STAS op Sophos Firewall instellen
STAS staat voor Sophos Transparent Authentication Suite. De functie koppelt Windows-aanmeldingen uit Active Directory aan een client-IP, zodat de Sophos Firewall gebruikers en groepen in firewallregels kan gebruiken zonder dat gebruikers zich apart in browser of portal moeten aanmelden.
Dat is in klassieke Windows-domeinen nog steeds nuttig. Tegelijk is STAS geen universele SSO-oplossing. De koppeling werkt alleen betrouwbaar als de firewall het echte client-IP ziet, de Domain Controllers passende aanmeldgebeurtenissen schrijven en technische accounts netjes worden uitgesloten. Voor RDS-, terminalserver- of Citrix-omgevingen is meestal een ander ontwerp nodig, bijvoorbeeld SATC.
Wanneer STAS zinvol is
STAS past vooral bij omgevingen met normale Windows-clients in een Active-Directory-domein. Typische doelen zijn:
- firewallregels met AD-gebruikers of AD-groepen
- reporting met gebruikerscontext in plaats van alleen IP-adressen
- transparante gebruikerstoewijzing zonder Captive Portal
- internetregels voor interne clientnetwerken
- aanvullende authenticatie in omgevingen zonder Entra ID SSO-ontwerp
STAS is minder geschikt wanneer meerdere gebruikers hetzelfde bron-IP gebruiken. Dat geldt bijvoorbeeld voor Remote Desktop Servers, terminalservers, Citrix-servers of systemen met NAT tussen client en firewall. In zulke gevallen moet men vroeg controleren of Sophos Authentication for Thin Client (SATC) of een ander authenticatiemodel beter past.
Video-instructie
De volgende Sophos-Techvids tonen de STAS-opbouw visueel. De video’s zijn met SFOS v21 gemaakt, maar blijven voor het basisprincipe, de architectuur en de belangrijkste configuratiestappen nuttig. Afzonderlijke schermen kunnen in SFOS 22 licht afwijken.
Werking
STAS bestaat uit twee componenten:
| Component | Taak |
|---|---|
| STA Agent | Draait op een Domain Controller of geschikt Windows-systeem en herkent AD-aanmeldgebeurtenissen |
| STA Collector | Verzamelt informatie van een of meerdere STA Agents en stuurt die naar Sophos Firewall |
De typische flow:
- Een gebruiker meldt zich aan op een Windows-client.
- Active Directory schrijft een passend Security Event.
- De STA Agent leest deze gebeurtenis.
- De STA Collector ontvangt gebruiker, client-IP en domeininformatie.
- Sophos Firewall werkt de Live Users bij.
- Firewallregels kunnen gebruikers of groepen evalueren.
Daarnaast kan de Collector clients via WMI of Registry Read Access controleren. Deze Workstation Polling helpt om een IP-adres aan een gebruiker te koppelen of verouderde entries te corrigeren. Daarvoor moeten Windows Firewall, services, rechten en netwerkpaden wel kloppen.
Vereisten
Vóór de installatie moeten deze punten duidelijk zijn:
- Sophos Firewall draait in Gateway-modus.
- Active Directory is al op de firewall gekoppeld.
- Domain Controllers schrijven de benodigde aanmeldgebeurtenissen.
- Windows-clients zijn lid van het domein.
- Er staat geen NAT tussen clients, Collector en Sophos Firewall.
Client Authenticationis onder Device Access voor de betrokken zones toegestaan.- DNS, tijd, routing en firewallregels tussen de betrokken systemen kloppen.
- Een serviceaccount en proces voor wachtwoordwijzigingen zijn gedefinieerd.
- Technische accounts voor Exclusions zijn bekend.
