Konfiguracja STAS na Sophos Firewall (SFOS)

Ten artykuł pokazuje, jak skonfigurować STAS (Sophos Transparent Authentication Suite) na Sophos Firewall.

Na początku ważna uwaga: tylko STA Agent musi działać na kontrolerze domeny. STA Collector może być zainstalowany na tym samym systemie, ale w większych środowiskach może też działać osobno na innym systemie Windows. Właśnie taki podział sprawia, że wiele instalacji STAS jest dziś bardziej odporne i łatwiejsze w utrzymaniu.

STAS jest przeznaczony głównie dla klasycznych klientów Windows w domenie Active Directory. Jeśli wielu użytkowników korzysta z tego samego adresu IP źródłowego, na przykład na serwerach Remote Desktop lub systemach Citrix, podejście trzeba zaplanować inaczej. Wtedy SATC albo inna metoda uwierzytelniania jest zwykle lepszym wyborem niż klasyczny STAS.

Wymagania

• Sophos Firewall z SFOS 16.5 lub nowszym
• Licencja: Base Firewall
• Tryb: Gateway
• Windows Server 2008 R2 lub nowszy
• Active Directory z osiągalnymi kontrolerami domeny
• Klienci Windows są członkami domeny AD
• Brak NAT między klientami, STA Collector i Sophos Firewall
• Client Authentication jest dozwolone w Device access dla odpowiednich stref

Czym jest STAS?

STAS oznacza Sophos Transparent Authentication Suite. Pakiet przekazuje informacje logowania z Active Directory do Sophos Firewall, aby użytkownicy lub grupy mogli być używani w regułach firewall.

Dwa główne komponenty to:

• STA Agent: ten agent monitoruje żądania uwierzytelniania użytkowników na kontrolerze domeny Active Directory i wysyła te informacje do STA Collector.
• STA Collector: zbiera informacje uwierzytelniania użytkowników od STA Agent i przekazuje je do Sophos Firewall.

Jak działa STAS?

1. Użytkownik loguje się na stacji roboczej, a Active Directory zezwala na logowanie.
2. Kontroler domeny zapisuje zdarzenia logowania w Security Event Log.
3. STAS Agent monitoruje log pod kątem tych zdarzeń.
4. STAS Collector informuje Sophos Firewall o logowaniu.
5. Sophos Firewall aktualizuje Live Users i może przypisać ruch do odpowiedniej reguły firewall.

W praktyce istnieją dwie ważne metody rozpoznawania:

• Rozpoznawanie logowania przez Event Log: STA Agent wykrywa zdarzenie logowania na kontrolerze domeny i wysyła je do collectora.
• Workstation Polling: jeśli firewall nie zna jeszcze Live User dla danego adresu IP, może odpytać collector. Collector sprawdza wtedy klienta, zależnie od konfiguracji, przez WMI albo Registry Read Access.

Aby działało to poprawnie, firewall musi widzieć prawdziwy adres IP klienta. Jeśli między klientem, collectorem i firewallem znajduje się NAT, STAS nie może wiarygodnie przypisać użytkowników do adresu IP źródłowego.

Wideo tutorial

1. Przygotowanie ustawień ADS

STAS działa przez monitorowanie logu Active Directory i informowanie firewalla, którzy użytkownicy logują się lub wylogowują. Dlatego ważne jest, aby te zdarzenia były również logowane.

Informacja: poniższe ustawienia należy wykonać na każdym serwerze Active Directory, na którym instalowany jest STA Agent.

Przed instalacją warto także zanotować nazwę NetBIOS, FQDN i Search DN domeny. Te wartości będą później potrzebne w Sophos Firewall i w konfiguracji STAS. Jeśli Search DN jest błędny albo zapytanie LDAP jest zbyt szerokie, rozwiązywanie grup i przypisywanie użytkowników często działa tylko częściowo.

