Naar de inhoud
Avanet

STAS op een Sophos Firewall instellen (SFOS)

Sophos Firewall

In dit artikel wordt getoond hoe je STAS (Sophos Transparent Authentication Suite) op een Sophos Firewall met SFOS instelt. In deze handleiding wordt de STA Suite op de Active Directory Server geïnstalleerd.

Vereisten

  • Sophos Firewall met SFOS 16.5 of hoger
  • Licentie: Base Firewall
  • Modus: Gateway
  • Windows Server 2008 R2 of nieuwer

Wat is STAS?

STAS staat voor “Sophos Transparent Authentication Suite”. In deze suite zitten twee kleine tools waarmee je Sophos Firewall firewallregels voor je Active Directory-gebruikers kan maken. Kort samengevat:

  • STA Agent: bewaakt gebruikersauthenticatieverzoeken op een Active Directory Domain Controller en stuurt deze informatie naar de STA Collector.
  • STA Collector: verzamelt de gebruikersauthenticatieverzoeken van de STA Agent en stuurt ze daarna naar de Sophos Firewall.

Hoe werkt STAS

  1. De gebruiker “Bruce Banner” meldt zich aan op zijn workstation (172.16.33.100) en Active Directory staat dit toe.
  2. De Domain Controller maakt een login-event in het Security Audit Eventlog. (ID 4758 of 672)
  3. De STAS Agent bewaakt het log op deze events.
  4. De STAS Collector informeert de XG Firewall via UDP-poort 6060 over de login.
  5. De Sophos Firewall werkt de Live Users bij en koppelt traffic van 172.16.33.100 aan de gebruiker “Bruce Banner”.

1. ADS-instellingen uitvoeren

STAS werkt door het log van Active Directory te bewaken en aan de firewall te melden welke gebruikers in- of uitloggen. Daarom is het belangrijk dat deze gebeurtenissen ook worden gelogd.

Info: De volgende instellingen moeten op elke Active Directory Server worden uitgevoerd waarop de STA Agent wordt geïnstalleerd.

Audit account logon events activeren

Open op je Active Directory Server het programma Local Security Policy. Dit vind je in Windows Administrative Tools (secpol.msc). Open daarna Audit account logon events. Ga daarvoor, zoals in de screenshot hieronder, eerst naar Security Settings > Local Policies > Audit Policy en open Audit account logon events.

Audit account logon events Policy

Activeer daarna de opties Success en Failure en bevestig je wijzigingen met OK.

Audit account logon events - Audit these attempts

STAS-service met eigen gebruiker starten

Als je de STAS-service met een eigen gebruiker wilt starten, moet je nog de volgende stappen uitvoeren. Anders kun je deze stap overslaan. Ga in Local Security Policy naar Security Settings > Local Policies > User Rights Assignment. Open daarna de optie Log on as a service.

Log on as a service

Klik daarna op Add User or Group en voeg je gebruiker toe.

Log on as a service Properties

ADS-poorten openen

De Active Directory Server moet de volgende poorten open hebben:

  • STA Collector > XG Firewall (UDP 6060)
  • XG Firewall > STA Collector (UDP 6677)
  • STA Agent > STA Collector (TCP 5566)

De volgende poorten hoef je alleen te activeren als je deze methoden gebruikt:

Workstation Polling Method (WMI) of Registry Read Access:

  • Uitgaand TCP 135
  • Uitgaand TCP 445

Logoff Detection Ping:

  • Uitgaand ICMP

STAS Collector Test:

  • Ingaand/uitgaand UDP 50001

STAS Configuration Sync:

  • Ingaand/uitgaand TCP 27015

Opmerking: RPC, RPC Locator, DCOM en WMI-services moeten op de clients ook actief zijn voor WMI/Registry Read Access.

2. Active Directory Server op de firewall toevoegen

Nadat je onder punt 1 Active Directory met enkele instellingen op STAS hebt voorbereid, is het tijd om AD op je Sophos Firewall toe te voegen. Meld je als administrator aan op je Sophos Firewall (SFOS) en ga via het menu naar Authentication > Server. Klik daarna op de blauwe knop Add om een nieuwe server toe te voegen.

Active Directory Server op de firewall toevoegen

In de volgende handleiding leiden we je stap voor stap door alle benodigde invoer: Active Directory aan Sophos Firewall toevoegen

3. STAS-tool downloaden

We gaan nu terug naar de Active Directory Server. Daar installeren we als volgende stap de STA Suite, die je eerst van je Sophos Firewall moet downloaden. Meld je als administrator aan op je Sophos Firewall (SFOS) en ga via het menu naar Authentication. Klik daarna rechtsboven in de tabnavigatie op de drie punten en kies in het dropdownmenu Client Downloads.

Client-Downloads Dropdown-menu op de Sophos Firewall (SFOS)

In de rubriek Single-Sign-On vind je de benodigde Sophos Transparent Authentication Suite (STAS) om te downloaden.