STAS 2.5 en nieuwer ondersteunt volgens de documentatie Windows Server 2008 R2, 2012 R2, 2016, 2019, 2022 en 2025. Voor nieuwe installaties moet men toch niet meer met oude servergeneraties plannen. Relevant is vooral dat STAS direct op een Domain Controller of vanaf STAS 2.5 ook op een Member Server kan draaien. Bij Member-Server-ontwerpen moet extra netjes worden gecontroleerd of Event-Log-toegang, WMI/Registry-toegang en netwerkpaden echt passen.
De AD-koppeling zelf is beschreven in Active Directory met Sophos Firewall verbinden. STAS moet niet als vervanging voor een nette AD-serverconfiguratie worden gezien.
Als er over jaren zeer veel gebruikers en groepen op de firewall ontstaan, moet men ook de Sophos Firewall User-ID-limiet in de gaten houden. Dit is vooral relevant als portal- of VPN-functies alleen voor afzonderlijke gebruikers onverwacht mislukken.
Architectuur plannen
Voor kleine omgevingen kunnen Agent en Collector op dezelfde Domain Controller draaien. Dat is eenvoudig, maar niet altijd de beste beheeroptie.
De Collector maakt eigen communicatie- en controlepaden naar de firewall, naar Agents en afhankelijk van de pollingmethode ook naar clients. Daarom moet hij niet automatisch op een Domain Controller terechtkomen alleen omdat daar al de Agent draait. Sophos wijst er zelf op dat installatie van de Collector op een Domain Controller vanwege het gegenereerde verkeer niet altijd aanbevolen is. In productieve omgevingen is een aparte Windows-server vaak netter te monitoren, te updaten en bij problemen opnieuw te starten.
In grotere omgevingen is vaak netter:
- STA Agent op elke relevante Domain Controller
- een of twee STA Collectors op aparte Windows-systemen
- Collector-groepen per AD-domein
- duidelijke Exclusion List voor technische accounts
- gedefinieerde firewallregels en Device-Access-vrijgaven
- monitoring voor services, Event Logs en Live-User-toewijzing
Belangrijk is de IP-zichtbaarheid. STAS koppelt gebruikers aan een IP-adres. Als een proxy, NAT, terminalserver of VPN-gateway het echte client-IP verbergt, kan de firewall de koppeling niet betrouwbaar gebruiken.
Active Directory voorbereiden
STAS hangt sterk af van de aanwezigheid van de juiste aanmeldgebeurtenissen in het Security Event Log. De volgende instellingen moeten op elke Domain Controller worden gecontroleerd waarop de STA Agent wordt gebruikt.
Daarnaast moeten NetBIOS-naam, FQDN en Search DN van het domein vóór de installatie worden genoteerd. Deze waarden zijn later nodig in Sophos Firewall en STAS-configuratie.
Audit account logon events activeren
Open op de Domain Controller Local Security Policy. Dat kan bijvoorbeeld via secpol.msc.
Open daarna het pad:
Security Settings > Local Policies > Audit Policy
Open daar Audit account logon events.

Activeer daarna Success en Failure en sla de wijziging op.

STAS-account voorbereiden
De STAS-service moet met een gedocumenteerd account draaien. In eenvoudige testomgevingen wordt vaak een administratoraccount gebruikt. Voor productie is een dedicated STAS-account beter, als de benodigde rechten netjes gezet en getest zijn.
Het account moet afhankelijk van het ontwerp:
- de service kunnen starten
- relevante Event Logs kunnen lezen
- bij WMI of Registry Read Access toegang tot clients hebben
- wachtwoordwijzigingen planbaar overleven
- in monitoring en documentatie duidelijk herkenbaar zijn
Het account hoeft niet per se Domain Admin te zijn. Voor de Domain Controller zijn minimaal passende groeps- en bestandsrechten belangrijk. In de praktijk moet men controleren:
- lidmaatschap in Domain Users
- lidmaatschap in Event Log Readers
- lees- en schrijfrechten op
C:\Program Files (x86)\Sophos\Sophos Transparent Authentication Suite\ - bij WMI-Polling passende rechten op endpoints, bijvoorbeeld Remote Desktop Users, Distributed COM Users en WMI-rechten op
Root\CIMV2met Execute Methods en Remote Enable
Deze endpointrechten laten zich in grotere omgevingen beter via Group Policy verdelen. Als Workstation Polling niet wordt gebruikt, moet men geen onnodig brede rechten geven.
