Configurar STAS numa Sophos Firewall (SFOS)

Este artigo mostra como configurar STAS (Sophos Transparent Authentication Suite) numa Sophos Firewall.

Importante antes de começar: apenas o STA Agent tem de correr num domain controller. O STA Collector pode ser instalado no mesmo sistema, mas em ambientes maiores também pode funcionar separadamente noutro sistema Windows. Esta separação torna hoje muitas instalações STAS mais robustas e mais fáceis de manter.

O STAS destina-se sobretudo a clientes Windows clássicos num domínio Active Directory. Se vários utilizadores usarem o mesmo IP de origem, por exemplo em Remote Desktop Servers ou sistemas Citrix, a abordagem deve ser planeada de outra forma. Nesses casos, SATC ou outro método de autenticação costuma ser mais adequado do que STAS clássico.

Requisitos

• Sophos Firewall com SFOS 16.5 ou superior
• Licença: Base Firewall
• Modo: Gateway
• Windows Server 2008 R2 ou mais recente
• Active Directory com domain controllers acessíveis
• Os clientes Windows são membros do domínio AD
• Sem NAT entre clientes, STA Collector e Sophos Firewall
• Client Authentication está permitido em Device access para as zonas afetadas

O que é STAS?

STAS significa Sophos Transparent Authentication Suite. A suite transmite informações de login do Active Directory para a Sophos Firewall, para que utilizadores ou grupos possam ser usados em regras de firewall.

Os dois componentes principais são:

• STA Agent: este agent monitoriza pedidos de autenticação de utilizadores num domain controller Active Directory e envia essas informações ao STA Collector.
• STA Collector: recolhe as informações de autenticação dos utilizadores do STA Agent e transmite-as à Sophos Firewall.

Como funciona o STAS?

1. Um utilizador inicia sessão numa workstation e o Active Directory permite-o.
2. O domain controller escreve os eventos de login no Security Event Log.
3. O STAS Agent monitoriza o log à procura desses eventos.
4. O STAS Collector informa a Sophos Firewall sobre o login.
5. A Sophos Firewall atualiza os Live Users e pode associar o tráfego à regra de firewall correspondente.

Na prática existem dois métodos de deteção importantes:

• Deteção de logon através do Event Log: o STA Agent deteta um evento de login no domain controller e envia-o ao collector.
• Workstation Polling: se a firewall ainda não conhece um Live User para um endereço IP, pode consultar o collector. Conforme a configuração, o collector verifica então o cliente por WMI ou Registry Read Access.

Para que isto funcione corretamente, a firewall tem de ver o IP real do cliente. Se existir NAT entre cliente, collector e firewall, o STAS não consegue associar utilizadores de forma fiável a um IP de origem.

Vídeo tutorial

1. Configurar definições ADS

O STAS funciona monitorizando o log do Active Directory e informando a firewall sobre que utilizadores iniciam ou terminam sessão. Para isso, é importante que estes eventos também sejam registados.

Info: as seguintes definições devem ser configuradas em cada servidor Active Directory onde o STA Agent é instalado.

Antes da instalação, também se deve anotar o nome NetBIOS, FQDN e Search DN do domínio. Estes valores serão necessários mais tarde na Sophos Firewall e na configuração STAS. Se o Search DN estiver errado ou a consulta LDAP for demasiado ampla, a resolução de grupos e a associação de utilizadores muitas vezes funcionam apenas parcialmente.

Ativar Audit account logon events

No servidor Active Directory, abrir Local Security Policy. A ferramenta encontra-se em Windows Administrative Tools (secpol.msc). Depois abrir Audit account logon events em Security Settings > Local Policies > Audit Policy.

Em seguida, ativar as opções Success e Failure e confirmar as alterações com OK.

Iniciar o serviço STAS com um utilizador dedicado

Se o serviço STAS tiver de ser iniciado com um utilizador dedicado, abrir também Log on as a service em Local Security Policy, em Security Settings > Local Policies > User Rights Assignment.

Depois selecionar Add User or Group e adicionar o utilizador pretendido.

A Sophos usa em muitos exemplos uma conta de administrador AD porque o STAS lê Event Logs no domain controller, tem de iniciar e parar o serviço e, dependendo do método de polling, envia consultas WMI aos clientes. Em ambientes produtivos, a conta usada deve ser documentada, protegida e testada previamente. Se for usada uma conta de serviço dedicada, estas permissões têm de funcionar de forma fiável.

