Hoppa till innehållet
Avanet

Konfigurera STAS på Sophos Firewall (SFOS)

Sophos Firewall

Den här artikeln visar hur STAS (Sophos Transparent Authentication Suite) konfigureras på Sophos Firewall.

Viktigt först: endast STA Agent måste köras på en domain controller. STA Collector kan installeras på samma system, men i större miljöer kan den också köras separat på ett annat Windows-system. Just den uppdelningen gör många STAS-installationer mer robusta och enklare att underhålla.

STAS är framför allt avsett för klassiska Windows-klienter i en Active Directory-domän. Om flera användare delar samma käll-IP, till exempel på Remote Desktop Servers eller Citrix-system, måste upplägget planeras annorlunda. Då är SATC eller en annan autentiseringsmetod oftast mer lämplig än klassisk STAS.

Förutsättningar

  • Sophos Firewall med SFOS 16.5 eller senare
  • Licens: Base Firewall
  • Läge: Gateway
  • Windows Server 2008 R2 eller senare
  • Active Directory med nåbara domain controllers
  • Windows-klienter är medlemmar i AD-domänen
  • Ingen NAT mellan klienter, STA Collector och Sophos Firewall
  • Client Authentication är tillåtet i Device access för berörda zoner

Vad är STAS?

STAS står för Sophos Transparent Authentication Suite. Suiten skickar inloggningsinformation från Active Directory till Sophos Firewall, så att användare eller grupper kan användas i firewallregler.

De två huvudkomponenterna är:

  • STA Agent: den här agenten övervakar användarautentiseringsförfrågningar på en Active Directory domain controller och skickar informationen till STA Collector.
  • STA Collector: samlar användarautentiseringsinformation från STA Agent och vidarebefordrar den till Sophos Firewall.

Hur fungerar STAS?

  1. En användare loggar in på en workstation och Active Directory tillåter det.
  2. Domain controllern skriver inloggningsevents till Security Event Log.
  3. STAS Agent övervakar loggen för dessa events.
  4. STAS Collector informerar Sophos Firewall om inloggningen.
  5. Sophos Firewall uppdaterar sina Live Users och kan koppla trafik till rätt firewallregel.

I praktiken finns två viktiga identifieringsmetoder:

  • Logon-identifiering via Event Log: STA Agent identifierar ett inloggningsevent på domain controllern och skickar det till collectorn.
  • Workstation Polling: om firewallen ännu inte känner till en Live User för en IP-adress kan den fråga collectorn. Beroende på konfiguration kontrollerar collectorn sedan klienten via WMI eller Registry Read Access.

För att det ska fungera rent måste firewallen se klientens verkliga IP-adress. Om NAT ligger mellan klient, collector och firewall kan STAS inte tillförlitligt koppla användare till en käll-IP.

Videotutorial

Sophos Firewall v21: STAS-nätverksupplägg och översikt
Sophos Firewall v21: STAS-installation och konfiguration

1. Gör ADS-inställningar

STAS fungerar genom att loggen i Active Directory övervakas och firewallen informeras om vilka användare som loggar in eller ut. Därför är det viktigt att dessa events också loggas.

Info: följande inställningar måste göras på varje Active Directory-server där STA Agent installeras.

Dessutom bör NetBIOS-namn, FQDN och Search DN för domänen noteras före installationen. Dessa värden behövs senare i Sophos Firewall och i STAS-konfigurationen. Om Search DN är fel eller LDAP-frågan är för bred fungerar gruppupplösning och användarmappning ofta bara delvis.

Aktivera Audit account logon events

Öppna Local Security Policy på Active Directory-servern. Den finns i Windows Administrative Tools (secpol.msc). Öppna därefter Audit account logon events under Security Settings > Local Policies > Audit Policy.

Audit account logon events policy

Aktivera sedan alternativen Success och Failure och bekräfta ändringarna med OK.

Audit account logon events - Audit these attempts

Starta STAS Service med egen användare

Om STAS-tjänsten ska startas med en egen användare måste även Log on as a service öppnas i Local Security Policy under Security Settings > Local Policies > User Rights Assignment.

Log on as a service

Välj därefter Add User or Group och lägg till önskad användare.

Log on as a service properties

Sophos använder i många exempel ett AD-administratörskonto eftersom STAS läser Event Logs på domain controllern, måste starta och stoppa tjänsten och beroende på pollingmetod skickar WMI-frågor till klienter. I produktionsmiljöer bör kontot dokumenteras tydligt, skyddas och testas i förväg. Om ett dedikerat servicekonto används måste just dessa behörigheter fungera tillförlitligt.