Als de service met een eigen account draait, heeft dit account Log on as a service nodig.
Pad in de Local Security Policy:
Security Settings > Local Policies > User Rights Assignment

Voeg daarna het account toe.

Poorten en services controleren
Tussen Sophos Firewall, STA Collector, STA Agent, Domain Controller en clients moeten de benodigde verbindingen mogelijk zijn. Als basis gelden:
| Richting | Doel | Poort |
|---|---|---|
| STA Collector naar Sophos Firewall | Gebruikersinformatie verzenden | UDP 6060 |
| Sophos Firewall naar STA Collector | Collector-communicatie | UDP 6677 |
| STA Agent naar STA Collector | Agentdata naar Collector sturen | TCP 5566 |
Aanvullende poorten hangen af van de geactiveerde methoden:
| Functie | Typische voorwaarde |
|---|---|
| Workstation Polling via WMI | TCP 135, TCP 445, RPC/DCOM/WMI-services |
| Registry Read Access | TCP 445, Remote Registry |
| Logoff Detection Ping | ICMP naar de client |
| STAS Collector Test | UDP 50001 |
| STAS Configuration Sync | TCP 27015 |
Als Windows Firewall op clients of servers actief is, moeten de regels strak tot de Collector worden beperkt. Een voorbeeldsjabloon voor WMI:
New-NetFirewallRule -DisplayName "Sophos STAS Collector WMI" -Direction Inbound -RemoteAddress 10.10.10.10 -Action Allow -Profile Domain
Dit commando is alleen een sjabloon. In productie moeten bron-IP, doelpoorten, profielen en Group Policies bij de gekozen pollingmethode passen.
Active Directory op de firewall vastleggen
Voordat STAS wordt geactiveerd, moet de Sophos Firewall de Active-Directory-server kennen.
In WebAdmin:
Authentication > Servers
Daar een Active-Directory-server toevoegen of de bestaande configuratie controleren.

De afzonderlijke velden zijn uitgelegd in Active Directory met Sophos Firewall verbinden. Voor STAS zijn vooral NetBIOS-domein, domeinnaam, zoekbasis en groepsresolutie belangrijk.
STAS downloaden en installeren
De STAS-installatie wordt via Sophos Firewall beschikbaar gesteld.
In WebAdmin:
Authentication > Client downloads

Onder Single Sign-on staat Sophos Transparent Authentication Suite (STAS).

Start de gedownloade STAS.exe op het bedoelde Windows-systeem als administrator.

Typische installatievarianten:
| Variant | Wanneer zinvol |
|---|---|
| SSO Suite op één server | kleine omgeving of lab |
| STA Agent op Domain Controllers, Collector apart | betere scheiding en schaalbaarheid |
| meerdere Collectors | redundantie of grotere omgeving |
Bij meerdere Domain Controllers heeft men normaal op elke relevante Domain Controller een STA Agent nodig. Een Collector kan informatie van meerdere Agents verzamelen.
STAS configureren
Na de installatie wordt de STA Suite geconfigureerd. De belangrijkste onderdelen zijn General, STA Agent, STA Collector en Exclusion List.
General
In de tab General controleert men vooral serviceaccount, domeingegevens, NetBIOS-naam en FQDN.

Als hier verkeerde domeinwaarden staan, ziet de installatie er later vaak gezond uit, maar worden gebruikers of groepen niet correct toegewezen. De NetBIOS-naam moet in STAS met hoofdletters worden ingevoerd.
STA Agent
In de tab STA Agent zijn deze punten doorslaggevend:
- STA Agent Mode: voor lokale Event-Log-detectie is
EVENTLOGhet typische startpunt. - Specify the networks to be monitored: clientnetwerken invullen waarin STAS gebruikers moet herkennen.
