Saltar para o conteudo
Avanet

Configurar STAS numa Sophos Firewall (SFOS)

STAS significa Sophos Transparent Authentication Suite. A função associa logins Windows do Active Directory a um IP de cliente, para que a Sophos Firewall possa usar utilizadores e grupos em regras de firewall sem que os utilizadores tenham de iniciar sessão separadamente no browser ou num portal.

Isto continua a ser útil em domínios Windows clássicos. Ao mesmo tempo, STAS não é um SSO universal. A associação só funciona de forma fiável quando a firewall vê o IP real do cliente, os Domain Controllers escrevem os eventos de login adequados e as contas técnicas são excluídas corretamente. Para ambientes RDS, Terminal Server ou Citrix, normalmente é necessário outro desenho, por exemplo SATC.

Quando STAS faz sentido

STAS adequa-se sobretudo a ambientes com clientes Windows normais num domínio Active Directory. Objetivos típicos:

  • Regras de firewall com utilizadores AD ou grupos AD
  • Reporting com referência a utilizadores em vez de apenas endereços IP
  • associação transparente de utilizadores sem Captive Portal
  • regras de Internet para redes internas de clientes
  • autenticação complementar em ambientes sem desenho de Entra ID SSO

STAS é menos adequado quando vários utilizadores usam o mesmo IP de origem. Isto inclui, por exemplo, Remote Desktop Server, Terminal Server, Citrix Server ou sistemas com NAT entre cliente e firewall. Nesses casos, deve ser verificado cedo se Sophos Authentication for Thin Client (SATC) ou outro modelo de autenticação se adequa melhor.

Vídeo tutorial

Os seguintes Sophos Techvids mostram visualmente a instalação STAS. Os vídeos foram criados com SFOS v21, mas continuam úteis para o princípio base, a arquitetura e os passos de configuração mais importantes. Algumas janelas podem ter aspeto ligeiramente diferente em SFOS 22.

Parte 1: visão geral STAS, desenho de rede, componentes e Logon Detection.
Parte 2: requisitos, configuração da firewall, Windows AD, STA Agent e STA Collector.
Resumo da série de instalação STAS.

Como funciona

STAS é composto por dois componentes:

ComponenteFunção
STA AgentCorre num Domain Controller ou num sistema Windows adequado e deteta eventos de login AD
STA CollectorRecolhe informações de um ou vários STA Agents e transmite-as à Sophos Firewall

O processo típico:

  1. Um utilizador inicia sessão num cliente Windows.
  2. O Active Directory escreve um Security Event adequado.
  3. O STA Agent lê esse evento.
  4. O STA Collector recebe utilizador, IP de cliente e informação de domínio.
  5. A Sophos Firewall atualiza os Live Users.
  6. As regras de firewall podem avaliar utilizadores ou grupos.

Além disso, o Collector pode verificar clientes por WMI ou Registry Read Access. Este Workstation Polling ajuda a associar um endereço IP a um utilizador ou a corrigir entradas antigas. Para isso, Windows Firewall, serviços, permissões e caminhos de rede têm de estar corretos.

Requisitos

Antes da instalação, estes pontos devem estar esclarecidos:

  • Sophos Firewall corre em Gateway Mode.
  • Active Directory já está ligado à firewall.
  • Domain Controllers escrevem os eventos de login necessários.
  • Clientes Windows são membros do domínio.
  • Não existe NAT entre clientes, Collector e Sophos Firewall.
  • Client Authentication está permitido em Device Access para as zonas afetadas.
  • DNS, tempo, routing e regras de firewall entre os sistemas envolvidos estão corretos.
  • Uma conta de serviço e um processo de alteração de password estão definidos.
  • Contas técnicas para Exclusions são conhecidas.

Segundo a documentação oficial, STAS 2.5 e mais recente suporta Windows Server 2008 R2, 2012 R2, 2016, 2019, 2022 e 2025. Para novas instalações, ainda assim não se deve planear com gerações de servidor antigas. O relevante é sobretudo que STAS possa operar diretamente num Domain Controller ou, a partir de STAS 2.5, também num Member Server. Em desenhos com Member Server, deve ser verificado com especial rigor se acesso ao Event Log, acesso WMI/Registry e caminhos de rede estão realmente corretos.

