BlackWinter Promo
Sparen Sie jetzt bis zu 50%80%70%70%70%70%70%70%70% auf eine Sophos Firewall Ihrer Wahl.
XGS Firewall Modell wählenSparen Sie jetzt bis zu 50%80%70%70%70%70%70%70%70% auf eine Sophos Firewall Ihrer Wahl.
XGS Firewall Modell wählenIn diesem Artikel wird gezeigt, wie man STAS (Sophos Transparent Authentication Suite) auf einer Sophos Firewall mit dem SFOS einrichtet. In dieser Anleitung wird die STA Suite auf dem Active Directory Server installiert.
STAS heisst ausgeschrieben “Sophos Transparent Authentication Suite”. In dieser Suit sind zwei kleine Tools enthalten, die es deiner Sophos Firewall ermöglichen, Firewallregeln für deine Active Directory Benutzer zu erstellen. Hier eine kurze Beschreibung der zwei enthaltenen Programme:
STAS funktioniert, indem das Log des Active Directory überwacht wird und der Firewall mitgeteilt wird, welche Benutzer sich anmelden oder abmelden. Hierfür ist es wichtig, dass diese Ereignisse auch geloggt werden.
Info: Die folgenden Einstellungen müssen auf jedem Active Directory Server gemacht werden, auf dem der STA Agent installiert wird.
Öffne auf deinem Active Directory Server das Programm Local Security Policy
. Dieses findest du in den Windows Administrative Tools (secpol.msc). Als Nächstes musst du die Audit account logon events
öffnen. Wechsle dafür, wie im unteren Screenshot gezeigt, zuerst auf Security Settings > Local Policies > Audit Policy
und öffne die Audit account logon events
.
Aktiviere anschliessend die Optionen Success
und Failure
und bestätige deine Änderungen mit OK
.
Wenn du den STAS Service mit einem eigenen Benutzer starten möchtest, muss du noch folgende Schritte durchführen. Ansonsten kannst du diesen Schritt überspringen. Wechsle in den Local Security Policy
auf folgenden Pfad: Security Settings
> Local Policies
> User Rights Assignment
. Öffne anschliessend die Option Log on as a service
.
Klicke anschliessend auf Add User or Group
und füge deinen Benutzer hinzu.
Der Active Directory Server sollte folgende Ports geöffnet haben:
Die folgenden Ports musst du nur aktivieren, wenn du diese Methoden auch nutzt:
Workstation Polling Methode (WMI) oder Registry Read Access:
Logoff Detection Ping:
STAS Collector Test:
STAS Configuration Sync:
Hinweis: RPC, RPC locator, DCOM und WMI Services sollten auf den Clients auch aktiviert werden für WMI/Registry Read Access.
Nach dem du unter Punkt 1 den Active Directory mit ein paar Einstellungen auf STAS vorbereitet hast, ist es nun an der Zeit, den AD auf deiner Sophos Firewall hinzuzufügen. Melde dich dazu als Administrator an deiner Sophos Firewall (SFOS) an und wechsle über das Menü auf die Seite Authentifizierung
> Server
. Klicke dann auf den blauen Button Hinzufügen
, um einen neuen Server hinzuzufügen.
In der folgenden Anleitung führen wir dich Schritt für Schritt durch alle notwendigen Eingaben hindurch: Active Directory zur Sophos Firewall hinzufügen
Wenden wir uns nun wieder dem Active Directory Server zu. Hier werden wir als Nächstes die STA Suite installieren, die du zuerst von deiner Sophos Firewall herunterladen musst. Melde dich dazu als Administrator an deiner Sophos Firewall (SFOS) an und wechsle über das Menü auf die Seite Authentifizierung
. Klicke dann oben rechts in der Tab-Navigation auf die drei Punkte und wähle im Dropdown-Menü Client-Downloads
.
In der Rubrik Single-Sign-On findest du die benötigte Sophos Transparent Authentication Suite (STAS) zum Download.
Info: Du kannst die STA Suite auch direkt von der Sophos Webseite herunterladen: UTM Support Downloads
Führe nun die heruntergeladene STAS.exe aus und klicke dich durch den Installer. Während der Installation erscheint folgendes Fenster, wo du zwischen drei verschiedenen Optionen wählen kannst:
Standardmässig kannst du hier SSO Suite ausgewählt lassen, womit alle Komponenten auf dem Active Directory installiert werden. Wenn du aber z. B. den STA Collector oder STA Agent auf zwei verschiedenen Systemen installieren möchtest, dann musst du die Auswahl hier entsprechend anpassen. Solltest du zwei Active Directory Server haben, dann benötigst du jeweils auf beiden Systemen den STA Agent, jedoch nur einen STA Collector. Auch hier je nach Situation die Auswahl einfach anpassen.
Während der Installation musst du auch noch einen Benutzer angeben, mit dem der Service installiert und gestartet werden soll. In dieser Anleitung nehme ich einfach halber den Domänenadministrator, da dieser sicher die nötigen Berechtigungen hat. Für eine produktive Umgebung wäre hier ein spezifischer Benutzer, der dafür angelegt wurde, sicher zu empfehlen.
