Naar de inhoud
Avanet

STAS op Sophos Firewall instellen

STAS staat voor Sophos Transparent Authentication Suite. De functie koppelt Windows-aanmeldingen uit Active Directory aan een client-IP, zodat de Sophos Firewall gebruikers en groepen in firewallregels kan gebruiken zonder dat gebruikers zich apart in browser of portal moeten aanmelden.

Dat is in klassieke Windows-domeinen nog steeds nuttig. Tegelijk is STAS geen universele SSO-oplossing. De koppeling werkt alleen betrouwbaar als de firewall het echte client-IP ziet, de Domain Controllers passende aanmeldgebeurtenissen schrijven en technische accounts netjes worden uitgesloten. Voor RDS-, terminalserver- of Citrix-omgevingen is meestal een ander ontwerp nodig, bijvoorbeeld SATC.

Wanneer STAS zinvol is

STAS past vooral bij omgevingen met normale Windows-clients in een Active-Directory-domein. Typische doelen zijn:

  • firewallregels met AD-gebruikers of AD-groepen
  • reporting met gebruikerscontext in plaats van alleen IP-adressen
  • transparante gebruikerstoewijzing zonder Captive Portal
  • internetregels voor interne clientnetwerken
  • aanvullende authenticatie in omgevingen zonder Entra ID SSO-ontwerp

STAS is minder geschikt wanneer meerdere gebruikers hetzelfde bron-IP gebruiken. Dat geldt bijvoorbeeld voor Remote Desktop Servers, terminalservers, Citrix-servers of systemen met NAT tussen client en firewall. In zulke gevallen moet men vroeg controleren of Sophos Authentication for Thin Client (SATC) of een ander authenticatiemodel beter past.

Video-instructie

De volgende Sophos-Techvids tonen de STAS-opbouw visueel. De video’s zijn met SFOS v21 gemaakt, maar blijven voor het basisprincipe, de architectuur en de belangrijkste configuratiestappen nuttig. Afzonderlijke schermen kunnen in SFOS 22 licht afwijken.

Deel 1: STAS-overzicht, netwerkopbouw, componenten en Logon Detection.
Deel 2: vereisten, firewallconfiguratie, Windows AD, STA Agent en STA Collector.
Samenvatting van de STAS-installatieserie.

Werking

STAS bestaat uit twee componenten:

ComponentTaak
STA AgentDraait op een Domain Controller of geschikt Windows-systeem en herkent AD-aanmeldgebeurtenissen
STA CollectorVerzamelt informatie van een of meerdere STA Agents en stuurt die naar Sophos Firewall

De typische flow:

  1. Een gebruiker meldt zich aan op een Windows-client.
  2. Active Directory schrijft een passend Security Event.
  3. De STA Agent leest deze gebeurtenis.
  4. De STA Collector ontvangt gebruiker, client-IP en domeininformatie.
  5. Sophos Firewall werkt de Live Users bij.
  6. Firewallregels kunnen gebruikers of groepen evalueren.

Daarnaast kan de Collector clients via WMI of Registry Read Access controleren. Deze Workstation Polling helpt om een IP-adres aan een gebruiker te koppelen of verouderde entries te corrigeren. Daarvoor moeten Windows Firewall, services, rechten en netwerkpaden wel kloppen.

Vereisten

Vóór de installatie moeten deze punten duidelijk zijn:

  • Sophos Firewall draait in Gateway-modus.
  • Active Directory is al op de firewall gekoppeld.
  • Domain Controllers schrijven de benodigde aanmeldgebeurtenissen.
  • Windows-clients zijn lid van het domein.
  • Er staat geen NAT tussen clients, Collector en Sophos Firewall.
  • Client Authentication is onder Device Access voor de betrokken zones toegestaan.
  • DNS, tijd, routing en firewallregels tussen de betrokken systemen kloppen.
  • Een serviceaccount en proces voor wachtwoordwijzigingen zijn gedefinieerd.
  • Technische accounts voor Exclusions zijn bekend.

STAS 2.5 en nieuwer ondersteunt volgens de documentatie Windows Server 2008 R2, 2012 R2, 2016, 2019, 2022 en 2025. Voor nieuwe installaties moet men toch niet meer met oude servergeneraties plannen. Relevant is vooral dat STAS direct op een Domain Controller of vanaf STAS 2.5 ook op een Member Server kan draaien. Bij Member-Server-ontwerpen moet extra netjes worden gecontroleerd of Event-Log-toegang, WMI/Registry-toegang en netwerkpaden echt passen.