- Domain Controller IP: alleen zetten als de Agent niet direct op de Domain Controller draait. Als de SSO Suite op een Domain Controller is geïnstalleerd, blijft dit veld normaal leeg.
- Collector List: IP-adressen van de Collector-systemen invullen.

De gemonitorde netwerken moeten bewust worden gekozen. Servernetwerken, managementnetwerken of netwerken zonder normale gebruikersworkstations veroorzaken anders onnodige fouten of verkeerde verwachtingen.
STA Collector
In de tab STA Collector wordt de Sophos Firewall vastgelegd en wordt client-polling gepland.
Belangrijke punten:
- Sophos Appliance: IP-adres van de Sophos Firewall invullen.
- Workstation Polling Method: WMI of Registry Read Access bewust kiezen.
- Enable Logoff Detection: alleen activeren als ping en time-outs bij het clientnetwerk passen.
- Dead entry timeout: waarde passend bij STAS-versie en beheermodel testen.

Bij HA-clusters moet men het bereikbare interne firewalladres gebruiken dat bij STAS-verkeer past. Aparte peer-administratieadressen zijn hiervoor meestal niet het juiste doel.
Exclusion List
De Exclusion List voorkomt dat technische accounts normale gebruikertoewijzingen overschrijven. Dit is een van de belangrijkste beheeronderdelen van STAS.
Typische entries:
- serviceaccounts voor back-up, monitoring, softwaredistributie of endpoint-tools
- administratie- en installatieaccounts
- accounts die op de achtergrond op veel clients aanmelden
- servers of systemen waarop geen werkplekgebruikers worden verwacht
Zonder Exclusion List kan een echte gebruiker uit de Live Users verdwijnen, omdat kort daarna een dienstaccount op dezelfde client werd herkend. Dat lijkt later op een firewallregelprobleem, terwijl de oorzaak in de authenticatietoewijzing zit.
Collector-groepen en redundantie
Voor kleine omgevingen volstaat vaak één Collector. In grotere omgevingen moet men Collector-groepen bewust plannen.
Bewezen regels:
- Per AD-domein een passende Collector-groep gebruiken.
- Minstens twee Collectors plannen als gebruikersregels kritisch zijn.
- STA Agents met alle voorziene Collectors configureren.
- Firewall en Collectors in beide richtingen testen.
- Collectors niet op systemen plaatsen die vaak opnieuw worden gestart.
Een STA Agent kan meerdere Collectors bedienen. Een STA Collector kan ook meerdere Sophos Firewalls bedienen. Toch moet de toewijzing worden gedocumenteerd, anders wordt troubleshooting later onnodig moeilijk.
Op de firewall wordt een Collector met Collector IP, Collector port en Collector group ingevoerd. Per Collector-groep zijn maximaal vijf Collectors mogelijk. De volgorde in de groep is belangrijk: de eerste Collector is primair, de overige Collectors dienen als back-up. Collectors van hetzelfde domein horen in dezelfde Collector-groep. Voor subdomeinen of gescheiden AD-domeinen moet men eigen Collector-groepen gebruiken.
STAS op Sophos Firewall activeren
Als Agent, Collector, AD en netwerk voorbereid zijn, wordt STAS op de firewall geactiveerd.
In WebAdmin:
Authentication > STAS
STAS activeren en de Collector of Collector-groep invoeren.

Als de inrichting werkt, verschijnen gebruikers in het Dashboard en in de Live-User-weergave.

Als daar geen gebruikers verschijnen, moet men eerst AD-events, Agent, Collector, Device Access en poorten controleren. Firewallregels zijn pas de volgende stap.
Belangrijke STAS-opties op de firewall
Onder Authentication > STAS staan enkele opties die men bewust moet instellen.
