Saltar para o conteudo
Avanet

Configurar STAS numa Sophos Firewall (SFOS)

Sophos Firewall

Neste artigo mostramos como configurar STAS (Sophos Transparent Authentication Suite) numa Sophos Firewall com SFOS. Neste guia, a STA Suite é instalada no Active Directory Server.

Requisitos

  • Sophos Firewall com SFOS 16.5 ou superior
  • Licença: Base-Firewall
  • Modo: Gateway
  • Windows Server 2008 R2 ou mais recente

O que é STAS?

STAS significa “Sophos Transparent Authentication Suite”. Esta suite inclui duas pequenas ferramentas que permitem à Sophos Firewall criar regras de firewall para utilizadores Active Directory. Breve descrição dos dois programas:

  • STA Agent: monitoriza pedidos de autenticação de utilizadores num Active Directory Domain Controller e envia esta informação ao STA Collector.
  • STA Collector: recolhe os pedidos de autenticação do STA Agent e envia-os depois à Sophos Firewall.

Como funciona STAS

  1. O utilizador “Bruce Banner” inicia sessão na sua workstation (172.16.33.100) e o Active Directory permite o login.
  2. O Domain Controller cria um evento de login no Security Audit Eventlog. (ID 4758 ou 672)
  3. O STAS Agent monitoriza o log para estes eventos.
  4. O STAS Collector informa a XG Firewall sobre o login através da porta UDP 6060.
  5. A Sophos Firewall atualiza os Live User e mapeia o tráfego de 172.16.33.100 com o utilizador “Bruce Banner”.

1. Configurar ADS

STAS funciona monitorizando o log do Active Directory e informando a firewall sobre que utilizadores iniciam ou terminam sessão. Para isso, é importante que estes eventos sejam registados.

Info: as seguintes definições têm de ser feitas em cada Active Directory Server onde o STA Agent é instalado.

Ativar Audit account logon events

No Active Directory Server, abra o programa Local Security Policy, disponível nas Windows Administrative Tools (secpol.msc). Em seguida, abra Audit account logon events. Para isso, como mostrado na captura abaixo, navegue primeiro para Security Settings > Local Policies > Audit Policy e abra Audit account logon events.

Audit account logon events Policy

Ative depois as opções Success e Failure e confirme as alterações com OK.

Audit account logon events - Audit these attempts

Iniciar STAS Service com utilizador próprio

Se quiser iniciar o serviço STAS com um utilizador próprio, execute ainda estes passos. Caso contrário, pode saltar este passo. Em Local Security Policy, navegue para Security Settings > Local Policies > User Rights Assignment. Abra depois a opção Log on as a service.

Log on as a service

Clique em Add User or Group e adicione o seu utilizador.

Log on as a service Properties

Abrir ADS Ports

O Active Directory Server deve ter as seguintes portas abertas:

  • STA Collector > XG Firewall (UDP 6060)
  • XG Firewall > STA Collector (UDP 6677)
  • STA Agent > STA Collector (TCP 5566)

As portas seguintes só precisam de ser ativadas se também usar estes métodos:

Workstation Polling Method (WMI) ou Registry Read Access:

  • Outgoing TCP 135
  • Outgoing TCP 445

Logoff Detection Ping:

  • Outgoing ICMP

STAS Collector Test:

  • Incoming/Outgoing UDP 50001

STAS Configuration Sync:

  • Incoming/Outgoing TCP 27015

Nota: RPC, RPC locator, DCOM e WMI Services também devem estar ativos nos clientes para WMI/Registry Read Access.

2. Adicionar Active Directory Server à firewall

Depois de preparar o Active Directory para STAS no ponto 1, é altura de adicionar o AD à Sophos Firewall. Inicie sessão como administrador na Sophos Firewall (SFOS) e navegue para Autenticação > Servidor. Clique no botão azul Adicionar para adicionar um novo servidor.

Adicionar servidor Active Directory na firewall

No guia seguinte conduzimos passo a passo por todos os campos necessários: Adicionar Active Directory à Sophos Firewall

3. Descarregar STAS Tool

Voltamos agora ao Active Directory Server. A seguir vamos instalar a STA Suite, que tem primeiro de ser descarregada da Sophos Firewall. Inicie sessão como administrador na Sophos Firewall (SFOS), navegue para Autenticação, clique nos três pontos no canto superior direito da navegação por separadores e selecione Downloads de cliente no menu pendente.

Menu pendente de downloads de cliente na Sophos Firewall (SFOS)

Na rubrica Single-Sign-On encontra a Sophos Transparent Authentication Suite (STAS) necessária para download.