De AD-koppeling zelf is beschreven in Active Directory met Sophos Firewall verbinden. STAS moet niet als vervanging voor een nette AD-serverconfiguratie worden gezien.

Als er over jaren zeer veel gebruikers en groepen op de firewall ontstaan, moet men ook de Sophos Firewall User-ID-limiet in de gaten houden. Dit is vooral relevant als portal- of VPN-functies alleen voor afzonderlijke gebruikers onverwacht mislukken.

Architectuur plannen

Voor kleine omgevingen kunnen Agent en Collector op dezelfde Domain Controller draaien. Dat is eenvoudig, maar niet altijd de beste beheeroptie.

De Collector maakt eigen communicatie- en controlepaden naar de firewall, naar Agents en afhankelijk van de pollingmethode ook naar clients. Daarom moet hij niet automatisch op een Domain Controller terechtkomen alleen omdat daar al de Agent draait. Sophos wijst er zelf op dat installatie van de Collector op een Domain Controller vanwege het gegenereerde verkeer niet altijd aanbevolen is. In productieve omgevingen is een aparte Windows-server vaak netter te monitoren, te updaten en bij problemen opnieuw te starten.

In grotere omgevingen is vaak netter:

  • STA Agent op elke relevante Domain Controller
  • een of twee STA Collectors op aparte Windows-systemen
  • Collector-groepen per AD-domein
  • duidelijke Exclusion List voor technische accounts
  • gedefinieerde firewallregels en Device-Access-vrijgaven
  • monitoring voor services, Event Logs en Live-User-toewijzing

Belangrijk is de IP-zichtbaarheid. STAS koppelt gebruikers aan een IP-adres. Als een proxy, NAT, terminalserver of VPN-gateway het echte client-IP verbergt, kan de firewall de koppeling niet betrouwbaar gebruiken.

Active Directory voorbereiden

STAS hangt sterk af van de aanwezigheid van de juiste aanmeldgebeurtenissen in het Security Event Log. De volgende instellingen moeten op elke Domain Controller worden gecontroleerd waarop de STA Agent wordt gebruikt.

Daarnaast moeten NetBIOS-naam, FQDN en Search DN van het domein vóór de installatie worden genoteerd. Deze waarden zijn later nodig in Sophos Firewall en STAS-configuratie.

Audit account logon events activeren

Open op de Domain Controller Local Security Policy. Dat kan bijvoorbeeld via secpol.msc.

Open daarna het pad:

Security Settings > Local Policies > Audit Policy

Open daar Audit account logon events.

Audit account logon events Policy
STAS heeft passende aanmeldgebeurtenissen in het Security Event Log nodig.

Activeer daarna Success en Failure en sla de wijziging op.

Audit account logon events Success en Failure activeren
Success en Failure helpen bij detectie en troubleshooting.

STAS-account voorbereiden

De STAS-service moet met een gedocumenteerd account draaien. In eenvoudige testomgevingen wordt vaak een administratoraccount gebruikt. Voor productie is een dedicated STAS-account beter, als de benodigde rechten netjes gezet en getest zijn.

Het account moet afhankelijk van het ontwerp:

  • de service kunnen starten
  • relevante Event Logs kunnen lezen
  • bij WMI of Registry Read Access toegang tot clients hebben
  • wachtwoordwijzigingen planbaar overleven
  • in monitoring en documentatie duidelijk herkenbaar zijn

Het account hoeft niet per se Domain Admin te zijn. Voor de Domain Controller zijn minimaal passende groeps- en bestandsrechten belangrijk. In de praktijk moet men controleren:

  • lidmaatschap in Domain Users
  • lidmaatschap in Event Log Readers
  • lees- en schrijfrechten op C:\Program Files (x86)\Sophos\Sophos Transparent Authentication Suite\
  • bij WMI-Polling passende rechten op endpoints, bijvoorbeeld Remote Desktop Users, Distributed COM Users en WMI-rechten op Root\CIMV2 met Execute Methods en Remote Enable

Deze endpointrechten laten zich in grotere omgevingen beter via Group Policy verdelen. Als Workstation Polling niet wordt gebruikt, moet men geen onnodig brede rechten geven.

Als de service met een eigen account draait, heeft dit account Log on as a service nodig.