Aktywacja Audit account logon events

Na serwerze Active Directory otworzyć Local Security Policy. Narzędzie znajduje się w Windows Administrative Tools (secpol.msc). Następnie w Security Settings > Local Policies > Audit Policy otworzyć pozycję Audit account logon events.

Następnie aktywować opcje Success i Failure i potwierdzić zmiany przyciskiem OK.

Uruchamianie usługi STAS na dedykowanym użytkowniku

Jeśli usługa STAS ma być uruchamiana na dedykowanym użytkowniku, należy dodatkowo w Local Security Policy, pod Security Settings > Local Policies > User Rights Assignment, otworzyć opcję Log on as a service.

Następnie wybrać Add User or Group i dodać wybranego użytkownika.

Sophos w wielu przykładach używa konta administratora AD, ponieważ STAS czyta Event Logs na kontrolerze domeny, musi uruchamiać i zatrzymywać usługę oraz, zależnie od metody polling, wysyła zapytania WMI do klientów. W środowiskach produkcyjnych używane konto powinno być jasno udokumentowane, zabezpieczone i wcześniej przetestowane. Jeśli używane jest dedykowane konto serwisowe, dokładnie te uprawnienia muszą działać niezawodnie.

Otwarcie portów ADS

Wymagane porty muszą być osiągalne między kontrolerem domeny, collectorem, klientami i Sophos Firewall. Typowa baza to:

• STA Collector > Sophos Firewall (UDP 6060)
• Sophos Firewall > STA Collector (UDP 6677)
• STA Agent > STA Collector (TCP 5566)

Poniższe porty trzeba aktywować tylko wtedy, gdy te metody są faktycznie używane:

Metoda Workstation Polling (WMI) albo Registry Read Access:

• Wychodzący TCP 135
• Wychodzący TCP 445

Logoff Detection Ping:

• Wychodzący ICMP

STAS Collector Test:

• Przychodzący/wychodzący UDP 50001

STAS Configuration Sync:

• Przychodzący/wychodzący TCP 27015

Wskazówka: usługi RPC, RPC Locator, DCOM i WMI powinny być również aktywne na klientach dla WMI/Registry Read Access.

2. Dodanie serwera Active Directory na firewallu

Po przygotowaniu Active Directory w punkcie 1 można dodać go na Sophos Firewall. W WebAdmin otworzyć Authentication > Servers i utworzyć nowy serwer przez Add.

Poszczególne pola są szczegółowo opisane w osobnym przewodniku Dodawanie Active Directory do Sophos Firewall.

3. Pobranie narzędzia STAS

Następnie przygotowuje się system Windows, na którym ma zostać zainstalowany STAS. STA Suite pobiera się bezpośrednio z Sophos Firewall. W WebAdmin otworzyć Authentication i z menu w prawym górnym rogu wybrać Client downloads.

W sekcji Single Sign-on znajduje się wymagana Sophos Transparent Authentication Suite (STAS) do pobrania.

4. Instalacja SSO Suite

Uruchomić pobrany plik STAS.exe i rozpocząć instalację. Podczas instalacji pojawia się okno wyboru z kilkoma wariantami setup:

Domyślnie można pozostawić wybrane SSO Suite, co instaluje wszystkie komponenty na tym samym systemie. Jeśli agent i collector mają działać osobno, wybór trzeba odpowiednio zmienić. Przy kilku kontrolerach domeny potrzebny jest STA Agent na każdym istotnym kontrolerze domeny, ale zwykle tylko jeden STA Collector.

Instalację należy uruchomić z Run as administrator, aby uprawnienia Windows nie przeszkadzały niepotrzebnie podczas instalacji.

Podczas instalacji definiowane jest również konto serwisowe. W środowiskach produkcyjnych powinno być jasno udokumentowane, które konto jest używane, jakie ma uprawnienia i jak planowane są zmiany hasła.

5. Konfiguracja STAS

Po instalacji trzeba jeszcze skonfigurować STA Suite. Poniższe kroki opisują istotne ustawienia.