Nach der Installation muss nun die STA Suite noch konfiguriert werden. Wir gehen in den folgenden Schritten auf die relevanten Einstellungen ein.
Im Tab General kannst du nachträglich noch den Benutzer ändern, mit dem der Service gestartet werden soll. Überprüfe hier aber besonders, dass der korrekte NetBIOS Name und FQDN angegeben werden.
Schauen wir uns an, was du unter dem Tab STA Agent alles beachten musst:
Schauen wir uns an, was du unter dem Tab STA Collector alles beachten musst:
Um angemeldete Benutzer validieren zu können, gibt es unter der Rubrik Workstation Polling Method zwei Optionen. Einerseits die standardmässig ausgewählte WMI-Verifizierung oder alternativ Registry Read Access. In beiden Fällen muss ein Dienst auf dem Client ausgeführt werden.
WMI:
Registry Read Access:
Der STA Collector muss auf die Clients zugreifen können. Sollte die Windows Firewall auf einem Client aktiv sein, kann man via PowerShell eine Regel erstellen:
New-Netfirewall –DisplayName "Sophos STAS Collector" -Direction inbound –RemoteAddress 10.10.10.10
Wenn du bis hierhin dieser Anleitung gefolgt bist, werden nun bereits Daten vom STA Collector an die Firewall gesendet. Damit die Firewall diese Daten entgegennehmen kann, muss STAS auf der Firewall noch aktiviert werden.
Wechsle dazu auf deiner Sophos Firewall auf die Seite Authentifizierung
> STAS
und schiebe den obersten Toggle auf ON
. Damit die Firewall weiss, von welchem Kollektor sie Daten empfangen kann, musst du abschliessend noch auf den blauen Button Neuen Kollektor hinzufügen
klicken und die IP-Adresse des Systems hinterlegen, auf dem du den Kollektor installiert hast.
Wenn du nun alles richtig gemacht hast, seihst du im Dashboard deiner Firewall und im Live Viewer unter Authentication die angemeldeten Benutzer von deinem Active Directory Server.
Sollten deine Tests alle erfolgreich verlaufen sein, kannst du jetzt damit beginnen, für spezifische Benutzer oder Gruppen, die nun von deinem AD auf die Firewall synchronisiert werden, eigene Firewallregeln zu erstellen. Im unteren Screenshot haben wir beispielsweise eine Regel erstellt, welche es dem Administrator erlaubt, mittels RDP (3389) ins Internet zu gelangen.
Du hast es nun geschafft und STAS erfolgreich auf deiner Sophos Firewall eingerichtet. Du findest anschliessend noch weitere Informationen, die dich eventuell an diesem Punkt noch interessieren könnten.
Es dauert eine Zeit, bis der Active Directory Server die Benutzer an die Firewall übermittelt. Damit die Firewall diesen Traffic zwischenzeitlich nicht einfach blockiert, wird standardmässig unauthentifizierter Traffic für 120 Sekunden erlaubt. Falls du diesen Wert noch manuell anpassen möchtest, kannst du dies über das CLI erledigen:
system auth cta unauth-traffic drop-period <seconds>
STAS ist dann gut, wenn du alles einzelne Clients in deinem Netzwerk hast. Sobald du jedoch einen Remote Desktop Server oder Citrix einsetzt, funktioniert dies nicht. Hier benötigt man die Server Protection.
In dieser Anleitung haben wir die allgemeine Standardvariante erklärt, wie STAS eingerichtet werden kann. Es gibt aber natürlich auch Spezialfälle, wo vielleicht mit mehreren Active Direcotry Servern, Subnetzen und Domänen gearbeitet wird. In einem solchen Fall bieten wir natürlich sehr gerne unsere Unterstützung an. Melde dich einfach mit einer entsprechenden Anfrage bei uns. 👍
Sparen Sie jetzt bis zu 50%80%70%70%70%70%70%70%70% auf eine Sophos Firewall Ihrer Wahl.
XGS 107
30%40%30%30%30%30%30%30%30% RabattXGS 116
40%70%40%40%40%40%40%40%40% RabattXGS 126
50%70%50%50%50%50%50%50%50% RabattXGS 136
50%70%50%50%50%50%50%50%50% RabattXGS 2100
50%80%60%60%60%60%60%60%60% RabattXGS 2300
50%80%70%70%70%70%70%70%70% RabattXGS 3100
50%80%70%70%70%70%70%70%70% RabattXGS 3300
50%70%50%50%50%50%50%50%50% RabattXGS 4300
50%70%50%50%50%50%50%50%50% RabattXGS 4500
50%70%50%50%50%50%50%50%50% RabattXGS 5500
50%70%50%50%50%50%50%50%50% RabattXGS 6500
50%70%50%50%50%50%50%50%50% Rabatt