Pad in de Local Security Policy:

Security Settings > Local Policies > User Rights Assignment
Log on as a service gebruikersrecht
Het STAS-serviceaccount heeft het recht Log on as a service nodig.

Voeg daarna het account toe.

Log on as a service Properties
Het serviceaccount moet gedocumenteerd en tegen ongeplande wachtwoordverval beschermd zijn.

Poorten en services controleren

Tussen Sophos Firewall, STA Collector, STA Agent, Domain Controller en clients moeten de benodigde verbindingen mogelijk zijn. Als basis gelden:

RichtingDoelPoort
STA Collector naar Sophos FirewallGebruikersinformatie verzendenUDP 6060
Sophos Firewall naar STA CollectorCollector-communicatieUDP 6677
STA Agent naar STA CollectorAgentdata naar Collector sturenTCP 5566

Aanvullende poorten hangen af van de geactiveerde methoden:

FunctieTypische voorwaarde
Workstation Polling via WMITCP 135, TCP 445, RPC/DCOM/WMI-services
Registry Read AccessTCP 445, Remote Registry
Logoff Detection PingICMP naar de client
STAS Collector TestUDP 50001
STAS Configuration SyncTCP 27015

Als Windows Firewall op clients of servers actief is, moeten de regels strak tot de Collector worden beperkt. Een voorbeeldsjabloon voor WMI:

New-NetFirewallRule -DisplayName "Sophos STAS Collector WMI" -Direction Inbound -RemoteAddress 10.10.10.10 -Action Allow -Profile Domain

Dit commando is alleen een sjabloon. In productie moeten bron-IP, doelpoorten, profielen en Group Policies bij de gekozen pollingmethode passen.

Active Directory op de firewall vastleggen

Voordat STAS wordt geactiveerd, moet de Sophos Firewall de Active-Directory-server kennen.

In WebAdmin:

Authentication > Servers

Daar een Active-Directory-server toevoegen of de bestaande configuratie controleren.

Active Directory Server op Sophos Firewall toevoegen
De AD-serverconfiguratie vormt de basis voor groepen en gebruikersresolutie.

De afzonderlijke velden zijn uitgelegd in Active Directory met Sophos Firewall verbinden. Voor STAS zijn vooral NetBIOS-domein, domeinnaam, zoekbasis en groepsresolutie belangrijk.

STAS downloaden en installeren

De STAS-installatie wordt via Sophos Firewall beschikbaar gesteld.

In WebAdmin:

Authentication > Client downloads
Client Downloads menu op Sophos Firewall
Het STAS-installatiebestand wordt via Client downloads geladen.

Onder Single Sign-on staat Sophos Transparent Authentication Suite (STAS).

Sophos Transparent Authentication Suite downloaden
STAS wordt als Windows Installer beschikbaar gesteld.

Start de gedownloade STAS.exe op het bedoelde Windows-systeem als administrator.

STAS Installer Setup Type
Afhankelijk van het ontwerp worden Agent, Collector of beide componenten geïnstalleerd.

Typische installatievarianten:

VariantWanneer zinvol
SSO Suite op één serverkleine omgeving of lab
STA Agent op Domain Controllers, Collector apartbetere scheiding en schaalbaarheid
meerdere Collectorsredundantie of grotere omgeving

Bij meerdere Domain Controllers heeft men normaal op elke relevante Domain Controller een STA Agent nodig. Een Collector kan informatie van meerdere Agents verzamelen.

STAS configureren

Na de installatie wordt de STA Suite geconfigureerd. De belangrijkste onderdelen zijn General, STA Agent, STA Collector en Exclusion List.

General

In de tab General controleert men vooral serviceaccount, domeingegevens, NetBIOS-naam en FQDN.

Algemene STAS-instellingen
NetBIOS, FQDN en serviceaccount moeten bij de AD-omgeving passen.

Als hier verkeerde domeinwaarden staan, ziet de installatie er later vaak gezond uit, maar worden gebruikers of groepen niet correct toegewezen. De NetBIOS-naam moet in STAS met hoofdletters worden ingevoerd.

STA Agent

In de tab STA Agent zijn deze punten doorslaggevend:

  • STA Agent Mode: voor lokale Event-Log-detectie is EVENTLOG het typische startpunt.
  • Specify the networks to be monitored: clientnetwerken invullen waarin STAS gebruikers moet herkennen.
  • Domain Controller IP: alleen zetten als de Agent niet direct op de Domain Controller draait. Als de SSO Suite op een Domain Controller is geïnstalleerd, blijft dit veld normaal leeg.
  • Collector List: IP-adressen van de Collector-systemen invullen.
Configuratie van de STA Agent
De STA Agent herkent Logon Events en stuurt ze naar de Collector.