STAS General

Na karcie General można później zmienić użytkownika usługi. Przede wszystkim należy sprawdzić, czy nazwa NetBIOS i FQDN są wpisane poprawnie.

STA Agent

Na karcie STA Agent szczególnie ważne są te punkty:

• STA Agent Mode: jeśli agent i collector działają na tym samym systemie, EVENTLOG jest typowym punktem startowym.
• Specify the networks to be monitored: tutaj wpisuje się wszystkie sieci, w których znajdują się klienci.
• Domain Controller IP: ustawiać tylko wtedy, gdy STA Agent nie jest zainstalowany bezpośrednio na kontrolerze domeny. Jeśli agent działa na samym kontrolerze domeny, to pole zwykle pozostaje puste.
• Collector List: tutaj wpisuje się systemy collector, do których agent wysyła informacje.

STA Collector

Na karcie STA Collector szczególnie ważne są te punkty:

• Sophos Appliance: tutaj wpisuje się adres IP Sophos Appliance.
• Workstation Polling Method: WMI jest typowym punktem startowym, Registry Read Access jest alternatywą dla odpowiednich środowisk Windows.
• Enable Logoff Detection: wykrywanie wylogowania należy zaplanować świadomie. Nie powinno działać równocześnie w kilku miejscach w różny sposób.
• Dead entry timeout: tę wartość należy ustawić świadomie i przetestować z używaną wersją STAS. W starszych wersjach STAS zdarzały się przypadki, w których wartość inna niż 0 powodowała problemy.

Jeśli Sophos Firewall działa jako klaster HA, w collectorze należy użyć wewnętrznego adresu IP interfejsu firewalla, a nie oddzielnego adresu administracyjnego peera.

Exclusion List

Exclusion List jest ważna, aby konta techniczne nie fałszowały przypisania użytkowników. Typowymi kandydatami są konta serwisowe, usługi aktualizacji, agenci backupu lub konta monitoringu, które logują się na klientach w tle.

Bez Exclusion List może się zdarzyć, że prawdziwy użytkownik zniknie ze statusu Live User, ponieważ krótko później na tym samym kliencie aktywne będzie konto serwisowe. Dlatego należy sprawdzić co najmniej te konta:

• Konta serwisowe dla dystrybucji oprogramowania, backupu, monitoringu lub narzędzi endpoint
• Konta administratorów i instalacyjne, które nie powinny być traktowane jako normalny ruch użytkownika
• Adresy IP serwerów, urządzenia sieciowe i systemy, na których STAS nie powinien oczekiwać normalnych użytkowników stacji roboczych

Aby walidować zalogowanych użytkowników, w sekcji Workstation Polling Method dostępne są dwie opcje: domyślna weryfikacja WMI albo alternatywnie Registry Read Access. W obu przypadkach na kliencie musi działać usługa.

WMI:

• Remote Procedure Call (RPC)
• Remote Procedure Call (RPC) Locator

Registry Read Access:

• Remote Registry

STA Collector musi mieć dostęp do klientów. Jeśli Windows Firewall jest aktywny na klientach, dostęp musi pasować do wybranych metod polling.

New-NetFirewallRule -DisplayName "Sophos STAS Collector WMI" -Direction Inbound -RemoteAddress 10.10.10.10 -Action Allow -Profile Domain

Polecenie należy traktować wyłącznie jako szablon. W środowisku produkcyjnym profil, źródłowy adres IP, porty docelowe i group policies powinny dokładnie odpowiadać wybranej metodzie polling.

Grupy collectorów i redundancja

W małych środowiskach często wystarcza jeden collector. W większych środowiskach grupy collectorów powinny być planowane świadomie:

• Dla każdej domeny AD należy używać osobnej grupy collectorów.
• Kilka collectorów w tej samej grupie zwiększa odporność na awarie.
• Sophos Firewall zwykle kontaktuje się z pierwszym collectorem w grupie i w razie awarii przełącza się na następny.
• Jeden STA Agent może obsługiwać kilka collectorów.
• Jeden STA Collector może obsługiwać kilka Sophos Firewalls.

