Vai al contenuto
Avanet

Configurare STAS su Sophos Firewall

STAS significa Sophos Transparent Authentication Suite. La funzione associa gli accessi Windows provenienti da Active Directory a un indirizzo IP client, così Sophos Firewall può usare utenti e gruppi nelle regole firewall senza richiedere un login separato nel browser o nel portale.

Nelle classiche reti Windows con dominio è ancora molto utile. Allo stesso tempo STAS non è una soluzione SSO universale. L’associazione funziona in modo affidabile solo se la firewall vede il vero IP del client, i Domain Controller scrivono gli eventi di login corretti e gli account tecnici vengono esclusi in modo pulito. Per ambienti RDS, terminal server o Citrix serve spesso un design diverso, per esempio SATC.

Quando STAS è utile

STAS è adatto soprattutto ad ambienti con normali client Windows in un dominio Active Directory. Obiettivi tipici:

  • regole firewall con utenti o gruppi AD
  • report con riferimento all’utente invece che solo all’indirizzo IP
  • associazione utente trasparente senza Captive Portal
  • regole Internet per reti client interne
  • autenticazione complementare in ambienti senza design Entra ID SSO

STAS è meno adatto quando più utenti condividono lo stesso IP sorgente. Questo riguarda per esempio Remote Desktop Server, terminal server, server Citrix o sistemi con NAT tra client e firewall. In questi casi conviene verificare presto se Sophos Authentication for Thin Client (SATC) o un altro modello di autenticazione sia più adatto.

Video guida

I seguenti Sophos Techvids mostrano visivamente la struttura STAS. I video sono stati creati con SFOS v21, ma restano utili per il principio di funzionamento, l’architettura e i passaggi di configurazione principali. In SFOS 22 alcune schermate possono apparire leggermente diverse.

Parte 1: panoramica STAS, struttura di rete, componenti e Logon Detection.
Parte 2: prerequisiti, configurazione firewall, Windows AD, STA Agent e STA Collector.
Riepilogo della serie di installazione STAS.

Funzionamento

STAS è composto da due componenti:

ComponenteCompito
STA AgentViene eseguito su un Domain Controller o su un sistema Windows adatto e rileva gli eventi di accesso AD
STA CollectorRaccoglie le informazioni da uno o più STA Agent e le trasmette a Sophos Firewall

Flusso tipico:

  1. Un utente accede a un client Windows.
  2. Active Directory scrive un Security Event corrispondente.
  3. Lo STA Agent legge questo evento.
  4. Lo STA Collector riceve utente, IP client e informazioni di dominio.
  5. Sophos Firewall aggiorna i Live Users.
  6. Le regole firewall possono valutare utenti o gruppi.

In aggiunta, il Collector può verificare i client tramite WMI o Registry Read Access. Questo Workstation Polling aiuta ad associare un indirizzo IP a un utente o a correggere voci obsolete. Devono però essere corretti Windows Firewall, servizi, autorizzazioni e percorsi di rete.

Prerequisiti

Prima dell’installazione vanno chiariti questi punti:

  • Sophos Firewall opera in modalità gateway.
  • Active Directory è già collegato alla firewall.
  • I Domain Controller scrivono gli eventi di login necessari.
  • I client Windows sono membri del dominio.
  • Non c’è NAT tra client, Collector e Sophos Firewall.
  • Client Authentication è consentito in Device Access per le zone interessate.
  • DNS, ora, routing e regole firewall tra i sistemi coinvolti sono corretti.
  • Sono definiti un account di servizio e un processo per il cambio password.
  • Gli account tecnici da inserire nelle Exclusions sono noti.

STAS 2.5 e versioni successive supportano, secondo la documentazione ufficiale, Windows Server 2008 R2, 2012 R2, 2016, 2019, 2022 e 2025. Per nuove installazioni non conviene comunque pianificare su generazioni server vecchie. È rilevante soprattutto che STAS possa essere eseguito direttamente su un Domain Controller oppure, da STAS 2.5, anche su un Member Server. Nei design con Member Server bisogna verificare con particolare attenzione accesso agli Event Log, accesso WMI/Registry e percorsi di rete.