Öppna ADS-portar

De nödvändiga portarna måste vara nåbara mellan domain controller, collector, klienter och Sophos Firewall. Den typiska basen är:

  • STA Collector > Sophos Firewall (UDP 6060)
  • Sophos Firewall > STA Collector (UDP 6677)
  • STA Agent > STA Collector (TCP 5566)

Följande portar behöver bara aktiveras om dessa metoder faktiskt används:

Workstation Polling Method (WMI) eller Registry Read Access:

  • Utgående TCP 135
  • Utgående TCP 445

Logoff Detection Ping:

  • Utgående ICMP

STAS Collector Test:

  • Inkommande/utgående UDP 50001

STAS Configuration Sync:

  • Inkommande/utgående TCP 27015

Obs: RPC, RPC Locator, DCOM och WMI Services bör också vara aktiverade på klienterna för WMI/Registry Read Access.

2. Lägg till Active Directory-servern på firewallen

När Active Directory har förberetts enligt punkt 1 kan den läggas till på Sophos Firewall. Öppna Authentication > Servers i WebAdmin och skapa en ny server med Add.

Lägg till Active Directory-server på firewallen

De enskilda fälten beskrivs i detalj i den separata guiden Lägg till Active Directory i Sophos Firewall.

3. Ladda ned STAS-verktyget

Nästa steg är att förbereda Windows-systemet där STAS ska installeras. STA Suite laddas ned direkt via Sophos Firewall. Öppna Authentication i WebAdmin och välj Client downloads i menyn uppe till höger.

Client downloads-rullgardinsmeny på Sophos Firewall (SFOS)

I avsnittet Single Sign-on finns den nödvändiga Sophos Transparent Authentication Suite (STAS) för nedladdning.

Ladda ned Sophos Transparent Authentication Suite

4. Installera SSO Suite

Kör den nedladdade STAS.exe och starta installeraren. Under installationen visas ett urvalsfönster med flera setup-varianter:

STAS Type of Setup

Som standard kan SSO Suite vara fortsatt valt, vilket installerar alla komponenter på samma system. Om agent och collector ska köras separat måste urvalet anpassas. Vid flera domain controllers behövs en STA Agent på varje relevant domain controller, men vanligtvis bara en STA Collector.

Installationen bör startas med Run as administrator, så att Windows-behörigheter inte stör installationen i onödan.

Under installationen definieras också servicekontot. I produktionsmiljöer bör det vara tydligt dokumenterat vilket konto som används, vilka rättigheter det har och hur lösenordsbyten planeras.

5. Konfigurera STAS

Efter installationen måste STA Suite fortfarande konfigureras. Följande steg går igenom de relevanta inställningarna.

STAS General

På fliken General kan användaren för tjänsten ändras i efterhand. Framför allt bör NetBIOS-namn och FQDN kontrolleras.

Allmänna STAS-inställningar

STA Agent

På fliken STA Agent är framför allt dessa punkter relevanta:

  • STA Agent Mode: om agent och collector körs på samma system är EVENTLOG den typiska startpunkten.
  • Specify the networks to be monitored: här anges alla nätverk där klienterna finns.
  • Domain Controller IP: ange endast om STA Agent inte är installerad direkt på domain controllern. Om agenten körs på domain controllern själv lämnas fältet normalt tomt.
  • Collector List: här anges de collector-system som agenten skickar sin information till.
Konfiguration av STA Agent

STA Collector

På fliken STA Collector är framför allt dessa punkter relevanta:

  • Sophos Appliance: här anges IP-adressen för Sophos Appliance.
  • Workstation Polling Method: WMI är den typiska startpunkten, Registry Read Access är ett alternativ för lämpliga Windows-miljöer.
  • Enable Logoff Detection: logoff-detektering bör planeras medvetet. Den bör inte samtidigt fungera olika på flera ställen.
  • Dead entry timeout: detta värde bör sättas medvetet och testas mot den STAS-version som används. I äldre STAS-versioner förekom fall där ett annat värde än 0 orsakade problem.
Konfiguration av STA Collector

Om Sophos Firewall körs som HA-kluster bör den interna interface-IP:n för firewallen användas i collectorn, inte en separat peer-administrationsadress.

Exclusion List

Exclusion List är viktig för att tekniska konton inte ska förvanska användarmappningen. Typiska kandidater är servicekonton, uppdateringstjänster, backup-agenter eller monitoringkonton som loggar in på klienter i bakgrunden.

