Hoppa till innehållet
Avanet

Konfigurera STAS på Sophos Firewall (SFOS)

Sophos Firewall

Den här artikeln visar hur du konfigurerar STAS (Sophos Transparent Authentication Suite) på en Sophos Firewall med SFOS. I guiden installeras STA Suite på Active Directory-servern.

Förutsättningar

  • Sophos Firewall med SFOS 16.5 eller senare
  • Licens: Base Firewall
  • Läge: Gateway
  • Windows Server 2008 R2 eller senare

Vad är STAS?

STAS står för “Sophos Transparent Authentication Suite”. Denna suite innehåller två små verktyg som gör det möjligt för Sophos Firewall att skapa firewallregler för dina Active Directory-användare. Kort beskrivet består STAS av följande komponenter:

  • STA Agent: övervakar autentiseringsförfrågningar från användare på en Active Directory Domain Controller och skickar informationen till STA Collector.
  • STA Collector: samlar användarautentiseringar från STA Agent och skickar dem vidare till Sophos Firewall.

Hur fungerar STAS?

  1. Användaren “Bruce Banner” loggar in på sin workstation (172.16.33.100) och Active Directory tillåter inloggningen.
  2. Domain Controller skapar ett login event i Security Audit Eventlog (ID 4758 eller 672).
  3. STAS Agent övervakar loggen efter dessa events.
  4. STAS Collector informerar XG Firewall om inloggningen via port 6060 UDP.
  5. Sophos Firewall uppdaterar sina Live Users och mappar trafik från 172.16.33.100 till användaren “Bruce Banner”.

1. Gör ADS-inställningar

STAS fungerar genom att Active Directory-loggen övervakas och firewallen får information om vilka användare som loggar in eller ut. Därför är det viktigt att dessa händelser faktiskt loggas.

Info: Följande inställningar måste göras på varje Active Directory-server där STA Agent installeras.

Aktivera Audit account logon events

Öppna programmet Local Security Policy på Active Directory-servern. Du hittar det i Windows Administrative Tools (secpol.msc). Öppna sedan Audit account logon events. Gå först till Security Settings > Local Policies > Audit Policy och öppna därefter Audit account logon events, som i skärmbilden nedan.

Audit account logon events Policy

Aktivera sedan alternativen Success och Failure och bekräfta ändringen med OK.

Audit account logon events - Audit these attempts

Starta STAS Service med egen användare

Om du vill starta STAS Service med en egen användare behöver du göra följande. Annars kan du hoppa över detta steg. Gå i Local Security Policy till Security Settings > Local Policies > User Rights Assignment. Öppna sedan alternativet Log on as a service.

Log on as a service

Klicka därefter på Add User or Group och lägg till användaren.

Log on as a service Properties

Öppna ADS-portar

Active Directory-servern bör ha följande portar öppna:

  • STA Collector > XG Firewall (UDP 6060)
  • XG Firewall > STA Collector (UDP 6677)
  • STA Agent > STA Collector (TCP 5566)

Följande portar behöver du bara aktivera om du också använder dessa metoder:

Workstation Polling Method (WMI) eller Registry Read Access:

  • Utgående TCP 135
  • Utgående TCP 445

Logoff Detection Ping:

  • Utgående ICMP

STAS Collector Test:

  • Inkommande/utgående UDP 50001

STAS Configuration Sync:

  • Inkommande/utgående TCP 27015

Obs: RPC, RPC locator, DCOM och WMI Services bör även vara aktiverade på klienterna för WMI/Registry Read Access.

2. Lägg till Active Directory-servern på firewallen

När du har förberett Active Directory enligt punkt 1 är det dags att lägga till AD på Sophos Firewall. Logga in som administratör på Sophos Firewall (SFOS) och gå via menyn till Authentication > Servers. Klicka sedan på den blå knappen Add för att lägga till en ny server.

Lägg till Active Directory Server på firewallen

I följande guide går vi igenom alla nödvändiga uppgifter steg för steg: Lägg till Active Directory i Sophos Firewall

3. Ladda ned STAS-verktyget

Nu går vi tillbaka till Active Directory-servern. Där ska STA Suite installeras, och först behöver den laddas ned från Sophos Firewall. Logga in som administratör på Sophos Firewall (SFOS), gå till sidan Authentication, klicka på de tre punkterna längst upp till höger i tabbnavigeringen och välj Client Downloads i dropdown-menyn.

Client Downloads-dropdown på Sophos Firewall (SFOS)

Under Single-Sign-On hittar du Sophos Transparent Authentication Suite (STAS) för nedladdning.