Il collegamento AD è descritto in Collegare Active Directory a Sophos Firewall. STAS non deve essere visto come sostituto di una configurazione AD server pulita.

Se nel corso degli anni vengono creati moltissimi utenti e gruppi sulla firewall, conviene tenere d’occhio anche il limite User ID di Sophos Firewall. È particolarmente importante se download del portale o funzioni VPN falliscono solo per singoli utenti.

Pianificare l’architettura

In ambienti piccoli Agent e Collector possono girare sullo stesso Domain Controller. È semplice, ma non sempre è la variante operativa migliore.

Il Collector genera propri percorsi di comunicazione e verifica verso la firewall, gli Agent e, a seconda del metodo di polling, anche verso i client. Per questo non dovrebbe finire automaticamente su un Domain Controller solo perché lì gira già l’Agent. Sophos stessa segnala che l’installazione del Collector su un Domain Controller non è sempre consigliabile a causa del traffico generato. In ambienti produttivi, un server Windows separato è spesso più pulito da monitorare, aggiornare e riavviare in caso di problemi.

In ambienti più grandi è spesso più pulito:

  • STA Agent su ogni Domain Controller rilevante
  • uno o due STA Collector su sistemi Windows separati
  • gruppi Collector per dominio AD
  • Exclusion List chiara per account tecnici
  • regole firewall e autorizzazioni Device Access definite
  • monitoring per servizi, Event Log e associazione Live Users

La vista IP è decisiva. STAS associa utenti a indirizzi IP. Se proxy, NAT, terminal server o gateway VPN nascondono il vero IP client, la firewall non può usare l’associazione in modo affidabile.

Preparare Active Directory

STAS dipende molto dalla presenza degli eventi di login corretti nel Security Event Log. Le impostazioni seguenti devono essere verificate su ogni Domain Controller su cui viene usato lo STA Agent.

Prima dell’installazione conviene annotare anche NetBIOS name, FQDN e Search DN del dominio. Questi valori servono poi nella configurazione di Sophos Firewall e STAS.

Attivare Audit account logon events

Aprire Local Security Policy sul Domain Controller, per esempio con secpol.msc.

Poi aprire il percorso:

Security Settings > Local Policies > Audit Policy

Aprire Audit account logon events.

Policy Audit account logon events
STAS richiede eventi di login appropriati nel Security Event Log.

Attivare quindi Success e Failure e salvare la modifica.

Attivare Success e Failure per Audit account logon events
Success e Failure aiutano nel rilevamento e nel troubleshooting.

Preparare l’account STAS

Il servizio STAS dovrebbe usare un account documentato. Nei laboratori viene spesso usato un account amministratore. In produzione è meglio un account STAS dedicato, se i diritti necessari sono impostati e testati correttamente.

A seconda del design, l’account deve poter:

  • avviare il servizio
  • leggere gli Event Log rilevanti
  • accedere ai client con WMI o Registry Read Access
  • superare in modo pianificato i cambi password
  • essere riconoscibile in monitoring e documentazione

L’account non deve necessariamente essere Domain Admin. Per il Domain Controller sono importanti almeno gruppi e diritti file corretti. In pratica conviene verificare:

  • appartenenza a Domain Users
  • appartenenza a Event Log Readers
  • diritti di lettura e scrittura su C:\Program Files (x86)\Sophos\Sophos Transparent Authentication Suite\
  • per WMI polling, diritti adeguati sugli endpoint, per esempio Remote Desktop Users, Distributed COM Users e autorizzazioni WMI su Root\CIMV2 con Execute Methods e Remote Enable

In ambienti grandi questi diritti sugli endpoint si distribuiscono meglio tramite Group Policy. Se non si usa Workstation Polling, non bisogna assegnare diritti inutilmente ampi.

Se il servizio gira con un account proprio, questo account deve ricevere Log on as a service.