De gemonitorde netwerken moeten bewust worden gekozen. Servernetwerken, managementnetwerken of netwerken zonder normale gebruikersworkstations veroorzaken anders onnodige fouten of verkeerde verwachtingen.

STA Collector

In de tab STA Collector wordt de Sophos Firewall vastgelegd en wordt client-polling gepland.

Belangrijke punten:

  • Sophos Appliance: IP-adres van de Sophos Firewall invullen.
  • Workstation Polling Method: WMI of Registry Read Access bewust kiezen.
  • Enable Logoff Detection: alleen activeren als ping en time-outs bij het clientnetwerk passen.
  • Dead entry timeout: waarde passend bij STAS-versie en beheermodel testen.
Configuratie van de STA Collector
De Collector bemiddelt tussen STA Agents, clients en Sophos Firewall.

Bij HA-clusters moet men het bereikbare interne firewalladres gebruiken dat bij STAS-verkeer past. Aparte peer-administratieadressen zijn hiervoor meestal niet het juiste doel.

Exclusion List

De Exclusion List voorkomt dat technische accounts normale gebruikertoewijzingen overschrijven. Dit is een van de belangrijkste beheeronderdelen van STAS.

Typische entries:

  • serviceaccounts voor back-up, monitoring, softwaredistributie of endpoint-tools
  • administratie- en installatieaccounts
  • accounts die op de achtergrond op veel clients aanmelden
  • servers of systemen waarop geen werkplekgebruikers worden verwacht

Zonder Exclusion List kan een echte gebruiker uit de Live Users verdwijnen, omdat kort daarna een dienstaccount op dezelfde client werd herkend. Dat lijkt later op een firewallregelprobleem, terwijl de oorzaak in de authenticatietoewijzing zit.

Collector-groepen en redundantie

Voor kleine omgevingen volstaat vaak één Collector. In grotere omgevingen moet men Collector-groepen bewust plannen.

Bewezen regels:

  • Per AD-domein een passende Collector-groep gebruiken.
  • Minstens twee Collectors plannen als gebruikersregels kritisch zijn.
  • STA Agents met alle voorziene Collectors configureren.
  • Firewall en Collectors in beide richtingen testen.
  • Collectors niet op systemen plaatsen die vaak opnieuw worden gestart.

Een STA Agent kan meerdere Collectors bedienen. Een STA Collector kan ook meerdere Sophos Firewalls bedienen. Toch moet de toewijzing worden gedocumenteerd, anders wordt troubleshooting later onnodig moeilijk.

Op de firewall wordt een Collector met Collector IP, Collector port en Collector group ingevoerd. Per Collector-groep zijn maximaal vijf Collectors mogelijk. De volgorde in de groep is belangrijk: de eerste Collector is primair, de overige Collectors dienen als back-up. Collectors van hetzelfde domein horen in dezelfde Collector-groep. Voor subdomeinen of gescheiden AD-domeinen moet men eigen Collector-groepen gebruiken.

STAS op Sophos Firewall activeren

Als Agent, Collector, AD en netwerk voorbereid zijn, wordt STAS op de firewall geactiveerd.

In WebAdmin:

Authentication > STAS

STAS activeren en de Collector of Collector-groep invoeren.

STAS-instellingen op Sophos Firewall
Onder Authentication > STAS wordt de Collector op de firewall vastgelegd.

Als de inrichting werkt, verschijnen gebruikers in het Dashboard en in de Live-User-weergave.

Live Users op Sophos Firewall Dashboard
Live Users tonen of STAS gebruikers momenteel herkent.

Als daar geen gebruikers verschijnen, moet men eerst AD-events, Agent, Collector, Device Access en poorten controleren. Firewallregels zijn pas de volgende stap.

Belangrijke STAS-opties op de firewall

Onder Authentication > STAS staan enkele opties die men bewust moet instellen.