Utan Exclusion List kan en riktig användare försvinna från Live User-statusen eftersom ett servicekonto kort därefter blir aktivt på samma klient. Därför bör minst dessa konton kontrolleras:

  • Servicekonton för mjukvarudistribution, backup, monitoring eller endpoint-verktyg
  • Administratörs- och installationskonton som inte ska räknas som normal användartrafik
  • Server-IP:n, nätverksenheter och system där STAS inte ska förvänta sig vanliga workstation-användare

För att validera inloggade användare finns två alternativ under Workstation Polling Method: den förvalda WMI-verifieringen eller alternativt Registry Read Access. I båda fallen måste en tjänst köras på klienten.

WMI:

  • Remote Procedure Call (RPC)
  • Remote Procedure Call (RPC) Locator

Registry Read Access:

  • Remote Registry

STA Collector måste kunna komma åt klienterna. Om Windows Firewall är aktiv på klienterna måste åtkomsten passa de valda pollingmetoderna.

New-NetFirewallRule -DisplayName "Sophos STAS Collector WMI" -Direction Inbound -RemoteAddress 10.10.10.10 -Action Allow -Profile Domain

Kommandot ska endast ses som en mall. I en produktionsmiljö bör profil, käll-IP, målportar och group policies passa den valda pollingmetoden på ett rent sätt.

Collector-grupper och redundans

För små miljöer räcker ofta en collector. I större miljöer bör collector-grupper planeras medvetet:

  • För varje AD-domän bör en egen collector-grupp användas.
  • Flera collectors i samma grupp ökar feltoleransen.
  • Sophos Firewall kontaktar normalt den första collectorn i gruppen och växlar till nästa vid fel.
  • En STA Agent kan betjäna flera collectors.
  • En STA Collector kan betjäna flera Sophos Firewalls.

Vid flera domain controllers är det klokt att köra en STA Agent på varje relevant domain controller och planera minst två collectors för redundans. Det är viktigt att alla agents känner till de avsedda collectors och att firewallen har dessa collectors i rätt grupp.

6. Aktivera STAS på Sophos Firewall

När allt fram till denna punkt är förberett kan Sophos Firewall ta emot data från collectorn.

Öppna Authentication > STAS i WebAdmin, aktivera STAS och ange sedan collector eller collector-grupp med rätt IP-adress.

STAS-inställningar på Sophos Firewall (SFOS)

Om installationen fungerar visas de inloggade användarna i dashboarden och i Live Viewer under Authentication.

Live User-visning i SFOS-dashboarden

Om inga användare visas här bör sökningen inte börja i firewallreglerna. Först måste Event Log, STA Agent, STA Collector, collector-grupp och Device Access stämma.

7. Skapa firewallregel

När testerna är lyckade kan firewallregler skapas med användare eller grupper från Active Directory. Exemplet nedan visar en regel som tillåter RDP-trafik för en administratör.

Firewallregel för en administratör att nå internet via RDP

Vidare ämnen

Efter grundkonfigurationen återstår oftast två operativa ämnen: troubleshooting och gränserna för klassiska STAS-miljöer.

Troubleshooting

Om inloggningar inte tas över korrekt bör först Event Log på domain controllern, nåbarheten mellan agent och collector samt Live Users på firewallen kontrolleras. För övergångsfaser tillåter firewallen som standard oautentiserad trafik under en kort tid. Detta värde kan vid behov kontrolleras eller justeras via CLI:

system auth cta unauth-traffic drop-period

Typiska kontrollpunkter:

  • Skapas ett passande Security-event på domain controllern vid användarens login?
  • Kör STA Agent och visar den förväntad status?
  • Är STA Collector nåbar och känner den till Sophos Firewall?
  • Är UDP 6060 till firewallen och UDP 6677 tillbaka till collectorn tillåtet?
  • Fungerar WMI eller Registry Read Access till klienterna?
  • Är tekniska konton inlagda i Exclusion List?
  • Är Client Authentication tillåtet i Device access för rätt zon?
  • Finns NAT mellan klient, collector och firewall?

Sophos Authentication For Thin Client (SATC)

Klassisk STAS fungerar bra för normala enanvändarklienter. I Remote Desktop Server-, terminalserver- eller Citrix-miljöer räcker den här metoden dock ofta inte, eftersom flera användare delar en käll-IP. I sådana fall bör det kontrolleras om SATC eller en annan passande SSO-metod är det bättre valet.

SATC mappar användare i terminalservermiljöer på annat sätt än STAS och är därför inte bara en ersättning för varje klient, utan ett eget designämne. Före en övergång bör det vara tydligt vilka servrar som berörs, vilka användargrupper som arbetar via dem och vilka firewallregler som verkligen måste vara användarbaserade.

Större miljöer

Den här guiden har visat standardvarianten. I större miljöer med flera domain controllers, subnet eller domäner bör rollen för agent, collector, polling och fallback-regler planeras medvetet, i stället för att bara ta över grundinställningarna.

Ytterligare dokumentation