Percorso nella Local Security Policy:

Security Settings > Local Policies > User Rights Assignment
Diritto utente Log on as a service
L’account di servizio STAS richiede il diritto Log on as a service.

Poi aggiungere l’account.

Properties di Log on as a service
L’account di servizio deve essere documentato e protetto da scadenze password non pianificate.

Verificare porte e servizi

Tra Sophos Firewall, STA Collector, STA Agent, Domain Controller e client devono essere possibili le connessioni necessarie. Come base valgono:

DirezioneScopoPorta
STA Collector verso Sophos FirewallInviare informazioni utenteUDP 6060
Sophos Firewall verso STA CollectorComunicazione CollectorUDP 6677
STA Agent verso STA CollectorInviare dati Agent al CollectorTCP 5566

Le porte aggiuntive dipendono dai metodi attivati:

FunzionePresupposto tipico
Workstation Polling via WMITCP 135, TCP 445, servizi RPC/DCOM/WMI
Registry Read AccessTCP 445, Remote Registry
Logoff Detection PingICMP verso il client
STAS Collector TestUDP 50001
STAS Configuration SyncTCP 27015

Se Windows Firewall è attivo sui client o sui server, le regole dovrebbero essere limitate in modo stretto al Collector. Esempio per WMI:

New-NetFirewallRule -DisplayName "Sophos STAS Collector WMI" -Direction Inbound -RemoteAddress 10.10.10.10 -Action Allow -Profile Domain

Il comando è solo un modello. In produzione IP sorgente, porte di destinazione, profili e Group Policy devono corrispondere al metodo di polling scelto.

Inserire Active Directory sulla firewall

Prima di attivare STAS, Sophos Firewall deve conoscere il server Active Directory.

Nel WebAdmin:

Authentication > Servers

Aggiungere un server Active Directory o verificare la configurazione esistente.

Aggiungere un server Active Directory su Sophos Firewall
La configurazione del server AD è la base per gruppi e risoluzione utenti.

I singoli campi sono spiegati in Collegare Active Directory a Sophos Firewall. Per STAS sono particolarmente importanti NetBIOS domain, Domain name, Search base e risoluzione gruppi.

Scaricare e installare STAS

L’installazione STAS viene fornita dalla Sophos Firewall.

Nel WebAdmin:

Authentication > Client downloads
Menu Client downloads su Sophos Firewall
Il file di installazione STAS viene scaricato da Client downloads.

Sotto Single Sign-on si trova Sophos Transparent Authentication Suite (STAS).

Scaricare Sophos Transparent Authentication Suite
STAS viene fornito come installer Windows.

Avviare il file STAS.exe sul sistema Windows previsto come amministratore.

STAS Installer Setup Type
In base al design vengono installati Agent, Collector o entrambi i componenti.

Varianti tipiche di installazione:

VarianteQuando è utile
SSO Suite su un serverambiente piccolo o laboratorio
STA Agent sui Domain Controller, Collector separatomigliore separazione e scalabilità
più Collectorsridondanza o ambiente più grande

Con più Domain Controller di solito serve uno STA Agent su ogni Domain Controller rilevante. Un Collector può raccogliere informazioni da più Agents.

Configurare STAS

Dopo l’installazione si configura la STA Suite. Le aree principali sono General, STA Agent, STA Collector ed Exclusion List.

General

Nel tab General si verificano soprattutto account di servizio, informazioni di dominio, NetBIOS name e FQDN.

Impostazioni generali STAS
NetBIOS, FQDN e account di servizio devono corrispondere all’ambiente AD.

Se qui sono presenti valori di dominio errati, l’installazione spesso sembra sana, ma utenti o gruppi non vengono associati correttamente. Il NetBIOS name deve essere inserito in STAS in maiuscolo.

