Przejdz do tresci
Avanet

Konfiguracja STAS na Sophos Firewall

Sophos Firewall

W tym artykule pokazujemy, jak skonfigurować STAS (Sophos Transparent Authentication Suite) na Sophos Firewall z SFOS. W tej instrukcji STA Suite zostanie zainstalowany na serwerze Active Directory.

Wymagania

  • Sophos Firewall z SFOS 16.5 lub nowszym
  • Licencja: Base Firewall
  • Tryb: Gateway
  • Windows Server 2008 R2 lub nowszy

Czym jest STAS?

STAS to skrót od “Sophos Transparent Authentication Suite”. Pakiet zawiera dwa małe narzędzia, które umożliwiają Sophos Firewall tworzenie reguł firewall dla użytkowników Active Directory. Krótki opis obu składników:

  • STA Agent: Ten agent monitoruje żądania uwierzytelniania użytkowników na kontrolerze domeny Active Directory i przesyła te informacje do STA Collector.
  • STA Collector: Zbiera żądania uwierzytelniania użytkowników od STA Agent i przekazuje je do Sophos Firewall.

Jak działa STAS

  1. Użytkownik “Bruce Banner” loguje się na swojej stacji roboczej (172.16.33.100), a Active Directory zezwala na logowanie.
  2. Kontroler domeny tworzy zdarzenie logowania w Security Audit Eventlog. (ID 4758 lub 672)
  3. STAS Agent monitoruje log pod kątem tych zdarzeń.
  4. STAS Collector informuje XG Firewall o logowaniu przez port UDP 6060.
  5. Sophos Firewall aktualizuje Live Users i mapuje ruch z adresu 172.16.33.100 na użytkownika “Bruce Banner”.

1. Przygotowanie ustawień ADS

STAS działa przez monitorowanie logu Active Directory i informowanie firewalla, którzy użytkownicy logują się lub wylogowują. Dlatego ważne jest, aby te zdarzenia były rejestrowane.

Informacja: Poniższe ustawienia trzeba wykonać na każdym serwerze Active Directory, na którym instalowany jest STA Agent.

Aktywacja Audit account logon events

Na serwerze Active Directory otwórz program Local Security Policy. Znajdziesz go w Windows Administrative Tools (secpol.msc). Następnie otwórz Audit account logon events. Przejdź, jak pokazano na zrzucie ekranu poniżej, do Security Settings > Local Policies > Audit Policy i otwórz Audit account logon events.

Zasada Audit account logon events

Następnie aktywuj opcje Success i Failure oraz potwierdź zmiany przyciskiem OK.

Audit account logon events - Audit these attempts

Uruchamianie usługi STAS na osobnym użytkowniku

Jeśli chcesz uruchamiać usługę STAS na osobnym użytkowniku, wykonaj jeszcze poniższe kroki. W przeciwnym razie możesz ten krok pominąć. W Local Security Policy przejdź do ścieżki: Security Settings > Local Policies > User Rights Assignment. Następnie otwórz opcję Log on as a service.

Log on as a service

Kliknij Add User or Group i dodaj wybranego użytkownika.

Właściwości Log on as a service

Otwarcie portów ADS

Na serwerze Active Directory powinny być otwarte następujące porty:

  • STA Collector > XG Firewall (UDP 6060)
  • XG Firewall > STA Collector (UDP 6677)
  • STA Agent > STA Collector (TCP 5566)

Poniższe porty trzeba aktywować tylko wtedy, gdy używasz odpowiednich metod:

Workstation Polling Method (WMI) lub Registry Read Access:

  • Wychodzący TCP 135
  • Wychodzący TCP 445

Logoff Detection Ping:

  • Wychodzący ICMP

STAS Collector Test:

  • Przychodzący/wychodzący UDP 50001

STAS Configuration Sync:

  • Przychodzący/wychodzący TCP 27015

Wskazówka: Usługi RPC, RPC Locator, DCOM i WMI powinny być także aktywne na klientach, jeśli używasz WMI albo Registry Read Access.

2. Dodanie serwera Active Directory na firewallu

Po przygotowaniu Active Directory pod STAS w punkcie 1 możesz dodać AD na Sophos Firewall. Zaloguj się jako administrator do Sophos Firewall (SFOS) i przejdź w menu do strony Authentication > Servers. Następnie kliknij niebieski przycisk Add, aby dodać nowy serwer.

Dodawanie serwera Active Directory na firewallu

W poniższej instrukcji prowadzimy krok po kroku przez wszystkie wymagane pola: Dodawanie Active Directory do Sophos Firewall

3. Pobranie narzędzia STAS

Wracamy teraz do serwera Active Directory. Następnie zainstalujemy na nim STA Suite, który najpierw trzeba pobrać z Sophos Firewall. Zaloguj się jako administrator do Sophos Firewall (SFOS), przejdź w menu do strony Authentication, kliknij trzy kropki w prawym górnym rogu nawigacji kart i wybierz z menu rozwijanego Client downloads.

Menu Client downloads na Sophos Firewall (SFOS)

W sekcji Single Sign-On znajdziesz wymagany pakiet Sophos Transparent Authentication Suite (STAS) do pobrania.

