Zum Inhalt springen
Avanet

STAS auf einer Sophos Firewall einrichten (SFOS)

Sophos Firewall

In diesem Artikel wird gezeigt, wie man STAS (Sophos Transparent Authentication Suite) auf einer Sophos Firewall einrichtet.

Wichtig vorab: Nur der STA Agent muss auf einem Domain Controller laufen. Der STA Collector kann auf demselben System installiert werden, in grösseren Umgebungen aber auch separat auf einem anderen Windows-System betrieben werden. Genau diese Trennung macht viele STAS-Installationen heute robuster und leichter wartbar.

STAS ist vor allem für klassische Windows-Clients in einer Active-Directory-Domäne gedacht. Wenn mehrere Benutzer dieselbe Quell-IP verwenden, zum Beispiel auf Remote Desktop Servern oder Citrix-Systemen, muss man den Ansatz anders planen. Dann ist meist SATC oder ein anderes Authentifizierungsverfahren sinnvoller als klassisches STAS.

Voraussetzungen

  • Sophos Firewall mit SFOS 16.5 oder höher
  • Lizenz: Base Firewall
  • Modus: Gateway
  • Windows Server 2008 R2 oder neuer
  • Active Directory mit erreichbaren Domain Controllern
  • Windows-Clients sind Mitglieder der AD-Domäne
  • Kein NAT zwischen Clients, STA Collector und Sophos Firewall
  • Client Authentication ist in Device access für die betroffenen Zonen erlaubt

Was ist STAS?

STAS heisst ausgeschrieben Sophos Transparent Authentication Suite. Die Suite übermittelt Anmeldeinformationen aus Active Directory an die Sophos Firewall, damit Benutzer oder Gruppen in Firewallregeln verwendet werden können.

Die beiden Hauptkomponenten sind:

  • STA Agent: Dieser Agent überwacht Benutzerauthentifizierungsanfragen auf einem Active Directory Domain Controller und sendet diese Informationen an den STA Collector.
  • STA Collector: Sammelt die Benutzerauthentifizierungsinformationen vom STA Agent und übermittelt diese an die Sophos Firewall.

Wie funktioniert STAS?

  1. Ein Benutzer meldet sich an einer Workstation an und Active Directory erlaubt dies.
  2. Der Domain Controller schreibt die Anmeldeereignisse ins Security Event Log.
  3. Der STAS Agent überwacht das Log auf diese Events.
  4. Der STAS Collector informiert die Sophos Firewall über die Anmeldung.
  5. Die Sophos Firewall aktualisiert ihre Live Users und kann Traffic der passenden Firewallregel zuordnen.

In der Praxis gibt es zwei wichtige Erkennungswege:

  • Logon-Erkennung über das Event Log: Der STA Agent erkennt ein Anmeldeereignis auf dem Domain Controller und sendet es an den Collector.
  • Workstation Polling: Wenn die Firewall für eine IP-Adresse noch keinen Live User kennt, kann sie den Collector abfragen. Der Collector prüft den Client dann je nach Konfiguration per WMI oder Registry Read Access.

Damit das sauber funktioniert, muss die Firewall die echte Client-IP sehen. Wenn NAT zwischen Client, Collector und Firewall liegt, kann STAS die Benutzer nicht zuverlässig einer Quell-IP zuordnen.

Video Tutorial

Sophos Firewall v21: STAS Netzwerkaufbau und Überblick
Sophos Firewall v21: STAS Installation und Konfiguration

1. ADS Einstellungen vornehmen

STAS funktioniert, indem das Log des Active Directory überwacht wird und der Firewall mitgeteilt wird, welche Benutzer sich anmelden oder abmelden. Hierfür ist es wichtig, dass diese Ereignisse auch geloggt werden.

Info: Die folgenden Einstellungen müssen auf jedem Active Directory Server gemacht werden, auf dem der STA Agent installiert wird.

Zusätzlich sollte man vor der Installation NetBIOS-Name, FQDN und Search DN der Domäne notieren. Diese Werte werden später in der Sophos Firewall und in der STAS-Konfiguration benötigt. Wenn der Search DN falsch ist oder die LDAP-Abfrage zu breit gewählt wird, funktionieren Gruppenauflösung und Benutzerzuordnung später oft nur teilweise.