  • STAS quarantine: Bij inkomend verkeer vraagt de firewall de Collector naar gebruiker- en doel-IP-toewijzing. Zonder treffer wordt verkeer verworpen. Dat is zinvol voor strenge gebruikersregels, maar kan bij instabiele STAS-detectie op een netwerkprobleem lijken.
  • Identity probe time-out: Tijd waarin de firewall op het antwoord van de Collector wacht. Standaard is 120 seconden. Deze waarde moet men niet blind verhogen, maar eerst controleren waarom de Collector niet of te laat antwoordt.
  • Restrict client traffic during identity probe: Bij Yes kan traffic tijdens de identiteitscontrole worden geblokkeerd totdat de firewall een antwoord van STAS ontvangt. Bij No wordt traffic tijdens de controle doorgestuurd. De fabrieksinstelling is Yes, waardoor ook lang ongewijzigde STAS-installaties getroffen kunnen worden. Vóór SFOS-22-upgrades moet deze optie worden gecontroleerd, omdat ze in SFOS 22.0 MR1 relevant is voor een gedocumenteerd STAS-upgrade- en bedrijfsprobleem.
  • Enable user inactivity: Verwijdert inactieve gebruikers uit Live Users. Dat helpt Live Users schoon te houden, maar moet bij clients, polling en time-out passen.
  • Inactivity timer: Minuten tot sign-out van inactieve gebruikers. Standaard is 3. Te korte waarden kunnen bij rustige clients irritante afmeldingen veroorzaken.
  • Data transfer threshold: Minimale hoeveelheid data in bytes waarmee een gebruiker als actief geldt. Standaard is 100. Lage drempels zijn voor Office-clients meestal zinvoller dan agressief hoge waarden.

Firewallregel met gebruikerscontext maken

Zodra STAS stabiel gebruikers herkent, kunnen firewallregels met gebruikers of groepen uit Active Directory worden gebruikt.

Firewallregel met gebruikerscontext voor RDP
Gebruikersgebaseerde regels moeten altijd gelogd en met echte testgebruikers gevalideerd worden.

Belangrijk:

  • Regel met een echte testgroep controleren.
  • Log firewall traffic activeren als de regel later geanalyseerd moet worden.
  • Regelpositie controleren.
  • Fallback-regels vermijden die authenticatiefouten verbergen.
  • Live Users en Log Viewer samen controleren.

Voor regelanalyse past Firewallregel testen met Log Viewer, Policy Test en Packet Capture.

Validatie na de inrichting

Een groene servicestatus is niet genoeg. Na de inrichting moet men de hele keten testen.

Praktische werkwijze:

  1. Testgebruiker op een domeinclient aanmelden.
  2. Security Event op de Domain Controller controleren.
  3. STA Agent-status controleren.
  4. STA Collector-status en herkende gebruikers controleren.
  5. Live Users op Sophos Firewall controleren.
  6. Gebruikersgebaseerde firewallregel met logging testen.
  7. Logoff of gebruikerswissel testen.
  8. Technische accounts tegen de Exclusion List controleren.

In STAS zelf kan men onder Advanced > Show live users controleren welke gebruikers de Collector momenteel kent. Op de firewall is de passende plaats Current activities > Live users. Beide weergaven moeten op het testmoment logisch overeenkomen.

Als STAS bedrijfskritische regels aanstuurt, moet deze test na Windows-updates, Domain-Controller-wijzigingen, firewall-upgrades en wachtwoordwijzigingen van het serviceaccount worden herhaald.

Tests, logs en back-up

STAS biedt meerdere lokale controlemiddelen. Die zijn vaak sneller dan alleen kijken naar de firewall Log Viewer.

  • Firewallverbinding testen: Advanced > Troubleshooting > Test Connectivity > Sophos controleert of Agent of Collector de firewall bereikt.
  • STA Agent testen: Advanced > Troubleshooting > Test Connectivity > STAS Agent controleert of de Collector een Agent bereikt.
  • STA Collector testen: Advanced > Troubleshooting > Test Connectivity > STAS Collector controleert of een Agent een Collector bereikt.
  • WMI Verification: Advanced > Troubleshooting > STAS Polling Utilities > WMI Verification controleert Workstation Polling via WMI tegen een client-IP.
  • Registry Read Verification: Advanced > Troubleshooting > STAS Polling Utilities > Registry Read Verification controleert Workstation Polling via Registry Read Access tegen een client-IP.