STA Agent

Nel tab STA Agent sono decisivi questi punti:

  • STA Agent Mode: per il rilevamento locale tramite Event Log, EVENTLOG è il punto di partenza tipico.
  • Specify the networks to be monitored: inserire le reti client in cui STAS deve riconoscere utenti.
  • Domain Controller IP: impostare solo se l’Agent non gira direttamente sul Domain Controller. Se la SSO Suite è installata su un Domain Controller, questo campo normalmente resta vuoto.
  • Collector List: inserire gli indirizzi IP dei sistemi Collector.
Configurazione dello STA Agent
Lo STA Agent rileva i Logon Events e li invia al Collector.

Le reti monitorate devono essere scelte consapevolmente. Reti server, reti di management o reti senza normali workstation utente generano altrimenti errori inutili o aspettative sbagliate.

STA Collector

Nel tab STA Collector si registra Sophos Firewall e si pianifica il client polling.

Punti importanti:

  • Sophos Appliance: inserire l’indirizzo IP della Sophos Firewall.
  • Workstation Polling Method: scegliere consapevolmente WMI o Registry Read Access.
  • Enable Logoff Detection: attivare solo se ping e timeout verso la rete client sono coerenti.
  • Dead entry timeout: testare un valore adatto alla versione STAS e al modello operativo.
Configurazione dello STA Collector
Il Collector fa da intermediario tra STA Agents, client e Sophos Firewall.

Nei cluster HA conviene usare l’indirizzo firewall interno raggiungibile e adatto al traffico STAS. Gli indirizzi separati di amministrazione dei peer di solito non sono il target corretto.

Exclusion List

La Exclusion List impedisce che account tecnici sovrascrivano le normali associazioni utente. È una delle aree operative più importanti di STAS.

Voci tipiche:

  • account di servizio per backup, monitoring, distribuzione software o strumenti endpoint
  • account di amministrazione e installazione
  • account che accedono in background a molti client
  • server o sistemi su cui non sono attesi utenti workstation

Senza Exclusion List un vero utente può sparire dai Live Users perché poco dopo è stato rilevato un account di servizio sullo stesso client. In seguito sembra un problema di regola firewall, anche se la causa è nell’associazione di autenticazione.

Gruppi Collector e ridondanza

Per ambienti piccoli spesso basta un Collector. In ambienti più grandi i gruppi Collector vanno pianificati consapevolmente.

Regole collaudate:

  • Usare un gruppo Collector adeguato per ogni dominio AD.
  • Prevedere almeno due Collectors se le regole utente sono critiche.
  • Configurare gli STA Agents con tutti i Collectors previsti.
  • Testare firewall e Collectors in entrambe le direzioni.
  • Non posizionare Collectors su sistemi che vengono riavviati spesso.

Uno STA Agent può servire più Collectors. Uno STA Collector può servire anche più Sophos Firewalls. La relazione va comunque documentata, altrimenti il troubleshooting diventa inutilmente difficile.

Sulla firewall un Collector viene inserito con Collector IP, Collector port e Collector group. Per ogni Collector group sono possibili al massimo cinque Collectors. L’ordine nel gruppo è importante: il primo Collector è primario, gli altri fungono da backup. Collectors dello stesso dominio appartengono allo stesso Collector group. Per sottodomini o domini AD separati conviene usare Collector group dedicati.

Attivare STAS su Sophos Firewall

Quando Agent, Collector, AD e rete sono preparati, STAS viene attivato sulla firewall.

Nel WebAdmin:

Authentication > STAS

Attivare STAS e inserire il Collector o il Collector group.

Impostazioni STAS su Sophos Firewall
In Authentication > STAS viene registrato il Collector sulla firewall.

Se la configurazione funziona, gli utenti appaiono nella dashboard e nell’area Live Users.

Live Users sulla dashboard Sophos Firewall
Live Users mostra se STAS riconosce attualmente gli utenti.

Se non appaiono utenti, prima vanno verificati AD Events, Agent, Collector, Device Access e porte. Le regole firewall sono solo il passo successivo.

Opzioni STAS importanti sulla firewall

In Authentication > STAS ci sono alcune opzioni da impostare consapevolmente.