Sophos Transparent Authentication Suite downloaden

Info: Je kunt de STA Suite ook direct van de Sophos-website downloaden: UTM Support Downloads

4. SSO Suite installeren

Voer nu de gedownloade STAS.exe uit en klik door de installer. Tijdens de installatie verschijnt het volgende venster, waar je tussen drie opties kunt kiezen:

STAS Type of Setup

Standaard kun je hier SSO Suite geselecteerd laten, waardoor alle componenten op Active Directory worden geïnstalleerd. Als je bijvoorbeeld de STA Collector en STA Agent op twee verschillende systemen wilt installeren, moet je de selectie hier aanpassen. Heb je twee Active Directory Servers, dan heb je op beide systemen de STA Agent nodig, maar slechts een STA Collector. Pas de keuze dus aan je situatie aan.

Tijdens de installatie moet je ook een gebruiker opgeven waarmee de service geïnstalleerd en gestart wordt. In deze handleiding gebruik ik eenvoudigheidshalve de domeinadministrator, omdat deze zeker de benodigde rechten heeft. Voor een productieomgeving is een specifieke gebruiker die hiervoor is aangemaakt aan te raden.

5. STAS configureren

Na installatie moet de STA Suite nog worden geconfigureerd. In de volgende stappen behandelen we de relevante instellingen.

STAS General

In de tab General kun je achteraf nog de gebruiker wijzigen waarmee de service wordt gestart. Controleer hier vooral dat de juiste NetBIOS Name en FQDN zijn opgegeven.

Algemene STAS-instellingen

STA Agent

Controleer onder de tab STA Agent vooral het volgende:

  • STA Agent Mode: voor ons voorbeeld kunnen we hier EVENTLOG kiezen, omdat de STA Collector op hetzelfde systeem is geïnstalleerd als de STA Agent.
  • Specify the networks to be monitored: hier worden alle netwerken opgegeven waarin clients zich bevinden.
Configuratie van de STA Agent

STA Collector

Controleer onder de tab STA Collector vooral het volgende:

  • Sophos Appliance: hier wordt het IP van de Sophos Appliance opgegeven.
  • Dead entry timeout: deze waarde staat standaard op 0 uur. Vaak is 12 uur zinvol, zodat clients na enige tijd automatisch worden afgemeld.
Configuratie van de STA Collector

Om aangemelde gebruikers te valideren, zijn er onder Workstation Polling Method twee opties: de standaard geselecteerde WMI-verificatie of alternatief Registry Read Access. In beide gevallen moet op de client een service draaien.

WMI:

  • Remote Procedure Call (RPC)
  • Remote Procedure Call (RPC) Locator

Registry Read Access:

  • Remote Registry

De STA Collector moet toegang krijgen tot de clients. Als de Windows Firewall op een client actief is, kun je via PowerShell een regel maken:

New-Netfirewall –DisplayName "Sophos STAS Collector" -Direction inbound –RemoteAddress 10.10.10.10

6. STAS op de Sophos Firewall activeren

Als je deze handleiding tot hier hebt gevolgd, worden er al data van de STA Collector naar de firewall gestuurd. Om deze data te ontvangen, moet STAS op de firewall nog worden geactiveerd.

Ga op je Sophos Firewall naar Authentication > STAS en zet de bovenste toggle op ON. Om de firewall te laten weten van welke collector hij data mag ontvangen, klik je tot slot op de blauwe knop Add new collector en vul je het IP-adres in van het systeem waarop je de collector hebt geïnstalleerd.

STAS-instellingen op de Sophos Firewall (SFOS)

Als alles goed is ingesteld, zie je in het dashboard van je firewall en in de Live Viewer onder Authentication de aangemelde gebruikers van je Active Directory Server.

Live User-weergave op het SFOS Dashboard

7. Firewallregel maken

Als je tests succesvol zijn, kun je nu beginnen met eigen firewallregels te maken voor specifieke gebruikers of groepen die vanuit AD naar de firewall worden gesynchroniseerd. In de screenshot hieronder hebben we bijvoorbeeld een regel gemaakt waarmee de administrator via RDP (3389) naar internet mag.

Firewallregel voor administrator om via RDP naar internet te gaan

Verdere onderwerpen

Je hebt STAS nu succesvol op je Sophos Firewall ingericht. Hieronder vind je nog extra informatie die op dit punt interessant kan zijn.

Troubleshooting

Het duurt even voordat de Active Directory Server de gebruikers naar de firewall doorgeeft. Om te voorkomen dat de firewall deze traffic ondertussen blokkeert, wordt standaard unauthenticated traffic 120 seconden toegestaan. Als je deze waarde handmatig wilt aanpassen, kan dat via de CLI:

system auth cta unauth-traffic drop-period

Sophos Authentication For Thin Client (SATC)

STAS werkt goed wanneer je afzonderlijke clients in je netwerk hebt. Zodra je echter een Remote Desktop Server of Citrix gebruikt, werkt dit niet. Daarvoor heb je Server Protection nodig.

Grotere omgevingen

In deze handleiding hebben we de algemene standaardvariant uitgelegd voor STAS. Er zijn natuurlijk ook speciale gevallen met meerdere Active Directory Servers, subnetten en domeinen. In zo’n geval ondersteunen we je graag. Stuur ons eenvoudig een passende aanvraag.