- STAS quarantine: Bij inkomend verkeer vraagt de firewall de Collector naar gebruiker- en doel-IP-toewijzing. Zonder treffer wordt verkeer verworpen. Dat is zinvol voor strenge gebruikersregels, maar kan bij instabiele STAS-detectie op een netwerkprobleem lijken.
- Identity probe time-out: Tijd waarin de firewall op het antwoord van de Collector wacht. Standaard is
120seconden. Deze waarde moet men niet blind verhogen, maar eerst controleren waarom de Collector niet of te laat antwoordt. - Restrict client traffic during identity probe: Bij
Yeskan traffic tijdens de identiteitscontrole worden geblokkeerd totdat de firewall een antwoord van STAS ontvangt. BijNowordt traffic tijdens de controle doorgestuurd. De fabrieksinstelling isYes, waardoor ook lang ongewijzigde STAS-installaties getroffen kunnen worden. Vóór SFOS-22-upgrades moet deze optie worden gecontroleerd, omdat ze in SFOS 22.0 MR1 relevant is voor een gedocumenteerd STAS-upgrade- en bedrijfsprobleem. - Enable user inactivity: Verwijdert inactieve gebruikers uit Live Users. Dat helpt Live Users schoon te houden, maar moet bij clients, polling en time-out passen.
- Inactivity timer: Minuten tot sign-out van inactieve gebruikers. Standaard is
3. Te korte waarden kunnen bij rustige clients irritante afmeldingen veroorzaken. - Data transfer threshold: Minimale hoeveelheid data in bytes waarmee een gebruiker als actief geldt. Standaard is
100. Lage drempels zijn voor Office-clients meestal zinvoller dan agressief hoge waarden.
Firewallregel met gebruikerscontext maken
Zodra STAS stabiel gebruikers herkent, kunnen firewallregels met gebruikers of groepen uit Active Directory worden gebruikt.

Belangrijk:
- Regel met een echte testgroep controleren.
- Log firewall traffic activeren als de regel later geanalyseerd moet worden.
- Regelpositie controleren.
- Fallback-regels vermijden die authenticatiefouten verbergen.
- Live Users en Log Viewer samen controleren.
Voor regelanalyse past Firewallregel testen met Log Viewer, Policy Test en Packet Capture.
Validatie na de inrichting
Een groene servicestatus is niet genoeg. Na de inrichting moet men de hele keten testen.
Praktische werkwijze:
- Testgebruiker op een domeinclient aanmelden.
- Security Event op de Domain Controller controleren.
- STA Agent-status controleren.
- STA Collector-status en herkende gebruikers controleren.
- Live Users op Sophos Firewall controleren.
- Gebruikersgebaseerde firewallregel met logging testen.
- Logoff of gebruikerswissel testen.
- Technische accounts tegen de Exclusion List controleren.
In STAS zelf kan men onder Advanced > Show live users controleren welke gebruikers de Collector momenteel kent. Op de firewall is de passende plaats Current activities > Live users. Beide weergaven moeten op het testmoment logisch overeenkomen.
Als STAS bedrijfskritische regels aanstuurt, moet deze test na Windows-updates, Domain-Controller-wijzigingen, firewall-upgrades en wachtwoordwijzigingen van het serviceaccount worden herhaald.
Tests, logs en back-up
STAS biedt meerdere lokale controlemiddelen. Die zijn vaak sneller dan alleen kijken naar de firewall Log Viewer.
- Firewallverbinding testen:
Advanced > Troubleshooting > Test Connectivity > Sophoscontroleert of Agent of Collector de firewall bereikt. - STA Agent testen:
Advanced > Troubleshooting > Test Connectivity > STAS Agentcontroleert of de Collector een Agent bereikt. - STA Collector testen:
Advanced > Troubleshooting > Test Connectivity > STAS Collectorcontroleert of een Agent een Collector bereikt. - WMI Verification:
Advanced > Troubleshooting > STAS Polling Utilities > WMI Verificationcontroleert Workstation Polling via WMI tegen een client-IP. - Registry Read Verification:
Advanced > Troubleshooting > STAS Polling Utilities > Registry Read Verificationcontroleert Workstation Polling via Registry Read Access tegen een client-IP.