A própria ligação AD está descrita em Ligar Active Directory à Sophos Firewall. STAS não deve ser entendido como substituto de uma configuração limpa de servidor AD.

Se, ao longo dos anos, surgirem muitos utilizadores e grupos na firewall, o limite de User-ID da Sophos Firewall também deve ser acompanhado. Isto é especialmente relevante quando funções de Portal ou VPN falham apenas para utilizadores individuais.

Planear a arquitetura

Em ambientes pequenos, Agent e Collector podem correr no mesmo Domain Controller. Isto é simples, mas nem sempre é a melhor variante operacional.

Em ambientes maiores, é frequentemente mais limpo:

  • STA Agent em cada Domain Controller relevante
  • um ou dois STA Collectors em sistemas Windows separados
  • grupos de Collectors por domínio AD
  • Exclusion List clara para contas técnicas
  • regras de firewall e liberações de Device Access definidas
  • monitoring de serviços, Event Logs e associação de Live Users

O ponto importante é a perspetiva de IP. STAS associa utilizadores a um endereço IP. Se um proxy, NAT, Terminal Server ou VPN gateway ocultar o IP real do cliente, a firewall não consegue usar a associação de forma fiável.

Preparar Active Directory

STAS depende fortemente de os eventos de login corretos estarem disponíveis no Security Event Log. As definições seguintes têm de ser verificadas em cada Domain Controller onde o STA Agent será usado.

Além disso, antes da instalação devem ser anotados NetBIOS name, FQDN e Search DN do domínio. Estes valores serão necessários mais tarde na Sophos Firewall e na configuração STAS.

Ativar Audit account logon events

No Domain Controller, abrir Local Security Policy. Isto pode ser feito, por exemplo, com secpol.msc.

Depois abrir o caminho:

Security Settings > Local Policies > Audit Policy

Abrir aí Audit account logon events.

Política Audit account logon events
STAS precisa de eventos de login adequados no Security Event Log.

Em seguida, ativar Success e Failure e guardar a alteração.

Ativar Success e Failure em Audit account logon events
Success e Failure ajudam na deteção e no troubleshooting.

Preparar a conta STAS

O serviço STAS deve correr com uma conta documentada. Em ambientes de teste simples, é frequentemente usada uma conta de administrador. Para ambientes produtivos, uma conta STAS dedicada é melhor, desde que os direitos necessários sejam definidos e testados corretamente.

A conta tem de, consoante o desenho:

  • conseguir iniciar o serviço
  • conseguir ler os Event Logs relevantes
  • conseguir aceder a clientes com WMI ou Registry Read Access
  • sobreviver a alterações de password planeadas
  • ser claramente reconhecível em monitoring e documentação

A conta não tem obrigatoriamente de ser Domain Admin. Para o Domain Controller, os grupos e direitos de ficheiro adequados são no mínimo importantes. Na prática, deve verificar-se:

  • adesão a Domain Users
  • adesão a Event Log Readers
  • permissões de leitura e escrita em C:\Program Files (x86)\Sophos\Sophos Transparent Authentication Suite\
  • em WMI polling, permissões adequadas nos endpoints, por exemplo Remote Desktop Users, Distributed COM Users e permissões WMI em Root\CIMV2 com Execute Methods e Remote Enable

Estes direitos de endpoint podem ser distribuídos de forma mais limpa em ambientes maiores através de Group Policies. Se Workstation Polling não for utilizado, não se devem atribuir permissões desnecessariamente amplas.

Se o serviço correr com uma conta própria, essa conta tem de receber Log on as a service.

Caminho em Local Security Policy:

Security Settings > Local Policies > User Rights Assignment
Direito de utilizador Log on as a service
A conta de serviço STAS precisa do direito Log on as a service.

Depois adicionar a conta.

Propriedades de Log on as a service
A conta de serviço deve estar documentada e protegida contra expirações de password não planeadas.