Het STAS-log is direct in de STAS-applicatie onder Advanced > View Log zichtbaar. Daarnaast staat het logbestand op het Windows-systeem onder:

C:\Program Files (x86)\Sophos\Sophos Transparent Authentication Suite\stas.log

Vóór grotere wijzigingen moet men de STAS-configuratie veiligstellen. Dat kan in de STAS-applicatie onder Advanced > Backup / Restore > Backup Now. De back-up wordt als bestand in het formaat STAS_ConfigBackup_DD_MM_YYYY_THH_MM_SS.bkp gemaakt. Voor herstel wordt het .bkp-bestand onder Backup / Restore geselecteerd en via Upload and Restore ingelezen.

STAS vóór SFOS 22 MR1 controleren

STAS hoort bij de functies die vóór een major upgrade bewust moeten worden gecontroleerd. In de actuele Known-Issues-lijst is er een probleem rond SFOS 22.0 MR1, STAS en de optie Restrict client traffic during identity probe. Als deze optie op Yes staat, kan ze een upgrade naar SFOS 22.0 MR1 verhinderen of na de upgrade herhaalde Identity Probes en daardoor tijdelijke traffic-onderbrekingen veroorzaken. Omdat Yes de standaardwaarde is, mag men niet aannemen dat alleen bewust geharde speciale configuraties getroffen zijn.

Voor admins is belangrijk: dit is geen normaal STAS-inrichtingsprobleem. Een omgeving kan jaren werken en toch bij de upgrade opvallen, omdat een tot dan toe geaccepteerde instelling in combinatie met SFOS 22.0 MR1 kritisch wordt. Daarom moet STAS in de SFOS 22 Upgrade Check worden opgenomen.

Vóór een upgrade naar SFOS 22.0 MR1 of nieuwer controleren:

  • Is STAS überhaupt actief?
  • Worden gebruikersgebaseerde regels productief gebruikt?
  • Is Restrict client traffic during identity probe actief?
  • Zijn er al meldingen van herhaalde Identity Probes of onverklaarbare korte traffic-onderbrekingen?
  • Is er een testgebruiker waarmee STAS na de upgrade gericht kan worden gecontroleerd?

Als de betrokken optie actief is, moet die niet pas tijdens het firmware-onderhoudsvenster worden beoordeeld. Beter is een korte aparte test vooraf: wijziging documenteren, testgebruiker aanmelden, Live Users controleren, gebruikersgebaseerde regel testen en Log Viewer controleren. Als STAS veiligheidskritische regels aanstuurt, moet ook duidelijk zijn of een tijdelijke fallback-regel nodig is, zodat gebruikers niet ongecontroleerd worden geblokkeerd.

Voor het upgradepad naar SFOS 22.0 MR1 geldt praktisch: als STAS actief is en Restrict client traffic during identity probe op Yes staat, zet de optie vóór de upgrade op No en valideer daarna met echte testgebruikers. Als deze wijziging vooraf niet kan worden getest, is de upgrade uitstellen vaak schoner dan een riskant onderhoudsvenster. Op al getroffen SFOS 22.0 MR1-systemen is No ook de gedocumenteerde mitigatie tot er een gecorrigeerde release beschikbaar is.

Na de upgrade gericht controleren:

  1. STAS-status onder Authentication > STAS controleren.
  2. Live Users met een nieuwe domeinlogin controleren.
  3. Gebruikersgebaseerde firewallregel met logging testen.
  4. In de Log Viewer controleren of de gebruikersnaam zichtbaar is en niet alleen het IP-adres.
  5. Letten op herhaalde Identity-Probe-effecten of korte onderbrekingen.

Als de upgrade door een STAS-melding wordt geblokkeerd of na de upgrade reproduceerbare onderbrekingen optreden, moet een Sophos Support Case worden voorbereid. Nuttig zijn dan screenshot van de upgrademelding, actuele STAS-configuratie, firmwareversie, betrokken gebruikersregel en korte testprocedure.

Troubleshooting

Geen gebruikers in Live Users

Eerst controleren of de Domain Controller passende Security Events schrijft. Daarna STA Agent, STA Collector, poorten en Device Access controleren.

Typische oorzaken:

  • Audit Policy niet actief
  • STA Agent draait niet of leest de verkeerde Domain Controller
  • Collector is niet bereikbaar
  • UDP 6060 of 6677 is geblokkeerd
  • Client Authentication is in Device Access niet toegestaan
  • NAT verbergt het echte client-IP

Gebruiker wordt verkeerd toegewezen

Dan zijn vaak Exclusions, Workstation Polling of technische accounts betrokken. Controleren of serviceaccounts, monitoringaccounts of installatieaccounts dezelfde client overschrijven.