Het STAS-log is direct in de STAS-applicatie onder Advanced > View Log zichtbaar. Daarnaast staat het logbestand op het Windows-systeem onder:
C:\Program Files (x86)\Sophos\Sophos Transparent Authentication Suite\stas.log
Vóór grotere wijzigingen moet men de STAS-configuratie veiligstellen. Dat kan in de STAS-applicatie onder Advanced > Backup / Restore > Backup Now. De back-up wordt als bestand in het formaat STAS_ConfigBackup_DD_MM_YYYY_THH_MM_SS.bkp gemaakt. Voor herstel wordt het .bkp-bestand onder Backup / Restore geselecteerd en via Upload and Restore ingelezen.
STAS vóór SFOS 22 MR1 controleren
STAS hoort bij de functies die vóór een major upgrade bewust moeten worden gecontroleerd. In de actuele Known-Issues-lijst is er een probleem rond SFOS 22.0 MR1, STAS en de optie Restrict client traffic during identity probe. Als deze optie op Yes staat, kan ze een upgrade naar SFOS 22.0 MR1 verhinderen of na de upgrade herhaalde Identity Probes en daardoor tijdelijke traffic-onderbrekingen veroorzaken. Omdat Yes de standaardwaarde is, mag men niet aannemen dat alleen bewust geharde speciale configuraties getroffen zijn.
Voor admins is belangrijk: dit is geen normaal STAS-inrichtingsprobleem. Een omgeving kan jaren werken en toch bij de upgrade opvallen, omdat een tot dan toe geaccepteerde instelling in combinatie met SFOS 22.0 MR1 kritisch wordt. Daarom moet STAS in de SFOS 22 Upgrade Check worden opgenomen.
Vóór een upgrade naar SFOS 22.0 MR1 of nieuwer controleren:
- Is STAS überhaupt actief?
- Worden gebruikersgebaseerde regels productief gebruikt?
- Is Restrict client traffic during identity probe actief?
- Zijn er al meldingen van herhaalde Identity Probes of onverklaarbare korte traffic-onderbrekingen?
- Is er een testgebruiker waarmee STAS na de upgrade gericht kan worden gecontroleerd?
Als de betrokken optie actief is, moet die niet pas tijdens het firmware-onderhoudsvenster worden beoordeeld. Beter is een korte aparte test vooraf: wijziging documenteren, testgebruiker aanmelden, Live Users controleren, gebruikersgebaseerde regel testen en Log Viewer controleren. Als STAS veiligheidskritische regels aanstuurt, moet ook duidelijk zijn of een tijdelijke fallback-regel nodig is, zodat gebruikers niet ongecontroleerd worden geblokkeerd.
Voor het upgradepad naar SFOS 22.0 MR1 geldt praktisch: als STAS actief is en Restrict client traffic during identity probe op Yes staat, zet de optie vóór de upgrade op No en valideer daarna met echte testgebruikers. Als deze wijziging vooraf niet kan worden getest, is de upgrade uitstellen vaak schoner dan een riskant onderhoudsvenster. Op al getroffen SFOS 22.0 MR1-systemen is No ook de gedocumenteerde mitigatie tot er een gecorrigeerde release beschikbaar is.
Na de upgrade gericht controleren:
- STAS-status onder
Authentication > STAScontroleren. - Live Users met een nieuwe domeinlogin controleren.
- Gebruikersgebaseerde firewallregel met logging testen.
- In de Log Viewer controleren of de gebruikersnaam zichtbaar is en niet alleen het IP-adres.
- Letten op herhaalde Identity-Probe-effecten of korte onderbrekingen.