Audit account logon events aktivieren

Auf dem Active Directory Server das Programm Local Security Policy öffnen. Dieses findet man in den Windows Administrative Tools (secpol.msc). Anschliessend unter Security Settings > Local Policies > Audit Policy den Eintrag Audit account logon events öffnen.

Audit account logon events Policy

Anschliessend die Optionen Success und Failure aktivieren und die Änderungen mit OK bestätigen.

Audit account logon events - Audit these attempts

STAS Service mit eigenem Benutzer starten

Wenn der STAS-Service mit einem eigenen Benutzer gestartet werden soll, muss zusätzlich in der Local Security Policy unter Security Settings > Local Policies > User Rights Assignment die Option Log on as a service geöffnet werden.

Log on as a service

Anschliessend Add User or Group auswählen und den gewünschten Benutzer hinzufügen.

Log on as a service Properties

Sophos verwendet in vielen Beispielen ein AD-Administratorkonto, weil STAS Event Logs auf dem Domain Controller liest, den Dienst starten und stoppen muss und je nach Polling-Methode WMI-Abfragen an Clients sendet. Für produktive Umgebungen sollte das verwendete Konto sauber dokumentiert, geschützt und vorab getestet werden. Wenn ein dediziertes Service-Konto verwendet wird, müssen genau diese Berechtigungen zuverlässig funktionieren.

ADS Ports öffnen

Zwischen Domain Controller, Collector, Clients und Sophos Firewall müssen die benötigten Ports erreichbar sein. Als typische Basis gelten:

  • STA Collector > Sophos Firewall (UDP 6060)
  • Sophos Firewall > STA Collector (UDP 6677)
  • STA Agent > STA Collector (TCP 5566)

Die folgenden Ports müssen nur aktiviert werden, wenn diese Methoden auch tatsächlich genutzt werden:

Workstation Polling Methode (WMI) oder Registry Read Access:

  • Ausgehend TCP 135
  • Ausgehend TCP 445

Logoff Detection Ping:

  • Ausgehend ICMP

STAS Collector Test:

  • Eingehend/Ausgehend UDP 50001

STAS Configuration Sync:

  • Eingehend/Ausgehend TCP 27015

Hinweis: RPC, RPC Locator, DCOM und WMI Services sollten auf den Clients für WMI/Registry Read Access ebenfalls aktiviert werden.

2. Active Directory Server auf der Firewall hinzufügen

Nachdem der Active Directory unter Punkt 1 vorbereitet wurde, kann er auf der Sophos Firewall hinzugefügt werden. Dazu im WebAdmin Authentifizierung > Server öffnen und über Hinzufügen einen neuen Server anlegen.

Active Directory Server auf der Firewall hinzufügen

Die einzelnen Eingaben sind in der separaten Anleitung Active Directory zur Sophos Firewall hinzufügen detailliert beschrieben.

3. STAS Tool herunterladen

Als Nächstes wird das Windows-System vorbereitet, auf dem STAS installiert werden soll. Die STA Suite wird direkt über die Sophos Firewall heruntergeladen. Im WebAdmin Authentication öffnen und oben rechts über das Menü Client downloads auswählen.

Client-Downloads Dropdown-Menü auf der Sophos Firewall (SFOS)

In der Rubrik Single Sign-on befindet sich die benötigte Sophos Transparent Authentication Suite (STAS) zum Download.

Sophos Transparent Authentication Suite herunterladen

4. SSO Suite installieren

Die heruntergeladene STAS.exe ausführen und den Installer starten. Während der Installation erscheint ein Auswahlfenster mit mehreren Setup-Varianten:

STAS Type of Setup

Standardmässig kann man hier SSO Suite ausgewählt lassen, womit alle Komponenten auf demselben System installiert werden. Wenn Agent und Collector getrennt betrieben werden sollen, muss die Auswahl entsprechend angepasst werden. Bei mehreren Domain Controllern benötigt man auf jedem relevanten Domain Controller einen STA Agent, aber in der Regel nur einen STA Collector.

Die Installation sollte mit Run as administrator gestartet werden, damit Windows-Berechtigungen während der Installation nicht unnötig stören.

Während der Installation wird auch das Service-Konto definiert. Für produktive Umgebungen sollte klar dokumentiert sein, welches Konto verwendet wird, welche Rechte es hat und wie Passwortwechsel geplant werden.