Verificar portas e serviços

Entre Sophos Firewall, STA Collector, STA Agent, Domain Controller e clientes, as ligações necessárias têm de ser possíveis. Como base:

DireçãoFinalidadePorta
STA Collector para Sophos FirewallEnviar informações de utilizadorUDP 6060
Sophos Firewall para STA CollectorComunicação com CollectorUDP 6677
STA Agent para STA CollectorEnviar dados do Agent ao CollectorTCP 5566

Portas adicionais dependem dos métodos ativados:

FunçãoRequisito típico
Workstation Polling por WMITCP 135, TCP 445, serviços RPC/DCOM/WMI
Registry Read AccessTCP 445, Remote Registry
Logoff Detection PingICMP para o cliente
STAS Collector TestUDP 50001
STAS Configuration SyncTCP 27015

Se Windows Firewall estiver ativa em clientes ou servidores, as regras devem ser restringidas ao Collector. Uma template de exemplo para WMI:

New-NetFirewallRule -DisplayName "Sophos STAS Collector WMI" -Direction Inbound -RemoteAddress 10.10.10.10 -Action Allow -Profile Domain

Este comando é apenas uma template. Em ambientes produtivos, IP de origem, portas de destino, perfis e Group Policies têm de se adequar ao método de polling escolhido.

Registar Active Directory na firewall

Antes de ativar STAS, a Sophos Firewall tem de conhecer o servidor Active Directory.

No WebAdmin:

Authentication > Servers

Adicionar aí um servidor Active Directory ou verificar a configuração existente.

Adicionar servidor Active Directory na Sophos Firewall
A configuração do servidor AD é a base para resolução de grupos e utilizadores.

Os campos individuais são explicados em Ligar Active Directory à Sophos Firewall. Para STAS, NetBIOS domain, domain name, search base e resolução de grupos são especialmente importantes.

Descarregar e instalar STAS

A instalação STAS é disponibilizada através da Sophos Firewall.

No WebAdmin:

Authentication > Client downloads
Menu Client downloads na Sophos Firewall
O ficheiro de instalação STAS é descarregado através de Client downloads.

Em Single Sign-on encontra-se Sophos Transparent Authentication Suite (STAS).

Descarregar Sophos Transparent Authentication Suite
STAS é disponibilizado como installer Windows.

Executar a STAS.exe descarregada no sistema Windows previsto como administrador.

STAS Installer Setup Type
Consoante o desenho, são instalados Agent, Collector ou ambos os componentes.

Variantes de instalação típicas:

VarianteQuando faz sentido
SSO Suite num servidorambiente pequeno ou laboratório
STA Agent em Domain Controllers, Collector separadomelhor separação e escalabilidade
vários Collectorsredundância ou ambiente maior

Com vários Domain Controllers, normalmente é necessário um STA Agent em cada Domain Controller relevante. Um Collector pode recolher informações de vários Agents.

Configurar STAS

Após a instalação, a STA Suite é configurada. As áreas mais importantes são General, STA Agent, STA Collector e Exclusion List.

General

No separador General, verifica-se sobretudo conta de serviço, dados do domínio, NetBIOS name e FQDN.

Definições gerais STAS
NetBIOS, FQDN e conta de serviço têm de corresponder ao ambiente AD.

Se aqui existirem valores de domínio errados, a instalação muitas vezes parece saudável mais tarde, mas utilizadores ou grupos não são associados corretamente. O NetBIOS name tem de ser introduzido em STAS em maiúsculas.

STA Agent

No separador STA Agent, estes pontos são decisivos:

  • STA Agent Mode: Para deteção local por Event Log, EVENTLOG é o ponto de partida típico.
  • Specify the networks to be monitored: Introduzir redes de clientes nas quais STAS deve reconhecer utilizadores.
  • Domain Controller IP: Definir apenas se o Agent não correr diretamente no Domain Controller. Se a SSO Suite estiver instalada num Domain Controller, este campo normalmente fica vazio.
  • Collector List: Introduzir os endereços IP dos sistemas Collector.
Configuração do STA Agent
O STA Agent deteta Logon Events e envia-os ao Collector.