  • STAS quarantine: per traffico in ingresso la firewall chiede al Collector l’associazione tra utente e IP di destinazione. Senza risultato, il traffico viene scartato. È utile per regole utente rigide, ma con STAS instabile può sembrare un problema di rete.
  • Identity probe time-out: tempo di attesa della firewall per la risposta del Collector. Lo standard è 120 secondi. Non aumentare questo valore alla cieca; prima va capito perché il Collector non risponde o risponde tardi.
  • Restrict client traffic during identity probe: con Yes il traffico può essere bloccato durante la verifica dell’identità finché il firewall non riceve una risposta da STAS. Con No viene inoltrato durante la verifica. Il valore predefinito di fabbrica è Yes, quindi anche installazioni STAS rimaste invariate per anni possono essere interessate. Prima degli upgrade SFOS 22 questa opzione va controllata, perché in SFOS 22.0 MR1 è rilevante per un problema STAS documentato di upgrade e funzionamento.
  • Enable user inactivity: rimuove utenti inattivi dai Live Users. Aiuta a mantenere puliti i Live Users, ma deve combaciare con client, polling e timeout.
  • Inactivity timer: minuti fino al sign-out degli utenti inattivi. Lo standard è 3. Valori troppo brevi possono causare logout irritanti con client poco attivi.
  • Data transfer threshold: quantità minima di dati in byte perché un utente venga considerato attivo. Lo standard è 100. Soglie basse sono di solito più adatte ai client Office rispetto a valori aggressivi.

Creare una regola firewall con riferimento utente

Appena STAS riconosce stabilmente gli utenti, le regole firewall possono usare utenti o gruppi di Active Directory.

Regola firewall con riferimento utente per RDP
Le regole basate su utenti devono sempre essere loggate e validate con utenti di test reali.

Importante:

  • Testare la regola con un gruppo reale.
  • Attivare Log firewall traffic se la regola dovrà essere analizzata in seguito.
  • Controllare la posizione della regola.
  • Evitare regole fallback che nascondono errori di autenticazione.
  • Controllare insieme Live Users e Log Viewer.

Per l’analisi delle regole si adatta Testare una regola firewall con Log Viewer, Policy Test e Packet Capture.

Validazione dopo l’installazione

Uno stato servizio verde non basta. Dopo la configurazione bisogna testare tutta la catena.

Procedura pratica:

  1. Effettuare il login con un utente di test su un client di dominio.
  2. Verificare il Security Event sul Domain Controller.
  3. Verificare lo stato dello STA Agent.
  4. Verificare lo stato dello STA Collector e gli utenti riconosciuti.
  5. Verificare i Live Users su Sophos Firewall.
  6. Testare una regola firewall basata su utenti con logging.
  7. Testare logoff o cambio utente.
  8. Verificare gli account tecnici rispetto alla Exclusion List.

In STAS si può controllare in Advanced > Show live users quali utenti conosce attualmente il Collector. Sulla firewall il punto corretto è Current activities > Live users. Le due viste devono essere logicamente coerenti al momento del test.

Se STAS controlla regole business-critical, questo test dovrebbe essere ripetuto dopo Windows Updates, modifiche ai Domain Controller, upgrade firewall e cambi password dell’account di servizio.

Test, log e backup

STAS offre diversi strumenti locali di verifica. Spesso sono più rapidi di un semplice sguardo al Log Viewer della firewall.

  • Test connessione firewall: Advanced > Troubleshooting > Test Connectivity > Sophos verifica se Agent o Collector raggiungono la firewall.
  • Test STA Agent: Advanced > Troubleshooting > Test Connectivity > STAS Agent verifica se il Collector raggiunge un Agent.
  • Test STA Collector: Advanced > Troubleshooting > Test Connectivity > STAS Collector verifica se un Agent raggiunge un Collector.
  • WMI Verification: Advanced > Troubleshooting > STAS Polling Utilities > WMI Verification verifica Workstation Polling via WMI verso un IP client.
  • Registry Read Verification: Advanced > Troubleshooting > STAS Polling Utilities > Registry Read Verification verifica Workstation Polling tramite Registry Read Access verso un IP client.