5. STAS Konfigurieren

Nach der Installation muss nun die STA Suite noch konfiguriert werden. Die folgenden Schritte behandeln die relevanten Einstellungen.

STAS General

Im Tab General kann der Benutzer für den Service nachträglich angepasst werden. Hier sollte vor allem geprüft werden, ob NetBIOS-Name und FQDN korrekt hinterlegt sind.

Allgemeine STAS Einstellungen

STA Agent

Im Tab STA Agent sind vor allem diese Punkte relevant:

  • STA Agent Mode: Wenn Agent und Collector auf demselben System laufen, ist EVENTLOG der typische Startpunkt.
  • Specify the networks to be monitored: Hier werden alle Netzwerke angegeben, in denen sich die Clients befinden.
  • Domain Controller IP: Nur setzen, wenn der STA Agent nicht direkt auf dem Domain Controller installiert ist. Läuft der Agent auf dem Domain Controller selbst, bleibt dieses Feld normalerweise leer.
  • Collector List: Hier werden die Collector-Systeme eingetragen, an die der Agent seine Informationen sendet.
Konfiguration des STA Agents

STA Collector

Im Tab STA Collector sind vor allem diese Punkte relevant:

  • Sophos Appliance: Hier wird die IP der Sophos Appliance angegeben.
  • Workstation Polling Method: WMI ist der typische Startpunkt, Registry Read Access ist eine Alternative für passende Windows-Umgebungen.
  • Enable Logoff Detection: Logoff-Erkennung sollte bewusst geplant werden. Sie sollte nicht gleichzeitig an mehreren Stellen unterschiedlich greifen.
  • Dead entry timeout: Dieser Wert sollte bewusst gesetzt und zur eingesetzten STAS-Version passend getestet werden. Bei älteren STAS-Versionen gab es Fälle, in denen ein anderer Wert als 0 Probleme verursachte.
Konfiguration des STA Collectors

Wenn die Sophos Firewall als HA-Cluster betrieben wird, sollte im Collector die interne Interface-IP der Firewall verwendet werden, nicht eine separate Peer-Administrationsadresse.

Exclusion List

Die Exclusion List ist wichtig, damit technische Konten die Benutzerzuordnung nicht verfälschen. Typische Kandidaten sind Service-Accounts, Update-Dienste, Backup-Agenten oder Monitoring-Konten, die sich im Hintergrund auf Clients anmelden.

Ohne Exclusion List kann es passieren, dass ein echter Benutzer im Live-User-Status verschwindet, weil kurz danach ein Dienstkonto auf demselben Client aktiv wird. Deshalb sollten mindestens diese Konten geprüft werden:

  • Service-Accounts für Softwareverteilung, Backup, Monitoring oder Endpoint-Tools
  • Administrator- und Installationskonten, die nicht als normaler Benutzertraffic gelten sollen
  • Server-IPs, Netzwerkgeräte und Systeme, auf denen STAS keine normalen Arbeitsplatzbenutzer erwarten soll

Um angemeldete Benutzer validieren zu können, gibt es unter der Rubrik Workstation Polling Method zwei Optionen. Einerseits die standardmässig ausgewählte WMI-Verifizierung oder alternativ Registry Read Access. In beiden Fällen muss ein Dienst auf dem Client ausgeführt werden.

WMI:

  • Remote Procedure Call (RPC)
  • Remote Procedure Call (RPC) Locator

Registry Read Access:

  • Remote Registry

Der STA Collector muss auf die Clients zugreifen können. Falls die Windows Firewall auf den Clients aktiv ist, muss der Zugriff zu den gewählten Polling-Methoden passen.

New-NetFirewallRule -DisplayName "Sophos STAS Collector WMI" -Direction Inbound -RemoteAddress 10.10.10.10 -Action Allow -Profile Domain

Der Befehl ist nur als Vorlage zu verstehen. In einer produktiven Umgebung sollten Profil, Quell-IP, Zielports und Gruppenrichtlinien sauber zur gewählten Polling-Methode passen.

Collector-Gruppen und Redundanz

Für kleine Umgebungen reicht oft ein Collector. In grösseren Umgebungen sollte man Collector-Gruppen bewusst planen:

  • Für jede AD-Domäne sollte eine eigene Collector-Gruppe verwendet werden.
  • Mehrere Collectors in derselben Gruppe erhöhen die Ausfallsicherheit.
  • Die Sophos Firewall spricht normalerweise den ersten Collector in der Gruppe an und wechselt bei Ausfall auf den nächsten.
  • Ein STA Agent kann mehrere Collectors bedienen.
  • Ein STA Collector kann mehrere Sophos Firewalls bedienen.