As redes monitorizadas devem ser escolhidas conscientemente. Redes de servidores, redes de gestão ou redes sem workstations normais geram erros desnecessários ou expectativas erradas.

STA Collector

No separador STA Collector, a Sophos Firewall é registada e o client polling é planeado.

Pontos importantes:

  • Sophos Appliance: Introduzir o endereço IP da Sophos Firewall.
  • Workstation Polling Method: Escolher conscientemente WMI ou Registry Read Access.
  • Enable Logoff Detection: Ativar apenas se ping e timeouts forem adequados à rede de clientes.
  • Dead entry timeout: Testar um valor adequado à versão STAS e ao modelo operacional.
Configuração do STA Collector
O Collector faz a ponte entre STA Agents, clientes e Sophos Firewall.

Em clusters HA, deve ser usado o endereço interno alcançável da firewall que corresponde ao tráfego STAS. Endereços administrativos separados de peers normalmente não são o destino correto.

Exclusion List

A Exclusion List impede que contas técnicas substituam associações de utilizadores normais. Esta é uma das áreas operacionais mais importantes de STAS.

Entradas típicas:

  • contas de serviço para backup, monitoring, distribuição de software ou endpoint tools
  • contas de administração e instalação
  • contas que iniciam sessão em muitos clientes em background
  • servidores ou sistemas onde não são esperados utilizadores de posto de trabalho

Sem Exclusion List, um utilizador real pode desaparecer dos Live Users porque, pouco depois, uma conta de serviço foi reconhecida no mesmo cliente. Mais tarde, isto parece um problema de regra de firewall, embora a causa esteja na associação de autenticação.

Grupos de Collectors e redundância

Para ambientes pequenos, um Collector é frequentemente suficiente. Em ambientes maiores, grupos de Collectors devem ser planeados conscientemente.

Regras comprovadas:

  • Usar um grupo de Collectors adequado por domínio AD.
  • Planear pelo menos dois Collectors quando regras de utilizador são críticas.
  • Configurar STA Agents com todos os Collectors previstos.
  • Testar firewall e Collectors em ambas as direções.
  • Não colocar Collectors em sistemas que são reiniciados frequentemente.

Um STA Agent pode servir vários Collectors. Um STA Collector também pode servir várias Sophos Firewalls. Ainda assim, a associação deve ser documentada, caso contrário o troubleshooting torna-se desnecessariamente difícil mais tarde.

Na firewall, um Collector é registado com Collector IP, Collector port e Collector group. Por grupo de Collectors são possíveis no máximo cinco Collectors. A ordem no grupo é importante: o primeiro Collector é primário, os seguintes servem como backup. Collectors do mesmo domínio pertencem ao mesmo Collector group. Para subdomínios ou domínios AD separados, devem ser usados Collector groups próprios.

Ativar STAS na Sophos Firewall

Quando Agent, Collector, AD e rede estiverem preparados, STAS é ativado na firewall.

No WebAdmin:

Authentication > STAS

Ativar STAS e introduzir o Collector ou o Collector group.

Definições STAS na Sophos Firewall
Em Authentication > STAS, o Collector é registado na firewall.

Se a configuração funcionar, os utilizadores aparecem no Dashboard e na área Live Users.

Live Users no Dashboard da Sophos Firewall
Live Users mostram se STAS está a reconhecer utilizadores atualmente.

Se não aparecerem utilizadores, devem ser verificados primeiro AD events, Agent, Collector, Device Access e portas. Regras de firewall são apenas o passo seguinte.

Opções STAS importantes na firewall

Em Authentication > STAS existem algumas opções que devem ser configuradas conscientemente.