Als de upgrade door een STAS-melding wordt geblokkeerd of na de upgrade reproduceerbare onderbrekingen optreden, moet een Sophos Support Case worden voorbereid. Nuttig zijn dan screenshot van de upgrademelding, actuele STAS-configuratie, firmwareversie, betrokken gebruikersregel en korte testprocedure.
Troubleshooting
Geen gebruikers in Live Users
Eerst controleren of de Domain Controller passende Security Events schrijft. Daarna STA Agent, STA Collector, poorten en Device Access controleren.
Typische oorzaken:
- Audit Policy niet actief
- STA Agent draait niet of leest de verkeerde Domain Controller
- Collector is niet bereikbaar
- UDP
6060of6677is geblokkeerd Client Authenticationis in Device Access niet toegestaan- NAT verbergt het echte client-IP
Gebruiker wordt verkeerd toegewezen
Dan zijn vaak Exclusions, Workstation Polling of technische accounts betrokken. Controleren of serviceaccounts, monitoringaccounts of installatieaccounts dezelfde client overschrijven.
Gebruiker verdwijnt te snel
Dan Logoff Detection, Dead Entry Timeout, clientbereikbaarheid en pollingmethode controleren. Als clients niet op ping, WMI of Registry-toegang reageren, kunnen entries onverwacht verdwijnen of verouderd blijven.
DCOM-fouten of STAS bevraagt verkeerde netwerken
Als na de STAS-installatie in Windows Event Viewer DCOM-fouten zoals Event ID 10009 of 10028 verschijnen, is de firewallregel niet automatisch de oorzaak. Vaak probeert de Collector via WMI of Registry Read Access clients te controleren die niet bereikbaar zijn of niet bij de gemonitorde netwerken horen.
Beperk dan in STAS de gemonitorde netwerken:
- Open in de STAS-applicatie het tabblad STA Collector.
- Selecteer onder Sophos appliances de betreffende Sophos Firewall en open Edit.
- Activeer Enable subnet based filter.
- Vul alleen de netwerken in die werkelijk gemonitord moeten worden.
- Controleer in het tabblad STA Agent onder Specify the networks to be monitored dezelfde clientnetwerken.
- Pas de wijzigingen toe en herstart STAS.
Dit vermindert onnodige WMI-query’s en voorkomt dat gebruikers uit ongeschikte netwerken als LogonType: 1 verschijnen. Controleer na de wijziging stas.log, Windows Event Viewer en Current activities > Live users samen.
Firewallregel grijpt niet
Dan niet alleen de regel bekijken. Controleren:
- Is de gebruiker onder Live Users zichtbaar?
- Wordt de juiste AD-groep herkend?
- Grijpt een eerdere firewallregel?
- Is logging op de regel actief?
- Ziet de Log Viewer de gebruiker of alleen het IP-adres?
Overgangstijd voor niet-geauthenticeerd verkeer
Voor overgangsfases staat de firewall standaard korte tijd niet-geauthenticeerd verkeer toe. Deze waarde kan via de Device Console worden gecontroleerd of aangepast:
system auth cta unauth-traffic drop-period
Deze instelling moet men niet blind wijzigen. Eerst moet duidelijk zijn of het probleem echt de overgangstijd is of een foutieve STAS-toewijzing.
Als de firewall verkeer van een IP-adres ziet waarvoor STAS nog geen gebruiker kent, wordt dit IP eerst in leermodus gecontroleerd. Tijdens deze fase kan traffic worden verworpen. Antwoordt de Collector niet, dan behandelt de firewall het IP gedurende een bepaalde tijd als niet-geauthenticeerd. Voor apparaten buiten het domein moet men dus niet verwachten dat STAS ze automatisch netjes afdekt. Voor zulke systemen kunnen Clientless Users of eigen regels zinvoller zijn.
STAS via VPN
STAS kan ook in een IPsec-VPN-scenario worden gebruikt wanneer gebruikers op een externe locatie tegen een Domain Controller op de hoofdlocatie authenticeren. Dit moet men echter alleen bewust plannen, omdat routing, bron-IP, STAS-Monitored-Networks en firewallzones samen moeten passen.
