Hoppa till innehållet
Avanet

Konfigurera STAS på Sophos Firewall

STAS står för Sophos Transparent Authentication Suite. Funktionen kopplar Windows-inloggningar från Active Directory till en client-IP, så att Sophos Firewall kan använda användare och grupper i firewall-regler utan att användaren behöver logga in separat i browser eller portal.

Det är fortfarande användbart i klassiska Windows-domäner. Samtidigt är STAS ingen allmän SSO-lösning. Tilldelningen fungerar bara tillförlitligt när firewallen ser den verkliga client-IP:n, Domain Controllers skriver lämpliga inloggningsevents och tekniska konton exkluderas korrekt. För RDS-, terminalserver- eller Citrix-miljöer behövs oftast ett annat designupplägg, till exempel SATC.

När STAS är lämpligt

STAS passar framför allt miljöer med vanliga Windows-klienter i en Active Directory-domän. Typiska mål är:

  • Firewall-regler med AD-användare eller AD-grupper
  • Reporting med användarkoppling i stället för enbart IP-adresser
  • transparent användartilldelning utan Captive Portal
  • internetregler för interna klientnät
  • kompletterande autentisering i miljöer utan Entra ID SSO-design

STAS är mindre lämpligt när flera användare använder samma source-IP. Det gäller till exempel Remote Desktop Server, terminalservrar, Citrix-servrar eller system med NAT mellan client och firewall. I sådana fall bör man tidigt kontrollera om Sophos Authentication for Thin Client (SATC) eller en annan autentiseringsmodell passar bättre.

Videoguide

Följande Sophos Techvids visar STAS-upplägget visuellt. Videorna skapades med SFOS v21, men är fortfarande användbara för grundprincipen, arkitekturen och de viktigaste konfigurationsstegen. Enskilda vyer kan se något annorlunda ut i SFOS 22.

Del 1: STAS-översikt, nätverksupplägg, komponenter och Logon Detection.
Del 2: förutsättningar, firewall-konfiguration, Windows AD, STA Agent och STA Collector.
Sammanfattning av STAS-installationsserien.

Funktionssätt

STAS består av två komponenter:

KomponentUppgift
STA AgentKörs på en Domain Controller eller ett lämpligt Windows-system och identifierar AD-inloggningsevents
STA CollectorSamlar information från en eller flera STA Agents och skickar den till Sophos Firewall

Det typiska flödet:

  1. En användare loggar in på en Windows-client.
  2. Active Directory skriver ett passande Security Event.
  3. STA Agent läser detta event.
  4. STA Collector tar emot användare, client-IP och domäninformation.
  5. Sophos Firewall uppdaterar Live Users.
  6. Firewall-regler kan utvärdera användare eller grupper.

Dessutom kan collectorn kontrollera clients via WMI eller Registry Read Access. Detta Workstation Polling hjälper till att koppla en IP-adress till en användare eller korrigera inaktuella poster. Då måste Windows Firewall, tjänster, behörigheter och nätverksvägar passa.

Förutsättningar

Före installationen bör dessa punkter vara klara:

  • Sophos Firewall körs i Gateway-läge.
  • Active Directory är redan anslutet på firewallen.
  • Domain Controllers skriver nödvändiga inloggningsevents.
  • Windows-clients är medlemmar i domänen.
  • Ingen NAT ligger mellan clients, collector och Sophos Firewall.
  • Client Authentication är tillåtet under Device Access för de berörda zonerna.
  • DNS, tid, routing och firewall-regler mellan de berörda systemen stämmer.
  • Ett servicekonto och en process för lösenordsbyte är definierade.
  • Tekniska konton för Exclusions är kända.

STAS 2.5 och senare stöder enligt officiell dokumentation Windows Server 2008 R2, 2012 R2, 2016, 2019, 2022 och 2025. För nya installationer bör man ändå inte längre planera med gamla servergenerationer. Relevant är framför allt att STAS antingen kan köras direkt på en Domain Controller eller från STAS 2.5 även på en Member Server. Vid Member Server-design måste man särskilt noggrant kontrollera om Event Log-åtkomst, WMI/Registry-åtkomst och nätverksvägar verkligen passar.