OpçãoSignificadoNota prática
STAS quarantineEm tráfego de entrada, a firewall pergunta ao Collector pela associação de utilizador e IP de destino. Sem resultado, o tráfego é descartado.Útil para regras de utilizador estritas, mas com reconhecimento STAS instável pode parecer um problema de rede.
Identity probe time-outTempo que a firewall espera pela resposta do Collector. Predefinição: 120 segundos.Não aumentar cegamente. Primeiro verificar por que razão o Collector não responde ou responde tarde.
Restrict client traffic during identity probeCom Yes, o tráfego pode ficar bloqueado durante a verificação de identidade até a firewall receber uma resposta do STAS. Com No, o tráfego é encaminhado durante a verificação.A predefinição de fábrica é Yes, pelo que instalações STAS antigas e inalteradas também podem ser afetadas. Verificar antes de upgrades SFOS 22, porque em SFOS 22.0 MR1 esta opção é relevante para um problema documentado de upgrade e funcionamento STAS.
Enable user inactivityRemove utilizadores inativos dos Live Users.Ajuda a manter Live Users limpos, mas tem de se adequar a clientes, polling e timeout.
Inactivity timerMinutos até sign-out de utilizadores inativos. Predefinição: 3.Valores demasiado curtos podem causar logouts irritantes em clientes silenciosos.
Data transfer thresholdQuantidade mínima de dados em bytes para um utilizador ser considerado ativo. Predefinição: 100.Limiares baixos são normalmente mais adequados para clientes de escritório do que valores muito agressivos.

Criar uma regra de firewall com referência a utilizador

Assim que STAS reconhecer utilizadores de forma estável, podem ser usadas regras de firewall com utilizadores ou grupos do Active Directory.

Regra de firewall com referência a utilizador para RDP
Regras baseadas em utilizador devem ser sempre registadas em log e validadas com utilizadores de teste reais.

Importante:

  • Testar a regra com um grupo de teste real.
  • Ativar Log firewall traffic se a regra tiver de ser analisada mais tarde.
  • Controlar a posição da regra.
  • Evitar regras de fallback que escondem erros de autenticação.
  • Verificar Live Users e Log Viewer em conjunto.

Para análise de regras, consulte Testar regra de firewall com Log Viewer, Policy Test e Packet Capture.

Validação após a configuração

Um estado de serviço verde não é suficiente. Depois da configuração, deve ser testada toda a cadeia.

Procedimento prático:

  1. Iniciar sessão com um utilizador de teste num cliente de domínio.
  2. Verificar o Security Event no Domain Controller.
  3. Verificar o estado do STA Agent.
  4. Verificar o estado do STA Collector e utilizadores reconhecidos.
  5. Verificar Live Users na Sophos Firewall.
  6. Testar uma regra de firewall baseada em utilizador com logging.
  7. Testar logoff ou troca de utilizador.
  8. Verificar contas técnicas contra a Exclusion List.

No próprio STAS, em Advanced > Show live users, pode verificar-se que utilizadores o Collector conhece atualmente. Na firewall, o local adequado é Current activities > Live users. As duas vistas devem corresponder logicamente no momento do teste.

Se STAS controlar regras críticas para o negócio, este teste deve ser repetido após Windows Updates, alterações de Domain Controllers, upgrades da firewall e alterações de password da conta de serviço.

Testes, logs e backup

STAS oferece várias ferramentas locais de verificação. Estas são frequentemente mais rápidas do que olhar apenas para o Firewall Log Viewer.

ÁreaCaminho em STASUtilização
Testar ligação à firewallAdvanced > Troubleshooting > Test Connectivity > SophosVerifica se Agent ou Collector alcança a firewall.
Testar STA AgentAdvanced > Troubleshooting > Test Connectivity > STAS AgentVerifica se o Collector alcança um Agent.
Testar STA CollectorAdvanced > Troubleshooting > Test Connectivity > STAS CollectorVerifica se um Agent alcança um Collector.
WMI VerificationAdvanced > Troubleshooting > STAS Polling Utilities > WMI VerificationVerifica Workstation Polling por WMI contra um IP de cliente.
Registry Read VerificationAdvanced > Troubleshooting > STAS Polling Utilities > Registry Read VerificationVerifica Workstation Polling por Registry Read Access contra um IP de cliente.