Il log STAS è visibile direttamente nell’applicazione STAS sotto Advanced > View Log. Inoltre il file log si trova sul sistema Windows in:

C:\Program Files (x86)\Sophos\Sophos Transparent Authentication Suite\stas.log

Prima di modifiche più grandi conviene salvare la configurazione STAS. Nell’applicazione STAS si fa in Advanced > Backup / Restore > Backup Now. Il backup viene creato come file nel formato STAS_ConfigBackup_DD_MM_YYYY_THH_MM_SS.bkp. Per il restore si seleziona il file .bkp in Backup / Restore e lo si importa con Upload and Restore.

Controllare STAS prima di SFOS 22 MR1

STAS è una delle funzioni da verificare consapevolmente prima di un Major Upgrade. Nell’attuale lista Known Issues esiste un problema relativo a SFOS 22.0 MR1, STAS e l’opzione Restrict client traffic during identity probe. Se questa opzione è impostata su Yes, può impedire un upgrade a SFOS 22.0 MR1 o causare dopo l’upgrade Identity Probes ripetuti e quindi interruzioni temporanee del traffico. Poiché Yes è il valore predefinito, non bisogna presumere che siano interessate solo configurazioni speciali volutamente irrigidite.

Per gli admin è importante: non è un normale problema di configurazione STAS. Un ambiente può funzionare per anni e diventare problematico solo durante l’upgrade, perché una configurazione finora accettata diventa critica in combinazione con SFOS 22.0 MR1. Per questo STAS va incluso nel SFOS 22 Upgrade Check.

Prima di un upgrade a SFOS 22.0 MR1 o successivo controllare:

  • STAS è attivo?
  • Le regole basate su utenti sono usate in produzione?
  • Restrict client traffic during identity probe è attivo?
  • Esistono già segnalazioni di Identity Probes ripetuti o brevi interruzioni di traffico inspiegabili?
  • Esiste un utente di test con cui verificare STAS dopo l’upgrade?

Se l’opzione interessata è attiva, non dovrebbe essere valutata solo durante la finestra di manutenzione firmware. Meglio eseguire prima un breve test separato: documentare la modifica, effettuare login con utente di test, controllare Live Users, testare una regola basata su utenti e verificare il Log Viewer. Se STAS controlla regole critiche per la sicurezza, va chiarito anche se serve una regola fallback temporanea per evitare blocchi incontrollati degli utenti.

Per il percorso di upgrade a SFOS 22.0 MR1 vale pragmaticamente: se STAS è attivo e Restrict client traffic during identity probe è su Yes, impostare l’opzione su No prima dell’upgrade e poi validare con utenti di test reali. Se questa modifica non può essere testata in anticipo, rinviare l’upgrade è spesso più pulito di una finestra di manutenzione rischiosa. Sui sistemi SFOS 22.0 MR1 già interessati, No è anche la mitigazione documentata fino alla disponibilità di una release corretta.

Dopo l’upgrade controllare in modo mirato:

  1. Stato STAS in Authentication > STAS.
  2. Live Users con un nuovo login di dominio.
  3. Regola firewall basata su utenti con logging.
  4. Nel Log Viewer verificare se è visibile il nome utente e non solo l’indirizzo IP.
  5. Prestare attenzione a Identity Probes ripetuti o brevi interruzioni.

Se l’upgrade viene bloccato da un messaggio STAS o dopo l’upgrade si verificano interruzioni riproducibili, conviene preparare un Sophos Support Case. Sono utili screenshot del messaggio di upgrade, configurazione STAS attuale, versione firmware, regola utente interessata e breve procedura di test.

Troubleshooting

Nessun utente in Live Users

Per prima cosa verificare se il Domain Controller scrive Security Events adatti. Poi controllare STA Agent, STA Collector, porte e Device Access.