Abrir portas ADS

As portas necessárias têm de estar acessíveis entre domain controller, collector, clientes e Sophos Firewall. A base típica é:

• STA Collector > Sophos Firewall (UDP 6060)
• Sophos Firewall > STA Collector (UDP 6677)
• STA Agent > STA Collector (TCP 5566)

As portas seguintes só têm de ser ativadas se estes métodos forem realmente usados:

Método Workstation Polling (WMI) ou Registry Read Access:

• TCP de saída 135
• TCP de saída 445

Logoff Detection Ping:

• ICMP de saída

STAS Collector Test:

• UDP de entrada/saída 50001

STAS Configuration Sync:

• TCP de entrada/saída 27015

Nota: RPC, RPC Locator, DCOM e WMI Services também devem estar ativados nos clientes para WMI/Registry Read Access.

2. Adicionar o servidor Active Directory à firewall

Depois de o Active Directory ter sido preparado no ponto 1, pode ser adicionado na Sophos Firewall. No WebAdmin, abrir Authentication > Servers e criar um novo servidor com Add.

Os campos individuais estão descritos em detalhe no guia separado Adicionar Active Directory à Sophos Firewall.

3. Descarregar a ferramenta STAS

De seguida, preparar o sistema Windows onde o STAS será instalado. A STA Suite é descarregada diretamente através da Sophos Firewall. No WebAdmin, abrir Authentication e selecionar Client downloads no menu no canto superior direito.

Na secção Single Sign-on encontra-se a Sophos Transparent Authentication Suite (STAS) necessária para download.

4. Instalar SSO Suite

Executar o ficheiro STAS.exe descarregado e iniciar o instalador. Durante a instalação surge uma janela de seleção com várias variantes de setup:

Por defeito, SSO Suite pode ficar selecionado, instalando todos os componentes no mesmo sistema. Se agent e collector devem funcionar separadamente, a seleção tem de ser ajustada. Com vários domain controllers, é necessário um STA Agent em cada domain controller relevante, mas normalmente apenas um STA Collector.

A instalação deve ser iniciada com Run as administrator, para que permissões Windows não interfiram desnecessariamente durante a instalação.

Durante a instalação também é definida a conta de serviço. Em ambientes produtivos deve estar claramente documentado que conta é usada, que permissões tem e como são planeadas alterações de palavra-passe.

5. Configurar STAS

Após a instalação, a STA Suite ainda tem de ser configurada. Os passos seguintes cobrem as definições relevantes.

STAS General

No separador General, o utilizador do serviço pode ser alterado posteriormente. Deve verificar-se sobretudo se o nome NetBIOS e o FQDN estão corretamente configurados.

STA Agent

No separador STA Agent, estes pontos são particularmente relevantes:

• STA Agent Mode: se agent e collector correm no mesmo sistema, EVENTLOG é o ponto de partida típico.
• Specify the networks to be monitored: aqui são indicadas todas as redes onde se encontram os clientes.
• Domain Controller IP: configurar apenas se o STA Agent não estiver instalado diretamente no domain controller. Se o agent correr no próprio domain controller, este campo normalmente fica vazio.
• Collector List: aqui são introduzidos os sistemas collector para os quais o agent envia as informações.

STA Collector

No separador STA Collector, estes pontos são particularmente relevantes:

• Sophos Appliance: aqui é indicado o IP da Sophos Appliance.
• Workstation Polling Method: WMI é o ponto de partida típico; Registry Read Access é uma alternativa para ambientes Windows adequados.
• Enable Logoff Detection: a deteção de logoff deve ser planeada conscientemente. Não deve atuar de forma diferente em vários pontos ao mesmo tempo.
• Dead entry timeout: este valor deve ser definido conscientemente e testado com a versão STAS em uso. Em versões STAS mais antigas houve casos em que um valor diferente de 0 causava problemas.

Se a Sophos Firewall funcionar como cluster HA, no collector deve ser usado o IP da interface interna da firewall, e não um endereço administrativo separado do peer.

Exclusion List

A Exclusion List é importante para que contas técnicas não falsifiquem a associação de utilizadores. Candidatos típicos são service accounts, serviços de atualização, agentes de backup ou contas de monitoring que iniciam sessão nos clientes em segundo plano.

Sem Exclusion List, pode acontecer que um utilizador real desapareça do estado Live User porque pouco depois uma conta de serviço fica ativa no mesmo cliente. Por isso, pelo menos estas contas devem ser verificadas:

• Service accounts para distribuição de software, backup, monitoring ou ferramentas endpoint
• Contas de administrador e instalação que não devem contar como tráfego normal de utilizador
• IPs de servidores, dispositivos de rede e sistemas onde o STAS não deve esperar utilizadores normais de postos de trabalho

Para validar utilizadores autenticados, existem duas opções em Workstation Polling Method: a verificação WMI selecionada por defeito ou, alternativamente, Registry Read Access. Em ambos os casos, um serviço tem de correr no cliente.

