Configurare STAS su Sophos Firewall (SFOS)

Questo articolo mostra come configurare STAS (Sophos Transparent Authentication Suite) su Sophos Firewall.

Prima cosa importante: solo lo STA Agent deve essere eseguito su un domain controller. Lo STA Collector può essere installato sullo stesso sistema, ma negli ambienti più grandi può anche essere eseguito separatamente su un altro sistema Windows. Proprio questa separazione rende oggi molte installazioni STAS più robuste e più semplici da mantenere.

STAS è pensato soprattutto per client Windows classici in un dominio Active Directory. Se più utenti usano lo stesso IP sorgente, ad esempio su Remote Desktop Server o sistemi Citrix, l’approccio deve essere pianificato in modo diverso. In questi casi SATC o un altro metodo di autenticazione è di solito più adatto rispetto a STAS classico.

Requisiti

• Sophos Firewall con SFOS 16.5 o superiore
• Licenza: Base Firewall
• Modalità: Gateway
• Windows Server 2008 R2 o superiore
• Active Directory con domain controller raggiungibili
• I client Windows sono membri del dominio AD
• Nessun NAT tra client, STA Collector e Sophos Firewall
• Client Authentication è consentito in Device access per le zone interessate

Che cos’è STAS?

STAS significa Sophos Transparent Authentication Suite. La suite trasmette le informazioni di accesso da Active Directory a Sophos Firewall, in modo che utenti o gruppi possano essere utilizzati nelle regole firewall.

I due componenti principali sono:

• STA Agent: questo agent monitora le richieste di autenticazione degli utenti su un domain controller Active Directory e invia queste informazioni allo STA Collector.
• STA Collector: raccoglie le informazioni di autenticazione degli utenti dallo STA Agent e le trasmette a Sophos Firewall.

Come funziona STAS?

1. Un utente effettua il login a una workstation e Active Directory lo consente.
2. Il domain controller scrive gli eventi di login nel Security Event Log.
3. Lo STAS Agent monitora il log per questi eventi.
4. Lo STAS Collector informa Sophos Firewall del login.
5. Sophos Firewall aggiorna i Live Users e può associare il traffico alla regola firewall corretta.

In pratica ci sono due metodi di rilevamento importanti:

• Rilevamento logon tramite Event Log: lo STA Agent rileva un evento di login sul domain controller e lo invia al collector.
• Workstation Polling: se il firewall non conosce ancora un Live User per un indirizzo IP, può interrogare il collector. In base alla configurazione, il collector verifica poi il client tramite WMI o Registry Read Access.

Perché tutto funzioni correttamente, il firewall deve vedere il vero IP del client. Se c’è NAT tra client, collector e firewall, STAS non può associare in modo affidabile gli utenti a un IP sorgente.

Video tutorial

1. Configurare le impostazioni ADS

STAS funziona monitorando il log di Active Directory e comunicando al firewall quali utenti effettuano login o logout. Per questo è importante che tali eventi vengano registrati.

Info: le seguenti impostazioni devono essere configurate su ogni server Active Directory su cui viene installato lo STA Agent.

Prima dell’installazione è opportuno annotare anche nome NetBIOS, FQDN e Search DN del dominio. Questi valori saranno necessari più tardi in Sophos Firewall e nella configurazione STAS. Se il Search DN è errato o la query LDAP è troppo ampia, la risoluzione dei gruppi e l’associazione degli utenti spesso funzionano solo in parte.

Attivare Audit account logon events

Sul server Active Directory aprire Local Security Policy. Si trova nei Windows Administrative Tools (secpol.msc). Aprire poi Audit account logon events in Security Settings > Local Policies > Audit Policy.

Attivare quindi le opzioni Success e Failure e confermare le modifiche con OK.

Avviare il servizio STAS con un utente dedicato

Se il servizio STAS deve essere avviato con un utente dedicato, aprire anche Log on as a service in Local Security Policy, sotto Security Settings > Local Policies > User Rights Assignment.

Selezionare quindi Add User or Group e aggiungere l’utente desiderato.

Sophos usa in molti esempi un account amministratore AD perché STAS legge gli Event Logs sul domain controller, deve avviare e arrestare il servizio e, a seconda del metodo di polling, invia query WMI ai client. Negli ambienti produttivi l’account utilizzato deve essere documentato, protetto e testato in anticipo. Se viene usato un account di servizio dedicato, queste autorizzazioni devono funzionare in modo affidabile.

