STAS op een Sophos Firewall instellen (SFOS)

Dit artikel laat zien hoe STAS (Sophos Transparent Authentication Suite) op een Sophos Firewall wordt ingesteld.

Belangrijk vooraf: alleen de STA Agent moet op een domain controller draaien. De STA Collector kan op hetzelfde systeem worden geïnstalleerd, maar in grotere omgevingen ook apart op een ander Windows-systeem worden gebruikt. Juist deze scheiding maakt veel STAS-installaties vandaag robuuster en eenvoudiger te onderhouden.

STAS is vooral bedoeld voor klassieke Windows-clients in een Active Directory-domain. Als meerdere gebruikers hetzelfde bron-IP gebruiken, bijvoorbeeld op Remote Desktop Servers of Citrix-systemen, moet de aanpak anders worden gepland. Dan is SATC of een andere authenticatiemethode meestal geschikter dan klassiek STAS.

Vereisten

• Sophos Firewall met SFOS 16.5 of hoger
• Licentie: Base Firewall
• Modus: Gateway
• Windows Server 2008 R2 of nieuwer
• Active Directory met bereikbare domain controllers
• Windows-clients zijn lid van het AD-domain
• Geen NAT tussen clients, STA Collector en Sophos Firewall
• Client Authentication is in Device access toegestaan voor de betrokken zones

Wat is STAS?

STAS staat voor Sophos Transparent Authentication Suite. De suite stuurt aanmeldingsinformatie uit Active Directory naar de Sophos Firewall, zodat gebruikers of groepen in firewallregels kunnen worden gebruikt.

De twee hoofdcomponenten zijn:

• STA Agent: deze agent bewaakt gebruikersauthenticatieverzoeken op een Active Directory domain controller en stuurt deze informatie naar de STA Collector.
• STA Collector: verzamelt de gebruikersauthenticatie-informatie van de STA Agent en stuurt deze door naar de Sophos Firewall.

Hoe werkt STAS?

1. Een gebruiker meldt zich aan op een workstation en Active Directory staat dit toe.
2. De domain controller schrijft de aanmeldingsevents naar het Security Event Log.
3. De STAS Agent bewaakt het log op deze events.
4. De STAS Collector informeert de Sophos Firewall over de aanmelding.
5. De Sophos Firewall werkt de Live Users bij en kan traffic aan de juiste firewallregel koppelen.

In de praktijk zijn er twee belangrijke detectiemethoden:

• Logon-detectie via het Event Log: de STA Agent detecteert een aanmeldingsevent op de domain controller en stuurt dit naar de collector.
• Workstation Polling: als de firewall voor een IP-adres nog geen Live User kent, kan hij de collector bevragen. De collector controleert de client dan, afhankelijk van de configuratie, via WMI of Registry Read Access.

Om dit betrouwbaar te laten werken, moet de firewall het echte client-IP zien. Als er NAT tussen client, collector en firewall staat, kan STAS gebruikers niet betrouwbaar aan een bron-IP koppelen.

Video tutorial

1. ADS-instellingen uitvoeren

STAS werkt door het log van Active Directory te bewaken en de firewall door te geven welke gebruikers zich aanmelden of afmelden. Daarvoor is het belangrijk dat deze events ook worden gelogd.

Info: de volgende instellingen moeten worden uitgevoerd op elke Active Directory-server waarop de STA Agent wordt geïnstalleerd.

Daarnaast is het zinvol om vóór de installatie de NetBIOS-naam, FQDN en Search DN van het domain te noteren. Deze waarden zijn later nodig in de Sophos Firewall en in de STAS-configuratie. Als de Search DN verkeerd is of de LDAP-query te breed wordt gekozen, werken groepsresolutie en gebruikerskoppeling later vaak slechts gedeeltelijk.

Audit account logon events activeren

Open op de Active Directory-server het programma Local Security Policy. Dit is te vinden in de Windows Administrative Tools (secpol.msc). Open daarna onder Security Settings > Local Policies > Audit Policy de vermelding Audit account logon events.

Activeer vervolgens de opties Success en Failure en bevestig de wijzigingen met OK.

STAS-service met eigen gebruiker starten

Als de STAS-service met een eigen gebruiker moet worden gestart, open dan daarnaast in Local Security Policy onder Security Settings > Local Policies > User Rights Assignment de optie Log on as a service.

Selecteer vervolgens Add User or Group en voeg de gewenste gebruiker toe.

Sophos gebruikt in veel voorbeelden een AD-administratoraccount, omdat STAS Event Logs op de domain controller leest, de service moet starten en stoppen en afhankelijk van de pollingmethode WMI-query’s naar clients stuurt. In productieomgevingen moet het gebruikte account duidelijk worden gedocumenteerd, beschermd en vooraf getest. Als een dedicated serviceaccount wordt gebruikt, moeten precies deze rechten betrouwbaar werken.