WMI:

• Remote Procedure Call (RPC)
• Remote Procedure Call (RPC) Locator

Registry Read Access:

• Remote Registry

O STA Collector tem de conseguir aceder aos clientes. Se Windows Firewall estiver ativa nos clientes, o acesso tem de corresponder aos métodos de polling escolhidos.

New-NetFirewallRule -DisplayName "Sophos STAS Collector WMI" -Direction Inbound -RemoteAddress 10.10.10.10 -Action Allow -Profile Domain

O comando deve ser entendido apenas como modelo. Num ambiente produtivo, perfil, IP de origem, portas de destino e group policies devem corresponder corretamente ao método de polling escolhido.

Grupos de collectors e redundância

Para ambientes pequenos, um collector costuma bastar. Em ambientes maiores, os grupos de collectors devem ser planeados conscientemente:

• Para cada domínio AD deve ser usado um grupo de collectors próprio.
• Vários collectors no mesmo grupo aumentam a resiliência.
• A Sophos Firewall contacta normalmente o primeiro collector no grupo e muda para o seguinte em caso de falha.
• Um STA Agent pode servir vários collectors.
• Um STA Collector pode servir várias Sophos Firewalls.

Com vários domain controllers, é útil executar um STA Agent em cada domain controller relevante e planear pelo menos dois collectors para redundância. É importante que todos os agents conheçam os collectors previstos e que a firewall tenha estes collectors configurados no grupo adequado.

6. Ativar STAS na Sophos Firewall

Quando tudo estiver preparado até este ponto, a Sophos Firewall pode receber dados do collector.

No WebAdmin, abrir Authentication > STAS, ativar STAS e depois inserir o collector ou o grupo de collectors com o endereço IP correspondente.

Se a configuração funcionar, os utilizadores autenticados aparecem no dashboard e no Live Viewer em Authentication.

Se aqui não aparecerem utilizadores, não se deve começar logo pelas regras de firewall. Primeiro têm de estar corretos Event Log, STA Agent, STA Collector, grupo de collectors e Device Access.

7. Criar regra de firewall

Assim que os testes forem bem-sucedidos, podem ser criadas regras de firewall com utilizadores ou grupos do Active Directory. O exemplo abaixo mostra uma regra que permite tráfego RDP a um administrador.

Tópicos adicionais

Depois da configuração básica, normalmente ficam dois temas operacionais: troubleshooting e limites dos ambientes STAS clássicos.

Troubleshooting

Se os logins não forem assumidos corretamente, verificar primeiro o Event Log no domain controller, a conectividade entre agent e collector e os Live Users na firewall. Para fases de transição, a firewall permite por defeito tráfego não autenticado durante um curto período. Este valor pode ser verificado ou ajustado pela CLI, se necessário:

system auth cta unauth-traffic drop-period

Pontos de verificação típicos:

• É gerado um Security event adequado no domain controller quando o utilizador faz login?
• O STA Agent está a correr e mostra o estado esperado?
• O STA Collector está acessível e conhece a Sophos Firewall?
• UDP 6060 para a firewall e UDP 6677 de volta ao collector estão permitidos?
• WMI ou Registry Read Access para os clientes funciona?
• As contas técnicas estão registadas na Exclusion List?
• Client Authentication está permitido em Device access para a zona correta?
• Existe NAT entre cliente, collector e firewall?

Sophos Authentication For Thin Client (SATC)

STAS clássico funciona bem para clientes normais de um só utilizador. Em ambientes Remote Desktop Server, terminal server ou Citrix, esta abordagem muitas vezes não é suficiente, porque vários utilizadores partilham um IP de origem. Nestes casos, deve verificar-se se SATC ou outro método SSO adequado é a melhor escolha.

SATC associa utilizadores em ambientes terminal server de forma diferente de STAS e, por isso, não é simplesmente um substituto para todos os clientes, mas sim um tema de design próprio. Antes de uma migração, deve estar claro que servidores são afetados, que grupos de utilizadores trabalham através deles e que regras de firewall têm realmente de ser baseadas em utilizadores.

Ambientes maiores

Este guia mostrou a variante padrão. Em ambientes maiores com vários domain controllers, sub-redes ou domínios, o papel de agent, collector, polling e regras de fallback deve ser planeado conscientemente, em vez de apenas aplicar as definições básicas.

Documentação adicional

• Sophos Firewall: Best practice for STAS
• Sophos Firewall: STAS
• Sophos Firewall: LDAP Search Queries
• Sophos Firewall: Configurar SATC