Descarregar Sophos Transparent Authentication Suite

Info: também pode descarregar a STA Suite diretamente da página Sophos: UTM Support Downloads

4. Instalar SSO Suite

Execute agora o ficheiro STAS.exe descarregado e avance pelo instalador. Durante a instalação surge uma janela onde pode escolher entre três opções:

STAS Type of Setup

Por predefinição, pode deixar SSO Suite selecionado, instalando todos os componentes no Active Directory. Se quiser, por exemplo, instalar o STA Collector ou o STA Agent em dois sistemas diferentes, deve ajustar a seleção. Se tiver dois Active Directory Servers, precisa do STA Agent em ambos, mas apenas de um STA Collector. Também aqui deve ajustar conforme a situação.

Durante a instalação, também tem de indicar um utilizador com o qual o serviço será instalado e iniciado. Neste guia uso, para simplificar, o administrador de domínio, pois este tem certamente as permissões necessárias. Em ambiente produtivo, recomenda-se criar um utilizador específico para este fim.

5. Configurar STAS

Após a instalação, a STA Suite ainda tem de ser configurada. Nos passos seguintes abordamos as definições relevantes.

STAS General

No separador General, pode alterar posteriormente o utilizador com que o serviço é iniciado. Verifique especialmente se o NetBIOS name e o FQDN corretos estão indicados.

Definições gerais de STAS

STA Agent

Vejamos o que deve considerar no separador STA Agent:

  • STA Agent Mode: no nosso exemplo podemos escolher EVENTLOG, porque o STA Collector está instalado no mesmo sistema que o STA Agent.
  • Specify the networks to be monitored: aqui são indicadas todas as redes onde se encontram os clientes.
Configuração do STA Agent

STA Collector

Vejamos o que deve considerar no separador STA Collector:

  • Sophos Appliance: aqui é indicado o IP da Sophos Appliance.
  • Dead entry timeout: este valor está por predefinição em 0 horas. No entanto, 12 horas também fariam sentido, para que os clientes sejam automaticamente terminados após algum tempo.
Configuração do STA Collector

Para validar utilizadores autenticados, existem na rubrica Workstation Polling Method duas opções: a verificação WMI selecionada por predefinição ou, alternativamente, Registry Read Access. Em ambos os casos, tem de correr um serviço no cliente.

WMI:

  • Remote Procedure Call (RPC)
  • Remote Procedure Call (RPC) Locator

Registry Read Access:

  • Remote Registry

O STA Collector tem de conseguir aceder aos clientes. Se a Windows Firewall estiver ativa num cliente, pode criar uma regra via PowerShell:

New-Netfirewall –DisplayName "Sophos STAS Collector" -Direction inbound –RemoteAddress 10.10.10.10

6. Ativar STAS na Sophos Firewall

Se seguiu este guia até aqui, o STA Collector já estará a enviar dados à firewall. Para que a firewall aceite estes dados, STAS ainda tem de ser ativado na firewall.

Na Sophos Firewall, navegue para Autenticação > STAS e coloque o interruptor superior em ON. Para que a firewall saiba de que collector pode receber dados, clique por fim no botão azul Adicionar novo collector e introduza o endereço IP do sistema onde instalou o collector.

Definições de STAS na Sophos Firewall (SFOS)

Se tudo estiver correto, verá no dashboard da firewall e no Live Viewer em Authentication os utilizadores autenticados do Active Directory Server.

Apresentação de Live Users no dashboard SFOS

7. Criar regra de firewall

Se todos os testes foram bem-sucedidos, pode começar a criar regras de firewall próprias para utilizadores ou grupos específicos que agora são sincronizados do AD para a firewall. Na captura abaixo criámos, por exemplo, uma regra que permite ao administrador aceder à Internet por RDP (3389).

Regra de firewall para o administrador aceder à Internet por RDP

Tópicos adicionais

Conseguiu configurar STAS com sucesso na Sophos Firewall. Seguem algumas informações adicionais que podem ser úteis neste ponto.

Troubleshooting

Demora algum tempo até o Active Directory Server transmitir os utilizadores à firewall. Para que a firewall não bloqueie simplesmente este tráfego entretanto, por predefinição é permitido tráfego não autenticado durante 120 segundos. Se quiser ajustar manualmente este valor, pode fazê-lo pela CLI:

system auth cta unauth-traffic drop-period

Sophos Authentication For Thin Client (SATC)

STAS é adequado quando existem clientes individuais na rede. Assim que se usa um Remote Desktop Server ou Citrix, isto deixa de funcionar. Aí é necessária Server Protection.

Ambientes maiores

Neste guia explicámos a variante standard geral para configurar STAS. Naturalmente existem casos especiais, por exemplo com vários servidores Active Directory, sub-redes e domínios. Nesse caso, teremos todo o gosto em ajudar. Basta enviar-nos o pedido correspondente. 👍