Pobieranie Sophos Transparent Authentication Suite

Informacja: STA Suite możesz też pobrać bezpośrednio ze strony Sophos: UTM Support Downloads

4. Instalacja SSO Suite

Uruchom pobrany plik STAS.exe i przejdź przez instalator. Podczas instalacji pojawi się poniższe okno, w którym możesz wybrać jedną z trzech opcji:

STAS Type of Setup

Domyślnie możesz zostawić wybraną opcję SSO Suite, dzięki czemu wszystkie komponenty zostaną zainstalowane na serwerze Active Directory. Jeśli jednak chcesz zainstalować STA Collector i STA Agent na dwóch różnych systemach, musisz odpowiednio dopasować wybór. Jeśli masz dwa serwery Active Directory, na obu systemach potrzebny jest STA Agent, ale tylko jeden STA Collector. Również tutaj dostosuj wybór do swojej sytuacji.

Podczas instalacji trzeba podać użytkownika, na którym usługa zostanie zainstalowana i uruchomiona. W tej instrukcji używam dla uproszczenia administratora domeny, ponieważ na pewno ma wymagane uprawnienia. W środowisku produkcyjnym lepiej utworzyć do tego osobnego użytkownika.

5. Konfiguracja STAS

Po instalacji trzeba jeszcze skonfigurować STA Suite. W kolejnych krokach omawiamy najważniejsze ustawienia.

STAS General

W karcie General możesz później zmienić użytkownika, na którym uruchamiana jest usługa. Sprawdź tutaj przede wszystkim, czy podano poprawną nazwę NetBIOS i FQDN.

Ogólne ustawienia STAS

STA Agent

Spójrzmy, na co trzeba zwrócić uwagę w karcie STA Agent:

  • STA Agent Mode: W naszym przykładzie możemy wybrać EVENTLOG, ponieważ STA Collector jest zainstalowany na tym samym systemie co STA Agent.
  • Specify the networks to be monitored: Tutaj podaje się wszystkie sieci, w których znajdują się klienci.
Konfiguracja STA Agent

STA Collector

Spójrzmy, na co trzeba zwrócić uwagę w karcie STA Collector:

  • Sophos Appliance: Tutaj podaje się adres IP Sophos Appliance.
  • Dead entry timeout: Ta wartość jest domyślnie ustawiona na 0 godzin. W praktyce sensowne może być także 12 godzin, aby klienci po pewnym czasie byli automatycznie wylogowywani.
Konfiguracja STA Collector

Aby walidować zalogowanych użytkowników, w sekcji Workstation Polling Method dostępne są dwie opcje: domyślna WMI Verification albo alternatywnie Registry Read Access. W obu przypadkach na kliencie musi działać odpowiednia usługa.

WMI:

  • Remote Procedure Call (RPC)
  • Remote Procedure Call (RPC) Locator

Registry Read Access:

  • Remote Registry

STA Collector musi mieć dostęp do klientów. Jeśli na kliencie aktywna jest Windows Firewall, można utworzyć regułę przez PowerShell:

New-Netfirewall –DisplayName "Sophos STAS Collector" -Direction inbound –RemoteAddress 10.10.10.10

6. Aktywacja STAS na Sophos Firewall

Jeśli wykonałeś tę instrukcję do tego miejsca, dane ze STA Collector powinny już trafiać do firewalla. Aby firewall mógł je przyjmować, trzeba jeszcze aktywować STAS na firewallu.

Przejdź na Sophos Firewall do strony Authentication > STAS i przesuń górny przełącznik na ON. Aby firewall wiedział, od którego kolektora może odbierać dane, kliknij na końcu niebieski przycisk Add new collector i wpisz adres IP systemu, na którym zainstalowano kolektor.

Ustawienia STAS na Sophos Firewall (SFOS)

Jeśli wszystko zostało wykonane poprawnie, w dashboardzie firewalla oraz w Live Viewer pod Authentication zobaczysz zalogowanych użytkowników z serwera Active Directory.

Widok Live Users w dashboardzie SFOS

7. Utworzenie reguły firewall

Jeśli testy zakończyły się powodzeniem, możesz zacząć tworzyć własne reguły firewall dla konkretnych użytkowników lub grup synchronizowanych z AD do firewalla. Na zrzucie ekranu poniżej utworzyliśmy przykładową regułę, która pozwala administratorowi korzystać z RDP (3389) do Internetu.

Reguła firewall dla administratora z dostępem RDP do Internetu

Dalsze tematy

STAS został już pomyślnie skonfigurowany na Sophos Firewall. Poniżej znajdziesz jeszcze dodatkowe informacje, które mogą być przydatne na tym etapie.

Rozwiązywanie problemów

Mija pewien czas, zanim serwer Active Directory przekaże użytkowników do firewalla. Aby firewall w tym czasie nie blokował po prostu ruchu, domyślnie przez 120 sekund dozwolony jest ruch nieuwierzytelniony. Jeśli chcesz ręcznie zmienić tę wartość, możesz zrobić to przez CLI:

system auth cta unauth-traffic drop-period

Sophos Authentication for Thin Client (SATC)

STAS sprawdza się dobrze, gdy w sieci masz pojedyncze stacje klienckie. Jeśli jednak używasz Remote Desktop Server albo Citrix, STAS nie działa w ten sposób. W takim przypadku potrzebna jest Server Protection.

Większe środowiska

W tej instrukcji opisaliśmy standardowy wariant konfiguracji STAS. Istnieją jednak również szczególne przypadki, na przykład środowiska z kilkoma serwerami Active Directory, podsieciami i domenami. W takiej sytuacji chętnie pomożemy w konfiguracji. Skontaktuj się z nami z odpowiednim zapytaniem.