O STAS log é visível diretamente na aplicação STAS em Advanced > View Log. Além disso, o ficheiro de log encontra-se no sistema Windows em:

C:\Program Files (x86)\Sophos\Sophos Transparent Authentication Suite\stas.log

Antes de alterações maiores, a configuração STAS deve ser guardada. Isto é feito na aplicação STAS em Advanced > Backup / Restore > Backup Now. O backup é criado como ficheiro no formato STAS_ConfigBackup_DD_MM_YYYY_THH_MM_SS.bkp. Para restore, o ficheiro .bkp é selecionado em Backup / Restore e aplicado através de Upload and Restore.

Verificar STAS antes de SFOS 22 MR1

STAS é uma das funções que deve ser verificada conscientemente antes de um Major Upgrade. Na lista atual de Known Issues existe um problema relacionado com SFOS 22.0 MR1, STAS e a opção Restrict client traffic during identity probe. Se esta opção estiver em Yes, pode impedir um upgrade para SFOS 22.0 MR1 ou, após o upgrade, causar Identity Probes repetidos e interrupções temporárias de tráfego. Como Yes é o valor predefinido, não se deve assumir que apenas configurações especiais endurecidas conscientemente são afetadas.

Para administradores, o ponto importante é: isto não é um problema normal de configuração STAS. Um ambiente pode funcionar durante anos e ainda assim chamar a atenção no upgrade, porque uma definição anteriormente aceitável se torna crítica em conjunto com SFOS 22.0 MR1. Por isso, STAS deve ser incluído no SFOS 22 Upgrade Check.

Antes de um upgrade para SFOS 22.0 MR1 ou mais recente, verificar:

  • STAS está sequer ativo?
  • Regras baseadas em utilizador são usadas em produção?
  • Restrict client traffic during identity probe está ativado?
  • Já existem mensagens sobre Identity Probes repetidos ou interrupções curtas de tráfego inexplicáveis?
  • Existe um utilizador de teste com o qual STAS possa ser verificado especificamente após o upgrade?

Se a opção afetada estiver ativa, ela não deve ser avaliada apenas durante a janela de manutenção de firmware. É melhor fazer previamente um teste curto separado: documentar a alteração, iniciar sessão com utilizador de teste, verificar Live Users, testar regra baseada em utilizador e controlar o Log Viewer. Se STAS controlar regras críticas de segurança, também deve ficar claro se é necessária uma regra de fallback temporária para que os utilizadores não sejam bloqueados de forma descontrolada.

Para o caminho de upgrade para SFOS 22.0 MR1, a regra prática é: se STAS estiver ativo e Restrict client traffic during identity probe estiver em Yes, definir a opção como No antes do upgrade e validar depois com utilizadores de teste reais. Se esta alteração não puder ser testada antecipadamente, adiar o upgrade costuma ser mais limpo do que uma janela de manutenção arriscada. Em sistemas SFOS 22.0 MR1 já afetados, No também é a mitigação documentada até estar disponível uma release corrigida.

Depois do upgrade, verificar especificamente:

  1. Controlar o estado STAS em Authentication > STAS.
  2. Verificar Live Users com um novo login de domínio.
  3. Testar regra de firewall baseada em utilizador com logging.
  4. No Log Viewer, verificar se o nome de utilizador é visível e não apenas o endereço IP.
  5. Observar efeitos repetidos de Identity Probe ou interrupções curtas.

Se o upgrade for bloqueado por uma mensagem STAS ou surgirem interrupções reproduzíveis após o upgrade, deve ser preparado um Sophos Support Case. São úteis: screenshot da mensagem de upgrade, configuração STAS atual, versão de firmware, regra de utilizador afetada e um breve procedimento de teste.

Troubleshooting

Nenhum utilizador em Live Users

Primeiro verificar se o Domain Controller escreve Security Events adequados. Depois verificar STA Agent, STA Collector, portas e Device Access.