Bei mehreren Domain Controllern ist es sinnvoll, auf jedem relevanten Domain Controller einen STA Agent zu betreiben und mindestens zwei Collectors für Redundanz einzuplanen. Wichtig ist, dass alle Agents die vorgesehenen Collectors kennen und die Firewall diese Collectors in der passenden Gruppe hinterlegt hat.

6. STAS auf der Sophos Firewall aktivieren

Wenn bis hierhin alles vorbereitet wurde, kann die Sophos Firewall Daten vom Collector entgegennehmen.

Im WebAdmin Authentication > STAS öffnen, STAS aktivieren und anschliessend den Collector oder die Collector-Gruppe mit der passenden IP-Adresse hinterlegen.

STAS Einstellungen auf der Sophos Firewall (SFOS)

Wenn die Einrichtung funktioniert, erscheinen die angemeldeten Benutzer im Dashboard und im Live Viewer unter Authentication.

Live User Anzeige auf dem SFOS Dashboard

Wenn hier keine Benutzer erscheinen, sollte man nicht sofort an den Firewallregeln suchen. Zuerst müssen Event Log, STA Agent, STA Collector, Collector-Gruppe und Device Access passen.

7. Firewall Regel erstellen

Sobald die Tests erfolgreich verlaufen, können Firewallregeln mit Benutzern oder Gruppen aus Active Directory erstellt werden. Im Beispiel unten wird eine Regel gezeigt, die einem Administrator RDP-Traffic erlaubt.

Firewallregel für Administrator, um mittels RDP ins Internet zu gelangen

Weiterführende Themen

Nach der Grundkonfiguration bleiben meist noch zwei operative Themen offen: Troubleshooting und Grenzen klassischer STAS-Umgebungen.

Troubleshooting

Wenn Anmeldungen nicht sauber übernommen werden, sollte man zuerst das Event Log auf dem Domain Controller, die Erreichbarkeit zwischen Agent und Collector sowie die Live Users auf der Firewall prüfen. Für Übergangsphasen erlaubt die Firewall standardmässig eine kurze Zeit lang unauthentifizierten Traffic. Dieser Wert kann bei Bedarf über die CLI geprüft oder angepasst werden:

system auth cta unauth-traffic drop-period

Typische Prüfpunkte:

  • Wird beim Benutzer-Login auf dem Domain Controller ein passendes Security-Event erzeugt?
  • Läuft der STA Agent und zeigt er den erwarteten Status?
  • Ist der STA Collector erreichbar und kennt er die Sophos Firewall?
  • Ist UDP 6060 zur Firewall und UDP 6677 zurück zum Collector erlaubt?
  • Funktioniert WMI oder Registry Read Access zu den Clients?
  • Sind technische Konten in der Exclusion List eingetragen?
  • Ist Client Authentication in Device access für die richtige Zone erlaubt?
  • Gibt es NAT zwischen Client, Collector und Firewall?

Sophos Authentication For Thin Client (SATC)

Klassisches STAS funktioniert gut für normale Einzelplatz-Clients. In Remote Desktop Server-, Terminalserver- oder Citrix-Umgebungen reicht dieser Ansatz aber oft nicht aus, weil mehrere Benutzer eine Quell-IP teilen. In solchen Fällen muss man prüfen, ob SATC oder ein anderes passendes SSO-Verfahren die bessere Wahl ist.

SATC ordnet Benutzer in Terminalserver-Umgebungen anders zu als STAS und ist deshalb nicht einfach ein Ersatz für jeden Client, sondern ein eigenes Design-Thema. Vor einer Umstellung sollte klar sein, welche Server betroffen sind, welche Benutzergruppen darüber arbeiten und welche Firewallregeln wirklich benutzerbasiert sein müssen.

Grössere Umgebungen

In dieser Anleitung wurde die Standardvariante gezeigt. In grösseren Umgebungen mit mehreren Domain Controllern, Subnetzen oder Domänen sollte die Rolle von Agent, Collector, Polling und Fallback-Regeln bewusst geplant werden, statt nur die Grundeinstellungen zu übernehmen.

Weitere Dokumentation