ADS-poorten openen

Tussen domain controller, collector, clients en Sophos Firewall moeten de benodigde poorten bereikbaar zijn. Als typische basis gelden:

• STA Collector > Sophos Firewall (UDP 6060)
• Sophos Firewall > STA Collector (UDP 6677)
• STA Agent > STA Collector (TCP 5566)

De volgende poorten hoeven alleen te worden geactiveerd als deze methoden daadwerkelijk worden gebruikt:

Workstation Polling Method (WMI) of Registry Read Access:

• Uitgaand TCP 135
• Uitgaand TCP 445

Logoff Detection Ping:

• Uitgaand ICMP

STAS Collector Test:

• Ingaand/uitgaand UDP 50001

STAS Configuration Sync:

• Ingaand/uitgaand TCP 27015

Opmerking: RPC, RPC Locator, DCOM en WMI Services moeten op de clients voor WMI/Registry Read Access eveneens geactiveerd zijn.

2. Active Directory-server op de firewall toevoegen

Nadat Active Directory onder punt 1 is voorbereid, kan deze op de Sophos Firewall worden toegevoegd. Open in WebAdmin Authentication > Servers en maak via Add een nieuwe server aan.

De afzonderlijke velden worden in de aparte handleiding Active Directory aan Sophos Firewall toevoegen gedetailleerd beschreven.

3. STAS-tool downloaden

Als volgende stap wordt het Windows-systeem voorbereid waarop STAS moet worden geïnstalleerd. De STA Suite wordt rechtstreeks via de Sophos Firewall gedownload. Open in WebAdmin Authentication en selecteer rechtsboven in het menu Client downloads.

In de rubriek Single Sign-on staat de benodigde Sophos Transparent Authentication Suite (STAS) om te downloaden.

4. SSO Suite installeren

Voer de gedownloade STAS.exe uit en start de installer. Tijdens de installatie verschijnt een keuzescherm met meerdere setup-varianten:

Standaard kan SSO Suite geselecteerd blijven, waarmee alle componenten op hetzelfde systeem worden geïnstalleerd. Als agent en collector gescheiden moeten worden gebruikt, moet de selectie overeenkomstig worden aangepast. Bij meerdere domain controllers is op elke relevante domain controller een STA Agent nodig, maar meestal slechts één STA Collector.

De installatie moet met Run as administrator worden gestart, zodat Windows-rechten tijdens de installatie niet onnodig storen.

Tijdens de installatie wordt ook het serviceaccount gedefinieerd. In productieomgevingen moet duidelijk gedocumenteerd zijn welk account wordt gebruikt, welke rechten het heeft en hoe wachtwoordwijzigingen worden gepland.

5. STAS configureren

Na de installatie moet de STA Suite nog worden geconfigureerd. In de volgende stappen worden de relevante instellingen behandeld.

STAS General

Op het tabblad General kan de gebruiker voor de service achteraf worden aangepast. Vooral moet worden gecontroleerd of NetBIOS-naam en FQDN correct zijn ingevoerd.

STA Agent

Op het tabblad STA Agent zijn vooral deze punten relevant:

• STA Agent Mode: als agent en collector op hetzelfde systeem draaien, is EVENTLOG het typische startpunt.
• Specify the networks to be monitored: hier worden alle netwerken opgegeven waarin de clients zich bevinden.
• Domain Controller IP: alleen invullen als de STA Agent niet rechtstreeks op de domain controller is geïnstalleerd. Draait de agent op de domain controller zelf, dan blijft dit veld normaal gesproken leeg.
• Collector List: hier worden de collector-systemen ingevoerd waarnaar de agent zijn informatie stuurt.

STA Collector

Op het tabblad STA Collector zijn vooral deze punten relevant:

• Sophos Appliance: hier wordt het IP-adres van de Sophos Appliance opgegeven.
• Workstation Polling Method: WMI is het typische startpunt; Registry Read Access is een alternatief voor passende Windows-omgevingen.
• Enable Logoff Detection: logoff-detectie moet bewust worden gepland. Ze mag niet tegelijk op meerdere plaatsen verschillend werken.
• Dead entry timeout: deze waarde moet bewust worden ingesteld en passend bij de gebruikte STAS-versie worden getest. Bij oudere STAS-versies waren er gevallen waarin een andere waarde dan 0 problemen veroorzaakte.

Als de Sophos Firewall als HA-cluster wordt gebruikt, moet in de collector het interne interface-IP van de firewall worden gebruikt, niet een aparte peer-administratie-adres.

Exclusion List

De Exclusion List is belangrijk, zodat technische accounts de gebruikerskoppeling niet vervalsen. Typische kandidaten zijn serviceaccounts, update-services, backup-agents of monitoringaccounts die zich op de achtergrond op clients aanmelden.

Zonder Exclusion List kan een echte gebruiker uit de Live User-status verdwijnen, omdat kort daarna een serviceaccount op dezelfde client actief wordt. Daarom moeten minstens deze accounts worden gecontroleerd:

• Serviceaccounts voor softwaredistributie, backup, monitoring of endpoint-tools
• Administrator- en installatieaccounts die niet als normale gebruikerstraffic moeten gelden
• Server-IP’s, netwerkapparaten en systemen waarop STAS geen normale werkplekgebruikers moet verwachten

Om aangemelde gebruikers te valideren, zijn er onder Workstation Polling Method twee opties: de standaard geselecteerde WMI-verificatie of als alternatief Registry Read Access. In beide gevallen moet op de client een service worden uitgevoerd.