Aprire le porte ADS

Le porte necessarie devono essere raggiungibili tra domain controller, collector, client e Sophos Firewall. La base tipica è:

• STA Collector > Sophos Firewall (UDP 6060)
• Sophos Firewall > STA Collector (UDP 6677)
• STA Agent > STA Collector (TCP 5566)

Le seguenti porte devono essere abilitate solo se questi metodi vengono effettivamente utilizzati:

Metodo Workstation Polling (WMI) o Registry Read Access:

• TCP in uscita 135
• TCP in uscita 445

Logoff Detection Ping:

• ICMP in uscita

STAS Collector Test:

• UDP in ingresso/in uscita 50001

STAS Configuration Sync:

• TCP in ingresso/in uscita 27015

Nota: anche i servizi RPC, RPC Locator, DCOM e WMI devono essere attivati sui client per WMI/Registry Read Access.

2. Aggiungere il server Active Directory al firewall

Dopo aver preparato Active Directory al punto 1, può essere aggiunto su Sophos Firewall. In WebAdmin aprire Authentication > Servers e creare un nuovo server con Add.

I singoli campi sono descritti in dettaglio nella guida separata Aggiungere Active Directory a Sophos Firewall.

3. Scaricare lo strumento STAS

Successivamente si prepara il sistema Windows su cui STAS deve essere installato. La STA Suite viene scaricata direttamente da Sophos Firewall. In WebAdmin aprire Authentication e selezionare Client downloads dal menu in alto a destra.

Nella sezione Single Sign-on si trova la Sophos Transparent Authentication Suite (STAS) necessaria per il download.

4. Installare SSO Suite

Eseguire il file STAS.exe scaricato e avviare l’installer. Durante l’installazione compare una finestra di selezione con diverse varianti di setup:

Per impostazione predefinita, SSO Suite può rimanere selezionato; in questo modo tutti i componenti vengono installati sullo stesso sistema. Se agent e collector devono essere eseguiti separatamente, la selezione deve essere adattata. Con più domain controller è necessario uno STA Agent su ogni domain controller rilevante, ma normalmente basta un solo STA Collector.

L’installazione deve essere avviata con Run as administrator, in modo che le autorizzazioni Windows non interferiscano inutilmente durante l’installazione.

Durante l’installazione viene definito anche l’account di servizio. Negli ambienti produttivi deve essere documentato chiaramente quale account viene usato, quali diritti possiede e come vengono pianificati i cambi password.

5. Configurare STAS

Dopo l’installazione, la STA Suite deve ancora essere configurata. I passaggi seguenti trattano le impostazioni rilevanti.

STAS General

Nel tab General, l’utente per il servizio può essere modificato successivamente. Va soprattutto verificato che nome NetBIOS e FQDN siano inseriti correttamente.

STA Agent

Nel tab STA Agent sono particolarmente rilevanti questi punti:

• STA Agent Mode: se agent e collector vengono eseguiti sullo stesso sistema, EVENTLOG è il punto di partenza tipico.
• Specify the networks to be monitored: qui vanno indicate tutte le reti in cui si trovano i client.
• Domain Controller IP: impostare solo se lo STA Agent non è installato direttamente sul domain controller. Se l’agent viene eseguito sul domain controller stesso, questo campo normalmente resta vuoto.
• Collector List: qui vengono inseriti i sistemi collector a cui l’agent invia le proprie informazioni.

STA Collector

Nel tab STA Collector sono particolarmente rilevanti questi punti:

• Sophos Appliance: qui viene indicato l’IP della Sophos Appliance.
• Workstation Polling Method: WMI è il punto di partenza tipico; Registry Read Access è un’alternativa per ambienti Windows adatti.
• Enable Logoff Detection: il rilevamento del logout deve essere pianificato consapevolmente. Non dovrebbe agire in modo diverso in più punti contemporaneamente.
• Dead entry timeout: questo valore deve essere impostato consapevolmente e testato con la versione STAS in uso. In versioni STAS più vecchie ci sono stati casi in cui un valore diverso da 0 causava problemi.

Se Sophos Firewall viene eseguito come cluster HA, nel collector va usato l’IP dell’interfaccia interna del firewall, non un indirizzo di amministrazione peer separato.

Exclusion List

La Exclusion List è importante per evitare che account tecnici falsino l’associazione degli utenti. Candidati tipici sono account di servizio, servizi di update, agent di backup o account di monitoring che effettuano login sui client in background.

Senza Exclusion List può accadere che un utente reale scompaia dallo stato Live User perché poco dopo un account di servizio diventa attivo sullo stesso client. Per questo vanno verificati almeno questi account:

• Account di servizio per distribuzione software, backup, monitoring o tool endpoint
• Account amministrativi e di installazione che non devono essere considerati traffico utente normale
• IP server, dispositivi di rete e sistemi sui quali STAS non deve aspettarsi normali utenti workstation

Per validare gli utenti connessi, nella sezione Workstation Polling Method sono disponibili due opzioni: la verifica WMI selezionata di default oppure Registry Read Access. In entrambi i casi un servizio deve essere eseguito sul client.