Przy kilku kontrolerach domeny sensowne jest uruchomienie STA Agent na każdym istotnym kontrolerze domeny i zaplanowanie co najmniej dwóch collectorów dla redundancji. Ważne jest, aby wszyscy agents znali przewidziane collectory, a firewall miał te collectory zapisane w odpowiedniej grupie.

6. Aktywacja STAS na Sophos Firewall

Gdy wszystko do tego momentu zostało przygotowane, Sophos Firewall może odbierać dane z collectora.

W WebAdmin otworzyć Authentication > STAS, aktywować STAS, a następnie wprowadzić collector lub grupę collectorów z odpowiednim adresem IP.

Jeśli konfiguracja działa, zalogowani użytkownicy pojawiają się w dashboardzie i w Live Viewer pod Authentication.

Jeśli nie pojawiają się tu użytkownicy, nie należy od razu szukać problemu w regułach firewall. Najpierw muszą pasować Event Log, STA Agent, STA Collector, grupa collectorów i Device Access.

7. Utworzenie reguły firewall

Gdy testy zakończą się sukcesem, można tworzyć reguły firewall z użytkownikami lub grupami z Active Directory. Poniższy przykład pokazuje regułę, która pozwala administratorowi na ruch RDP.

Dalsze tematy

Po konfiguracji podstawowej zwykle pozostają jeszcze dwa tematy operacyjne: troubleshooting oraz ograniczenia klasycznych środowisk STAS.

Troubleshooting

Jeśli logowania nie są poprawnie przejmowane, należy najpierw sprawdzić Event Log na kontrolerze domeny, osiągalność między agentem i collectorem oraz Live Users na firewallu. Na czas przejściowy firewall domyślnie przez krótki okres zezwala na ruch nieuwierzytelniony. W razie potrzeby tę wartość można sprawdzić lub zmienić przez CLI:

system auth cta unauth-traffic drop-period

Typowe punkty kontrolne:

• Czy przy logowaniu użytkownika na kontrolerze domeny powstaje odpowiednie zdarzenie Security?
• Czy STA Agent działa i pokazuje oczekiwany status?
• Czy STA Collector jest osiągalny i zna Sophos Firewall?
• Czy UDP 6060 do firewalla i UDP 6677 z powrotem do collectora są dozwolone?
• Czy WMI albo Registry Read Access do klientów działa?
• Czy konta techniczne są wpisane do Exclusion List?
• Czy Client Authentication jest dozwolone w Device access dla właściwej strefy?
• Czy między klientem, collectorem i firewallem istnieje NAT?

Sophos Authentication For Thin Client (SATC)

Klasyczny STAS działa dobrze dla normalnych klientów jednoosobowych. W środowiskach Remote Desktop Server, terminal server lub Citrix takie podejście często jednak nie wystarcza, ponieważ wielu użytkowników dzieli jeden adres IP źródłowy. W takich przypadkach należy sprawdzić, czy SATC albo inna odpowiednia metoda SSO nie jest lepszym wyborem.

SATC przypisuje użytkowników w środowiskach terminal server inaczej niż STAS i dlatego nie jest po prostu zamiennikiem dla każdego klienta, lecz osobnym tematem projektowym. Przed zmianą powinno być jasne, których serwerów to dotyczy, które grupy użytkowników na nich pracują i które reguły firewall naprawdę muszą być oparte na użytkownikach.

Większe środowiska

W tej instrukcji pokazano wariant standardowy. W większych środowiskach z kilkoma kontrolerami domeny, subnetami lub domenami rola agenta, collectora, polling i reguł fallback powinna być planowana świadomie, zamiast tylko przejmować ustawienia podstawowe.

Dalsza dokumentacja

• Sophos Firewall: Best practice for STAS
• Sophos Firewall: STAS
• Sophos Firewall: LDAP Search Queries
• Sophos Firewall: konfiguracja SATC