successivo, verificare Restrict client traffic during identity probe.
- Per RDS/Citrix non improvvisare con STAS, ma valutare SATC o un altro design.
FAQ
Che cos'è STAS su Sophos Firewall?
Lo STA Collector deve girare su un Domain Controller?
Perché STAS non funziona con NAT tra client e firewall?
Cosa va inserito nella STAS Exclusion List?
Quando serve SATC invece di STAS?
Perché controllare STAS prima di SFOS 22 MR1?
No oppure l’upgrade va rinviato.