WMI:

• Remote Procedure Call (RPC)
• Remote Procedure Call (RPC) Locator

Registry Read Access:

• Remote Registry

Lo STA Collector deve poter accedere ai client. Se Windows Firewall è attivo sui client, l’accesso deve corrispondere ai metodi di polling scelti.

New-NetFirewallRule -DisplayName "Sophos STAS Collector WMI" -Direction Inbound -RemoteAddress 10.10.10.10 -Action Allow -Profile Domain

Il comando va inteso solo come modello. In un ambiente produttivo, profilo, IP sorgente, porte di destinazione e group policy devono corrispondere correttamente al metodo di polling scelto.

Gruppi collector e ridondanza

Per ambienti piccoli spesso basta un collector. Negli ambienti più grandi i gruppi collector devono essere pianificati consapevolmente:

• Per ogni dominio AD deve essere utilizzato un gruppo collector separato.
• Più collector nello stesso gruppo aumentano la resilienza.
• Sophos Firewall normalmente contatta il primo collector nel gruppo e passa al successivo in caso di guasto.
• Uno STA Agent può servire più collector.
• Uno STA Collector può servire più Sophos Firewalls.

Con più domain controller è utile eseguire uno STA Agent su ogni domain controller rilevante e pianificare almeno due collector per la ridondanza. È importante che tutti gli agents conoscano i collector previsti e che il firewall abbia questi collector configurati nel gruppo corretto.

6. Attivare STAS su Sophos Firewall

Quando tutto è stato preparato fino a questo punto, Sophos Firewall può ricevere dati dal collector.

In WebAdmin aprire Authentication > STAS, attivare STAS e poi inserire il collector o il gruppo collector con l’indirizzo IP corretto.

Se la configurazione funziona, gli utenti connessi compaiono nella dashboard e nel Live Viewer sotto Authentication.

Se qui non compaiono utenti, non bisogna iniziare cercando nelle regole firewall. Prima devono essere corretti Event Log, STA Agent, STA Collector, gruppo collector e Device Access.

7. Creare una regola firewall

Quando i test sono riusciti, è possibile creare regole firewall con utenti o gruppi di Active Directory. L’esempio sotto mostra una regola che consente traffico RDP a un amministratore.

Altri argomenti

Dopo la configurazione di base restano di solito due temi operativi: troubleshooting e limiti degli ambienti STAS classici.

Troubleshooting

Se i login non vengono acquisiti correttamente, verificare prima Event Log sul domain controller, raggiungibilità tra agent e collector e Live Users sul firewall. Per le fasi di transizione il firewall consente per impostazione predefinita traffico non autenticato per un breve periodo. Se necessario, questo valore può essere verificato o modificato tramite CLI:

system auth cta unauth-traffic drop-period

Controlli tipici:

• Al login dell’utente viene generato un evento Security adeguato sul domain controller?
• Lo STA Agent è in esecuzione e mostra lo stato atteso?
• Lo STA Collector è raggiungibile e conosce Sophos Firewall?
• UDP 6060 verso il firewall e UDP 6677 di ritorno al collector sono consentiti?
• WMI o Registry Read Access verso i client funziona?
• Gli account tecnici sono inseriti nella Exclusion List?
• Client Authentication è consentito in Device access per la zona corretta?
• C’è NAT tra client, collector e firewall?

Sophos Authentication For Thin Client (SATC)

STAS classico funziona bene per normali client monoposto. Negli ambienti Remote Desktop Server, terminal server o Citrix, però, questo approccio spesso non basta perché più utenti condividono un IP sorgente. In questi casi bisogna verificare se SATC o un altro metodo SSO adatto sia la scelta migliore.

SATC associa gli utenti negli ambienti terminal server in modo diverso da STAS e quindi non è semplicemente un sostituto per ogni client, ma un tema di design specifico. Prima di una migrazione deve essere chiaro quali server sono interessati, quali gruppi di utenti vi lavorano e quali regole firewall devono davvero essere basate sugli utenti.

Ambienti più grandi

In questa guida è stata mostrata la variante standard. Negli ambienti più grandi con più domain controller, subnet o domini, il ruolo di agent, collector, polling e regole di fallback deve essere pianificato consapevolmente invece di adottare solo le impostazioni di base.

Ulteriore documentazione

• Sophos Firewall: Best practice for STAS
• Sophos Firewall: STAS
• Sophos Firewall: LDAP Search Queries
• Sophos Firewall: configurare SATC