Causas típicas:

  • Audit Policy não está ativa
  • STA Agent não corre ou lê o Domain Controller errado
  • Collector não está acessível
  • UDP 6060 ou 6677 está bloqueado
  • Client Authentication não está permitido em Device Access
  • NAT oculta o IP real do cliente

Utilizador associado incorretamente

Então, muitas vezes, Exclusions, Workstation Polling ou contas técnicas estão envolvidos. Verificar se contas de serviço, monitoring ou instalação estão a substituir o mesmo cliente.

Utilizador desaparece demasiado depressa

Verificar Logoff Detection, Dead Entry Timeout, acessibilidade do cliente e método de polling. Se os clientes não responderem a ping, WMI ou Registry Access, entradas podem desaparecer inesperadamente ou permanecer desatualizadas.

Erros DCOM ou STAS consulta redes erradas

Se após a instalação do STAS aparecerem erros DCOM como Event ID 10009 ou 10028 no Windows Event Viewer, a causa não é automaticamente a regra de firewall. Muitas vezes, o Collector tenta verificar via WMI ou Registry Read Access clientes que não estão acessíveis ou não pertencem às redes monitorizadas.

Nesse caso, limitar as redes monitorizadas no STAS:

  1. Na aplicação STAS, abrir o separador STA Collector.
  2. Em Sophos appliances, selecionar a Sophos Firewall afetada e abrir Edit.
  3. Ativar Enable subnet based filter.
  4. Inserir apenas as redes que devem realmente ser monitorizadas.
  5. No separador STA Agent, verificar as mesmas redes cliente em Specify the networks to be monitored.
  6. Aplicar as alterações e reiniciar o STAS.

Isto reduz consultas WMI desnecessárias e evita que utilizadores de redes inadequadas apareçam como LogonType: 1. Após a alteração, verificar em conjunto stas.log, Windows Event Viewer e Current activities > Live users.

Regra de firewall não se aplica

Então não olhar apenas para a regra. Verificar:

  • O utilizador está visível em Live Users?
  • O grupo AD correto é reconhecido?
  • Uma regra de firewall anterior está a aplicar-se?
  • Logging está ativo na regra?
  • O Log Viewer vê o utilizador ou apenas o endereço IP?

Tempo de transição para tráfego não autenticado

Para fases de transição, a firewall permite por defeito tráfego não autenticado durante um curto período. Este valor pode ser verificado ou ajustado através da Device Console:

system auth cta unauth-traffic drop-period

Esta definição não deve ser alterada cegamente. Primeiro tem de ficar claro se o problema é realmente o tempo de transição ou uma associação STAS incorreta.

Quando a firewall vê tráfego de um endereço IP para o qual STAS ainda não conhece um utilizador, esse IP é inicialmente verificado em modo de aprendizagem. Durante esta fase, o tráfego pode ser descartado. Se o Collector não responder, a firewall trata o IP durante algum tempo como não autenticado. Para dispositivos fora do domínio, não se deve esperar que STAS os cubra automaticamente de forma limpa. Para esses sistemas, Clientless Users ou regras próprias podem ser mais adequados.

STAS através de VPN

STAS também pode ser utilizado num cenário IPsec VPN quando utilizadores num site remoto autenticam contra um Domain Controller no site principal. Isto deve, porém, ser planeado conscientemente, porque routing, IP de origem, STAS Monitored Networks e zonas de firewall têm de corresponder.

Requisitos para esse desenho:

  • Ligação IPsec está ativa e estável.
  • Branch traffic é encaminhado através do túnel.
  • STAS e Active Directory estão corretamente configurados no site principal.
  • A rede branch está registada em STAS como rede monitorizada.
  • A Branch Firewall está registada na configuração STA Collector como Sophos Appliance.
  • Client Authentication está permitido para a zona VPN em Device Access.

Na firewall do site principal, a rede remota tem de ser adicionada para STAS através da Device Console. Exemplo:

system auth cta vpnzonenetwork add source-network 172.50.50.0 netmask 255.255.255.0

O exemplo tem de ser substituído pela rede branch real. Em muitos ambientes, ainda assim é mais simples e robusto usar STAS apenas para redes locais de clientes e depalavra-passer sites remotos separadamente.