Cause tipiche:

  • Audit Policy non attiva
  • STA Agent non in esecuzione o legge il Domain Controller sbagliato
  • Collector non raggiungibile
  • UDP 6060 o 6677 bloccati
  • Client Authentication non consentito in Device Access
  • NAT nasconde il vero IP client

Utente associato in modo errato

Spesso sono coinvolti Exclusions, Workstation Polling o account tecnici. Verificare se account di servizio, monitoring o installazione sovrascrivono lo stesso client.

Utente che scompare troppo rapidamente

Controllare Logoff Detection, Dead Entry Timeout, raggiungibilità client e metodo di polling. Se i client non rispondono a ping, WMI o Registry Access, le voci possono sparire in modo inatteso o restare obsolete.

Errori DCOM o STAS interroga reti sbagliate

Se dopo l’installazione di STAS nel Windows Event Viewer compaiono errori DCOM come Event ID 10009 o 10028, la causa non è automaticamente la regola firewall. Spesso il Collector prova a controllare tramite WMI o Registry Read Access client che non sono raggiungibili o che non appartengono alle reti monitorate.

In questo caso, limitare in STAS le reti monitorate:

  1. Nell’applicazione STAS aprire il tab STA Collector.
  2. Sotto Sophos appliances, selezionare la Sophos Firewall interessata e aprire Edit.
  3. Attivare Enable subnet based filter.
  4. Inserire solo le reti che devono davvero essere monitorate.
  5. Nel tab STA Agent, verificare le stesse reti client sotto Specify the networks to be monitored.
  6. Applicare le modifiche e riavviare STAS.

Questo riduce query WMI inutili ed evita che utenti da reti non adatte compaiano come LogonType: 1. Dopo la modifica, controllare insieme stas.log, Windows Event Viewer e Current activities > Live users.

La regola firewall non viene applicata

Non guardare solo la regola. Verificare:

  • L’utente è visibile in Live Users?
  • Viene riconosciuto il gruppo AD corretto?
  • Si applica una regola firewall precedente?
  • Il logging è attivo sulla regola?
  • Il Log Viewer vede l’utente o solo l’indirizzo IP?

Periodo di transizione per traffico non autenticato

Per fasi di transizione la firewall consente per impostazione predefinita una breve finestra di traffico non autenticato. Questo valore può essere verificato o adattato tramite Device Console:

system auth cta unauth-traffic drop-period

Questa impostazione non va cambiata alla cieca. Prima deve essere chiaro se il problema è davvero il periodo di transizione o un’associazione STAS errata.

Quando la firewall vede traffico da un IP per cui STAS non conosce ancora un utente, questo IP viene prima verificato in learning mode. Durante questa fase il traffico può essere scartato. Se il Collector non risponde, la firewall considera l’IP non autenticato per un certo periodo. Per dispositivi fuori dominio non bisogna quindi aspettarsi che STAS li copra automaticamente in modo pulito. Per questi sistemi possono essere più adatti Clientless Users o regole dedicate.

STAS tramite VPN

STAS può essere usato anche in uno scenario IPsec VPN, quando utenti in una sede remota si autenticano contro un Domain Controller nella sede principale. Questo va però pianificato consapevolmente, perché routing, IP sorgente, STAS Monitored Networks e zone firewall devono combaciare.

Prerequisiti per questo design:

  • Connessione IPsec attiva e stabile.
  • Il traffico della branch viene instradato nel tunnel.
  • STAS e Active Directory sono configurati correttamente nella sede principale.
  • La rete branch è inserita in STAS come rete monitorata.
  • La branch firewall è registrata nella configurazione STA Collector come Sophos Appliance.
  • Client Authentication è consentito per la zona VPN in Device Access.

Sulla firewall della sede principale la rete remota deve essere aggiunta per STAS tramite Device Console. Esempio:

system auth cta vpnzonenetwork add source-network 172.50.50.0 netmask 255.255.255.0

L’esempio va sostituito con la vera rete branch. In molti ambienti resta comunque più semplice e robusto usare STAS solo per reti client locali e progettare separatamente le sedi remote.