Ladda ned Sophos Transparent Authentication Suite

Info: Du kan också ladda ned STA Suite direkt från Sophos webbplats: UTM Support Downloads

4. Installera SSO Suite

Kör nu den nedladdade STAS.exe och gå igenom installationsprogrammet. Under installationen visas ett fönster där du kan välja mellan tre olika alternativ:

STAS Type of Setup

Som standard kan SSO Suite vara valt. Då installeras alla komponenter på Active Directory-servern. Om du däremot vill installera STA Collector och STA Agent på två olika system behöver valet anpassas. Om du har två Active Directory-servrar behöver du normalt STA Agent på båda systemen, men bara en STA Collector. Anpassa därför installationen efter miljön.

Under installationen behöver du även ange en användare som tjänsten ska installeras och startas med. I den här guiden används domänadministratören som exempel, eftersom den användaren har nödvändiga behörigheter. I en produktionsmiljö rekommenderas en särskild serviceanvändare för detta.

5. Konfigurera STAS

Efter installationen måste STA Suite konfigureras. Följande avsnitt går igenom de relevanta inställningarna.

STAS General

På fliken General kan du i efterhand ändra användaren som tjänsten startas med. Kontrollera särskilt att korrekt NetBIOS-namn och FQDN är angivna.

Allmänna STAS-inställningar

STA Agent

På fliken STA Agent bör du kontrollera följande:

  • STA Agent Mode: i vårt exempel kan EVENTLOG väljas, eftersom STA Collector installeras på samma system som STA Agent.
  • Specify the networks to be monitored: här anges alla nätverk där klienterna finns.
Konfigurera STA Agent

STA Collector

På fliken STA Collector är följande punkter viktiga:

  • Sophos Appliance: här anges IP-adressen till Sophos Appliance.
  • Dead entry timeout: standardvärdet är 0 timmar. I många miljöer är exempelvis 12 timmar rimligt, så att klienter automatiskt loggas ut efter en viss tid.
Konfigurera STA Collector

För att kunna validera inloggade användare finns två alternativ under Workstation Polling Method: standardvalet WMI Verification eller alternativt Registry Read Access. I båda fallen måste en tjänst köras på klienten.

WMI:

  • Remote Procedure Call (RPC)
  • Remote Procedure Call (RPC) Locator

Registry Read Access:

  • Remote Registry

STA Collector måste kunna nå klienterna. Om Windows Firewall är aktiv på en klient kan du skapa en regel via PowerShell:

New-Netfirewall –DisplayName "Sophos STAS Collector" -Direction inbound –RemoteAddress 10.10.10.10

6. Aktivera STAS på Sophos Firewall

Om du har följt guiden fram till hit skickas data redan från STA Collector till firewallen. För att firewallen ska ta emot dessa data måste STAS aktiveras på Sophos Firewall.

Gå till Authentication > STAS på Sophos Firewall och sätt den översta togglen till ON. För att firewallen ska veta från vilken collector den får ta emot data klickar du till sist på den blå knappen Add new collector och anger IP-adressen till systemet där collectorn är installerad.

STAS-inställningar på Sophos Firewall (SFOS)

Om allt är rätt konfigurerat ser du nu de inloggade användarna från Active Directory-servern i firewallens dashboard och i Live Viewer under Authentication.

Live User-visning på SFOS Dashboard

7. Skapa firewallregel

När testerna fungerar kan du börja skapa egna firewallregler för specifika användare eller grupper som nu synkroniseras från AD till firewallen. I skärmbilden nedan finns till exempel en regel som tillåter administratören att använda RDP (3389) mot internet.

Firewallregel för administratör för RDP till internet

Vidare ämnen

Du har nu konfigurerat STAS på Sophos Firewall. Här är några kompletterande ämnen som kan vara relevanta.

Troubleshooting

Det kan ta en stund innan Active Directory-servern skickar användarna till firewallen. För att firewallen inte ska blockera trafiken under tiden tillåts unauthenticated traffic som standard i 120 sekunder. Om du vill ändra värdet manuellt kan du göra det via CLI:

system auth cta unauth-traffic drop-period

Sophos Authentication for Thin Client (SATC)

STAS passar bra när du har separata klienter i nätverket. Om du däremot använder Remote Desktop Server eller Citrix fungerar detta inte på samma sätt. Då behövs Server Protection.

Större miljöer

I den här guiden har vi beskrivit standardvarianten för hur STAS kan sättas upp. Det finns förstås specialfall med flera Active Directory-servrar, flera subnät eller flera domäner. I sådana miljöer hjälper vi gärna till. Skicka helt enkelt en förfrågan till oss.