Gebruiker verdwijnt te snel

Dan Logoff Detection, Dead Entry Timeout, clientbereikbaarheid en pollingmethode controleren. Als clients niet op ping, WMI of Registry-toegang reageren, kunnen entries onverwacht verdwijnen of verouderd blijven.

DCOM-fouten of STAS bevraagt verkeerde netwerken

Als na de STAS-installatie in Windows Event Viewer DCOM-fouten zoals Event ID 10009 of 10028 verschijnen, is de firewallregel niet automatisch de oorzaak. Vaak probeert de Collector via WMI of Registry Read Access clients te controleren die niet bereikbaar zijn of niet bij de gemonitorde netwerken horen.

Beperk dan in STAS de gemonitorde netwerken:

  1. Open in de STAS-applicatie het tabblad STA Collector.
  2. Selecteer onder Sophos appliances de betreffende Sophos Firewall en open Edit.
  3. Activeer Enable subnet based filter.
  4. Vul alleen de netwerken in die werkelijk gemonitord moeten worden.
  5. Controleer in het tabblad STA Agent onder Specify the networks to be monitored dezelfde clientnetwerken.
  6. Pas de wijzigingen toe en herstart STAS.

Dit vermindert onnodige WMI-query’s en voorkomt dat gebruikers uit ongeschikte netwerken als LogonType: 1 verschijnen. Controleer na de wijziging stas.log, Windows Event Viewer en Current activities > Live users samen.

Firewallregel grijpt niet

Dan niet alleen de regel bekijken. Controleren:

  • Is de gebruiker onder Live Users zichtbaar?
  • Wordt de juiste AD-groep herkend?
  • Grijpt een eerdere firewallregel?
  • Is logging op de regel actief?
  • Ziet de Log Viewer de gebruiker of alleen het IP-adres?

Overgangstijd voor niet-geauthenticeerd verkeer

Voor overgangsfases staat de firewall standaard korte tijd niet-geauthenticeerd verkeer toe. Deze waarde kan via de Device Console worden gecontroleerd of aangepast:

system auth cta unauth-traffic drop-period

Deze instelling moet men niet blind wijzigen. Eerst moet duidelijk zijn of het probleem echt de overgangstijd is of een foutieve STAS-toewijzing.

Als de firewall verkeer van een IP-adres ziet waarvoor STAS nog geen gebruiker kent, wordt dit IP eerst in leermodus gecontroleerd. Tijdens deze fase kan traffic worden verworpen. Antwoordt de Collector niet, dan behandelt de firewall het IP gedurende een bepaalde tijd als niet-geauthenticeerd. Voor apparaten buiten het domein moet men dus niet verwachten dat STAS ze automatisch netjes afdekt. Voor zulke systemen kunnen Clientless Users of eigen regels zinvoller zijn.

STAS via VPN

STAS kan ook in een IPsec-VPN-scenario worden gebruikt wanneer gebruikers op een externe locatie tegen een Domain Controller op de hoofdlocatie authenticeren. Dit moet men echter alleen bewust plannen, omdat routing, bron-IP, STAS-Monitored-Networks en firewallzones samen moeten passen.

Vereisten voor zo’n ontwerp:

  • IPsec-verbinding is actief en stabiel.
  • Branch-traffic wordt via de tunnel gerouteerd.
  • STAS en Active Directory zijn op de hoofdlocatie correct ingericht.
  • Het branchnetwerk is in STAS als gemonitord netwerk ingevoerd.
  • De branch-firewall is in de STA-Collector-configuratie als Sophos Appliance vastgelegd.
  • Client Authentication is voor de VPN-zone in Device Access toegestaan.

Op de firewall op de hoofdlocatie moet het externe netwerk voor STAS via de Device Console worden toegevoegd. Voorbeeld:

system auth cta vpnzonenetwork add source-network 172.50.50.0 netmask 255.255.255.0

Het voorbeeld moet door het echte branchnetwerk worden vervangen. In veel omgevingen is het toch eenvoudiger en robuuster om STAS alleen voor lokale clientnetwerken te gebruiken en externe locaties apart te ontwerpen.

STAS, SATC en Remote Desktop Server

Klassieke STAS werkt goed wanneer een client-IP normaal aan één gebruiker hoort. Op Remote Desktop Servers, terminalservers of Citrix-systemen delen meerdere gebruikers echter hetzelfde IP-adres. Dan kan klassieke STAS gebruikers niet netjes onderscheiden.