STAS, SATC e Remote Desktop Server

STAS classico funziona bene quando un IP client appartiene tipicamente a un utente. Su Remote Desktop Server, terminal server o sistemi Citrix più utenti condividono però lo stesso indirizzo IP. In questo caso STAS classico non può distinguere correttamente gli utenti.

In questi ambienti bisogna valutare Sophos Authentication for Thin Client (SATC). SATC non è un semplice flag in STAS, ma un tema di design autonomo:

  • Quali server sono interessati?
  • Quali utenti lavorano tramite questi server?
  • Quali regole firewall devono davvero essere basate su utente?
  • Esiste traffico misto da servizi server e sessioni utente?
  • Come viene testato e documentato il comportamento?

Se i terminal server vengono usati raramente, può essere più sensato segmentare diversamente queste connessioni o usare regole dedicate senza riferimento utente. L’importante è che l’autenticazione corrisponda alla reale architettura di rete.

Checklist operativa

Prima dell’installazione:

  • Il server AD funziona su Sophos Firewall.
  • Reti client e Domain Controller sono documentati.
  • Nessun NAT nasconde gli IP client.
  • Account di servizio e diritti sono definiti.
  • Audit Policy attiva sui Domain Controller rilevanti.
  • Exclusion List preparata.

Dopo l’installazione:

  • Agent e Collector sono in esecuzione.
  • Le porte tra Agent, Collector, firewall e client sono aperte.
  • Live Users mostra l’utente di test.
  • La regola firewall basata su utente viene rilevata nel Log Viewer.
  • Logoff, cambio utente e account tecnici sono stati testati.
  • La ridondanza Collector è documentata, se necessaria.

In esercizio:

  • Monitorare l’account di servizio.
  • Mantenere regolarmente la Exclusion List.
  • Confrontare modifiche Windows Firewall e GPO con STAS.
  • Confrontare regolarmente subnet-based filter e reti monitorate con la struttura reale dei client.
  • Testare STAS dopo upgrade firewall e Domain Controller.
  • Prima di SFOS 22.0 MR1 o successivo, verificare Restrict client traffic during identity probe.
  • Per RDS/Citrix non improvvisare con STAS, ma valutare SATC o un altro design.

FAQ

Che cos'è STAS su Sophos Firewall?

STAS è Sophos Transparent Authentication Suite. La funzione legge eventi di accesso Windows da Active Directory e comunica a Sophos Firewall le associazioni utente-IP, così regole e report possono usare utenti o gruppi.

Lo STA Collector deve girare su un Domain Controller?

No. Lo STA Agent viene usato tipicamente sui Domain Controller. Lo STA Collector può girare sullo stesso sistema, ma in ambienti più grandi può essere gestito anche separatamente.

Perché STAS non funziona con NAT tra client e firewall?

STAS associa un utente a un IP client. Se NAT modifica l’IP sorgente, la firewall non vede più lo stesso indirizzo che STAS conosce dal client. L’associazione utente diventa quindi inaffidabile.

Cosa va inserito nella STAS Exclusion List?

Nella Exclusion List vanno account tecnici, account di servizio, backup, monitoring, installazione e amministrazione che non rappresentano accessi utente normali e potrebbero sovrascrivere associazioni reali.

Quando serve SATC invece di STAS?

SATC va valutato quando più utenti condividono lo stesso IP sorgente, per esempio su Remote Desktop Server, terminal server o sistemi Citrix. STAS classico non può distinguere correttamente queste sessioni per utente. La procedura è descritta in Configurare Sophos Firewall SATC per Remote Desktop Services.

Perché controllare STAS prima di SFOS 22 MR1?

È documentato un Known Issue in cui STAS con l’opzione Restrict client traffic during identity probe attiva può impedire l’upgrade a SFOS 22.0 MR1 o causare dopo l’upgrade Identity Probes ripetuti con interruzioni del traffico. Prima dell’upgrade l’opzione va controllata e, negli ambienti interessati, impostata su No oppure l’upgrade va rinviato.