WMI:

• Remote Procedure Call (RPC)
• Remote Procedure Call (RPC) Locator

Registry Read Access:

• Remote Registry

De STA Collector moet toegang hebben tot de clients. Als Windows Firewall op de clients actief is, moet de toegang passen bij de gekozen pollingmethoden.

New-NetFirewallRule -DisplayName "Sophos STAS Collector WMI" -Direction Inbound -RemoteAddress 10.10.10.10 -Action Allow -Profile Domain

Het commando is alleen als template bedoeld. In een productieomgeving moeten profiel, bron-IP, doelpoorten en group policies netjes bij de gekozen pollingmethode passen.

Collector-groepen en redundantie

Voor kleine omgevingen is één collector vaak voldoende. In grotere omgevingen moeten collector-groepen bewust worden gepland:

• Voor elk AD-domain moet een eigen collector-groep worden gebruikt.
• Meerdere collectors in dezelfde groep verhogen de uitvalbestendigheid.
• De Sophos Firewall spreekt normaal gesproken de eerste collector in de groep aan en schakelt bij uitval over naar de volgende.
• Een STA Agent kan meerdere collectors bedienen.
• Een STA Collector kan meerdere Sophos Firewalls bedienen.

Bij meerdere domain controllers is het zinvol om op elke relevante domain controller een STA Agent te gebruiken en minstens twee collectors voor redundantie te plannen. Belangrijk is dat alle agents de geplande collectors kennen en dat de firewall deze collectors in de juiste groep heeft ingesteld.

6. STAS op de Sophos Firewall activeren

Als alles tot hier is voorbereid, kan de Sophos Firewall gegevens van de collector ontvangen.

Open in WebAdmin Authentication > STAS, activeer STAS en voeg daarna de collector of collector-groep met het juiste IP-adres toe.

Als de configuratie werkt, verschijnen de aangemelde gebruikers in het dashboard en in de Live Viewer onder Authentication.

Als hier geen gebruikers verschijnen, moet niet meteen in de firewallregels worden gezocht. Eerst moeten Event Log, STA Agent, STA Collector, collector-groep en Device Access kloppen.

7. Firewallregel maken

Zodra de tests succesvol zijn, kunnen firewallregels met gebruikers of groepen uit Active Directory worden gemaakt. In het voorbeeld hieronder wordt een regel getoond die RDP-traffic voor een administrator toestaat.

Verdere onderwerpen

Na de basisconfiguratie blijven meestal nog twee operationele onderwerpen over: troubleshooting en de grenzen van klassieke STAS-omgevingen.

Troubleshooting

Als aanmeldingen niet correct worden overgenomen, controleer dan eerst het Event Log op de domain controller, de bereikbaarheid tussen agent en collector en de Live Users op de firewall. Voor overgangsfases staat de firewall standaard korte tijd niet-geauthenticeerde traffic toe. Deze waarde kan indien nodig via de CLI worden gecontroleerd of aangepast:

system auth cta unauth-traffic drop-period

Typische controlepunten:

• Wordt bij de gebruikerslogin op de domain controller een passend Security-event gegenereerd?
• Draait de STA Agent en toont hij de verwachte status?
• Is de STA Collector bereikbaar en kent hij de Sophos Firewall?
• Is UDP 6060 naar de firewall en UDP 6677 terug naar de collector toegestaan?
• Werkt WMI of Registry Read Access naar de clients?
• Zijn technische accounts in de Exclusion List opgenomen?
• Is Client Authentication in Device access voor de juiste zone toegestaan?
• Is er NAT tussen client, collector en firewall?

Sophos Authentication For Thin Client (SATC)

Klassiek STAS werkt goed voor normale single-user clients. In Remote Desktop Server-, terminalserver- of Citrix-omgevingen is deze aanpak echter vaak niet voldoende, omdat meerdere gebruikers één bron-IP delen. In zulke gevallen moet worden gecontroleerd of SATC of een andere passende SSO-methode de betere keuze is.

SATC koppelt gebruikers in terminalserver-omgevingen anders dan STAS en is daarom niet simpelweg een vervanging voor elke client, maar een eigen ontwerpvraagstuk. Voor een overstap moet duidelijk zijn welke servers betrokken zijn, welke gebruikersgroepen daarop werken en welke firewallregels echt user-based moeten zijn.

Grotere omgevingen

In deze handleiding is de standaardvariant getoond. In grotere omgevingen met meerdere domain controllers, subnetten of domains moet de rol van agent, collector, polling en fallback-regels bewust worden gepland, in plaats van alleen de basisinstellingen over te nemen.

Verdere documentatie

• Sophos Firewall: Best practice for STAS
• Sophos Firewall: STAS
• Sophos Firewall: LDAP Search Queries
• Sophos Firewall: SATC instellen