In zulke omgevingen moet men Sophos Authentication for Thin Client (SATC) controleren. SATC is geen simpele checkbox in STAS, maar een eigen ontwerpvraag:

  • Welke servers zijn betrokken?
  • Welke gebruikers werken via deze servers?
  • Welke firewallregels moeten echt gebruikersgebaseerd zijn?
  • Is er gemengde traffic van serverdiensten en gebruikerssessies?
  • Hoe wordt het gedrag getest en gedocumenteerd?

Als terminalservers slechts zelden worden gebruikt, kan het zinvoller zijn deze verbindingen anders te segmenteren of eigen regels zonder gebruikerscontext te gebruiken. Beslissend is dat de authenticatie bij de werkelijke netwerkarchitectuur past.

Beheerchecklist

Vóór de installatie:

  • AD-server op Sophos Firewall werkt.
  • Clientnetwerken en Domain Controllers zijn gedocumenteerd.
  • Geen NAT verbergt client-IP-adressen.
  • Serviceaccount en rechten zijn gedefinieerd.
  • Audit Policy is op relevante Domain Controllers actief.
  • Exclusion List is voorbereid.

Na de installatie:

  • Agent en Collector draaien.
  • Poorten tussen Agent, Collector, firewall en clients zijn open.
  • Live Users tonen testgebruikers.
  • Gebruikersgebaseerde firewallregel treft in de Log Viewer.
  • Logoff, gebruikerswissel en technische accounts werden getest.
  • Collector-redundantie is gedocumenteerd, indien nodig.

Tijdens beheer:

  • Serviceaccount monitoren.
  • Exclusion List regelmatig onderhouden.
  • Windows-Firewall- en GPO-wijzigingen met STAS vergelijken.
  • Subnet-based filters en gemonitorde netwerken regelmatig met de echte clientstructuur vergelijken.
  • Na firewall- en Domain-Controller-upgrades STAS testen.
  • Vóór SFOS 22.0 MR1 of nieuwer Restrict client traffic during identity probe controleren.
  • Bij RDS/Citrix niet met STAS improviseren, maar SATC of een ander ontwerp controleren.

FAQ

Wat is STAS op Sophos Firewall?

STAS is de Sophos Transparent Authentication Suite. De functie leest Windows-aanmeldgebeurtenissen uit Active Directory en meldt gebruiker-IP-toewijzingen aan Sophos Firewall, zodat regels en reports gebruikers of groepen kunnen gebruiken.

Moet de STA Collector op een Domain Controller draaien?

Nee. De STA Agent wordt typisch op Domain Controllers gebruikt. De STA Collector kan op hetzelfde systeem draaien, maar in grotere omgevingen ook apart worden beheerd.

Waarom werkt STAS niet met NAT tussen client en firewall?

STAS koppelt gebruikers aan een client-IP. Als NAT het bron-IP wijzigt, ziet de firewall niet meer hetzelfde IP-adres dat STAS van de client kent. De gebruikertoewijzing wordt daardoor onbetrouwbaar.

Wat hoort in de STAS Exclusion List?

In de Exclusion List horen technische accounts, serviceaccounts, back-up-, monitoring-, installatie- en administratieaccounts die geen normale gebruikerstoegang vertegenwoordigen en anders echte gebruikertoewijzingen kunnen overschrijven.

Wanneer heeft men SATC in plaats van STAS nodig?

SATC moet worden gecontroleerd wanneer meerdere gebruikers hetzelfde bron-IP delen, bijvoorbeeld op Remote Desktop Servers, terminalservers of Citrix-systemen. Klassieke STAS kan zulke sessies niet netjes per gebruiker onderscheiden. De werkwijze staat in Sophos Firewall SATC voor Remote Desktop Services instellen.

Waarom moet men STAS vóór SFOS 22 MR1 controleren?

Er is een Known Issue gedocumenteerd waarbij STAS met geactiveerde optie Restrict client traffic during identity probe een upgrade naar SFOS 22.0 MR1 kan verhinderen of na de upgrade herhaalde Identity Probes met traffic-onderbrekingen kan veroorzaken. Vóór de upgrade moet de optie worden gecontroleerd en in getroffen omgevingen op No worden gezet, of de upgrade moet worden uitgesteld.