STAS, SATC e Remote Desktop Server

STAS clássico funciona bem quando um IP de cliente pertence normalmente a um utilizador. Em Remote Desktop Server, Terminal Server ou sistemas Citrix, vários utilizadores partilham o mesmo endereço IP. Nesses casos, STAS clássico não consegue distinguir utilizadores de forma limpa.

Nesses ambientes, deve ser verificado Sophos Authentication for Thin Client (SATC). SATC não é uma simples opção em STAS, mas um tema de desenho próprio:

  • Que servidores são afetados?
  • Que utilizadores trabalham através desses servidores?
  • Que regras de firewall têm realmente de ser baseadas em utilizador?
  • Existe tráfego misto de serviços de servidor e sessões de utilizador?
  • Como será o comportamento testado e documentado?

Se Terminal Servers forem usados apenas raramente, pode fazer mais sentido segmentar estas ligações de outra forma ou usar regras próprias sem referência a utilizador. O decisivo é que a autenticação corresponda à arquitetura real da rede.

Checklist operacional

Antes da instalação:

  • Servidor AD funciona na Sophos Firewall.
  • Redes de clientes e Domain Controllers estão documentados.
  • Nenhum NAT oculta endereços IP de clientes.
  • Conta de serviço e direitos estão definidos.
  • Audit Policy está ativa nos Domain Controllers relevantes.
  • Exclusion List está preparada.

Depois da instalação:

  • Agent e Collector estão a correr.
  • Portas entre Agent, Collector, firewall e clientes estão abertas.
  • Live Users mostram utilizadores de teste.
  • Regra de firewall baseada em utilizador aparece no Log Viewer.
  • Logoff, troca de utilizador e contas técnicas foram testados.
  • Redundância de Collector está documentada, se necessária.

Em operação:

  • Monitorizar conta de serviço.
  • Manter Exclusion List regularmente.
  • Alinhar alterações de Windows Firewall e GPO com STAS.
  • Alinhar regularmente subnet-based filters e redes monitorizadas com a estrutura real dos clientes.
  • Testar STAS após upgrades de firewall e Domain Controller.
  • Antes de SFOS 22.0 MR1 ou mais recente, verificar Restrict client traffic during identity probe.
  • Em RDS/Citrix, não improvisar com STAS; verificar SATC ou outro desenho.

FAQ

O que é STAS na Sophos Firewall?

STAS é a Sophos Transparent Authentication Suite. A função lê eventos de login Windows do Active Directory e comunica associações utilizador-IP à Sophos Firewall, para que regras e reports possam usar utilizadores ou grupos.

O STA Collector tem de correr num Domain Controller?

Não. O STA Agent é normalmente usado em Domain Controllers. O STA Collector pode correr no mesmo sistema, mas em ambientes maiores também pode operar separadamente.

Porque é que STAS não funciona com NAT entre cliente e firewall?

STAS associa utilizadores a um IP de cliente. Se NAT alterar o IP de origem, a firewall já não vê o mesmo endereço IP que STAS conhece do cliente. A associação de utilizador torna-se assim pouco fiável.

O que deve estar na STAS Exclusion List?

A Exclusion List deve incluir contas técnicas, contas de serviço, contas de backup, monitoring, instalação e administração que não representam acessos normais de utilizador e poderiam substituir associações de utilizadores reais.

Quando é necessário SATC em vez de STAS?

SATC deve ser verificado quando vários utilizadores partilham o mesmo IP de origem, por exemplo em Remote Desktop Server, Terminal Server ou sistemas Citrix. STAS clássico não consegue distinguir estas sessões de forma limpa por utilizador. O procedimento está em Configurar Sophos Firewall SATC para Remote Desktop Services.

Porque se deve verificar STAS antes de SFOS 22 MR1?

Está documentado um Known Issue em que STAS com a opção Restrict client traffic during identity probe ativa pode impedir um upgrade para SFOS 22.0 MR1 ou causar Identity Probes repetidos com interrupções de tráfego após o upgrade. Antes do upgrade, a opção deve ser verificada e, em ambientes afetados, definida como No ou o upgrade deve ser adiado.