Vereisten voor zo’n ontwerp:
- IPsec-verbinding is actief en stabiel.
- Branch-traffic wordt via de tunnel gerouteerd.
- STAS en Active Directory zijn op de hoofdlocatie correct ingericht.
- Het branchnetwerk is in STAS als gemonitord netwerk ingevoerd.
- De branch-firewall is in de STA-Collector-configuratie als Sophos Appliance vastgelegd.
Client Authenticationis voor de VPN-zone in Device Access toegestaan.
Op de firewall op de hoofdlocatie moet het externe netwerk voor STAS via de Device Console worden toegevoegd. Voorbeeld:
system auth cta vpnzonenetwork add source-network 172.50.50.0 netmask 255.255.255.0
Het voorbeeld moet door het echte branchnetwerk worden vervangen. In veel omgevingen is het toch eenvoudiger en robuuster om STAS alleen voor lokale clientnetwerken te gebruiken en externe locaties apart te ontwerpen.
STAS, SATC en Remote Desktop Server
Klassieke STAS werkt goed wanneer een client-IP normaal aan één gebruiker hoort. Op Remote Desktop Servers, terminalservers of Citrix-systemen delen meerdere gebruikers echter hetzelfde IP-adres. Dan kan klassieke STAS gebruikers niet netjes onderscheiden.
In zulke omgevingen moet men Sophos Authentication for Thin Client (SATC) controleren. SATC is geen simpele checkbox in STAS, maar een eigen ontwerpvraag:
- Welke servers zijn betrokken?
- Welke gebruikers werken via deze servers?
- Welke firewallregels moeten echt gebruikersgebaseerd zijn?
- Is er gemengde traffic van serverdiensten en gebruikerssessies?
- Hoe wordt het gedrag getest en gedocumenteerd?
Als terminalservers slechts zelden worden gebruikt, kan het zinvoller zijn deze verbindingen anders te segmenteren of eigen regels zonder gebruikerscontext te gebruiken. Beslissend is dat de authenticatie bij de werkelijke netwerkarchitectuur past.
Beheerchecklist
Vóór de installatie:
- AD-server op Sophos Firewall werkt.
- Clientnetwerken en Domain Controllers zijn gedocumenteerd.
- Geen NAT verbergt client-IP-adressen.
- Serviceaccount en rechten zijn gedefinieerd.
- Audit Policy is op relevante Domain Controllers actief.
- Exclusion List is voorbereid.
Na de installatie:
- Agent en Collector draaien.
- Poorten tussen Agent, Collector, firewall en clients zijn open.
- Live Users tonen testgebruikers.
- Gebruikersgebaseerde firewallregel treft in de Log Viewer.
- Logoff, gebruikerswissel en technische accounts werden getest.
- Collector-redundantie is gedocumenteerd, indien nodig.
Tijdens beheer:
- Serviceaccount monitoren.
- Exclusion List regelmatig onderhouden.
- Windows-Firewall- en GPO-wijzigingen met STAS vergelijken.
- Subnet-based filters en gemonitorde netwerken regelmatig met de echte clientstructuur vergelijken.
- Na firewall- en Domain-Controller-upgrades STAS testen.
- Vóór SFOS 22.0 MR1 of nieuwer Restrict client traffic during identity probe controleren.
- Bij RDS/Citrix niet met STAS improviseren, maar SATC of een ander ontwerp controleren.
FAQ
Wat is STAS op Sophos Firewall?
Moet de STA Collector op een Domain Controller draaien?
Waarom werkt STAS niet met NAT tussen client en firewall?
Wat hoort in de STAS Exclusion List?
Wanneer heeft men SATC in plaats van STAS nodig?
Waarom moet men STAS vóór SFOS 22 MR1 controleren?
No worden gezet, of de upgrade moet worden uitgesteld.