Själva AD-anslutningen beskrivs i Ansluta Active Directory till Sophos Firewall. STAS bör inte ses som en ersättning för en ren AD-serverkonfiguration.

Om det under flera år skapas mycket många användare och grupper på firewallen bör man dessutom ha Sophos Firewall User-ID-gränsen i åtanke. Det är särskilt relevant när portal- eller VPN-funktioner bara fallerar för enskilda användare.

Planera arkitekturen

I små miljöer kan Agent och Collector köras på samma Domain Controller. Det är enkelt, men inte alltid den bästa driftvarianten.

I större miljöer är det ofta renare med:

  • STA Agent på varje relevant Domain Controller
  • en eller två STA Collectors på separata Windows-system
  • Collector-grupper per AD-domän
  • tydlig Exclusion List för tekniska konton
  • definierade firewall-regler och Device Access-tillåtelser
  • monitoring för tjänster, Event Logs och Live User-tilldelning

IP-sikten är viktig. STAS kopplar användare till en IP-adress. Om en proxy, NAT, terminalserver eller VPN-gateway döljer den verkliga client-IP:n kan firewallen inte använda tilldelningen tillförlitligt.

Förbered Active Directory

STAS är starkt beroende av att rätt inloggningsevents finns i Security Event Log. Följande inställningar måste kontrolleras på varje Domain Controller där STA Agent används.

Dessutom bör NetBIOS-namn, FQDN och Search DN för domänen noteras före installationen. Dessa värden behövs senare i Sophos Firewall och STAS-konfigurationen.

Aktivera Audit account logon events

Öppna Local Security Policy på Domain Controller. Det kan till exempel göras via secpol.msc.

Öppna därefter sökvägen:

Security Settings > Local Policies > Audit Policy

Öppna Audit account logon events där.

Audit account logon events Policy
STAS behöver passande inloggningsevents i Security Event Log.

Aktivera därefter Success och Failure och spara ändringen.

Aktivera Audit account logon events Success och Failure
Success och Failure hjälper vid detektering och felsökning.

Förbered STAS-konto

STAS-tjänsten bör köras med ett dokumenterat konto. I enkla testmiljöer används ofta ett administratörskonto. För produktionsmiljöer är ett dedikerat STAS-konto bättre, förutsatt att nödvändiga rättigheter sätts och testas korrekt.

Kontot måste beroende på design:

  • kunna starta tjänsten
  • kunna läsa relevanta Event Logs
  • kunna nå clients via WMI eller Registry Read Access
  • klara planerade lösenordsbyten
  • vara tydligt identifierbart i monitoring och dokumentation

Kontot måste inte nödvändigtvis vara Domain Admin. För Domain Controller är framför allt rätt grupp- och filrättigheter viktiga. I praktiken bör man kontrollera:

  • medlemskap i Domain Users
  • medlemskap i Event Log Readers
  • läs- och skrivrättigheter på C:\Program Files (x86)\Sophos\Sophos Transparent Authentication Suite\
  • vid WMI-Polling passande rättigheter på endpoints, till exempel Remote Desktop Users, Distributed COM Users samt WMI-behörigheter på Root\CIMV2 med Execute Methods och Remote Enable

Dessa endpoint-rättigheter kan i större miljöer distribueras bättre via Group Policies. Om Workstation Polling inte används bör man inte tilldela onödigt breda rättigheter.

Om tjänsten körs med ett eget konto måste detta konto få Log on as a service.

Sökväg i Local Security Policy:

Security Settings > Local Policies > User Rights Assignment
Log on as a service-användarrätt
STAS-servicekontot behöver rättigheten Log on as a service.

Lägg därefter till kontot.

Log on as a service Properties
Servicekontot måste dokumenteras och skyddas mot oplanerade lösenordsutgångar.

Kontrollera portar och tjänster

Mellan Sophos Firewall, STA Collector, STA Agent, Domain Controller och clients måste de nödvändiga anslutningarna vara möjliga. Som bas gäller:

RiktningSyftePort
STA Collector till Sophos Firewallskicka användarinformationUDP 6060
Sophos Firewall till STA CollectorCollector-kommunikationUDP 6677
STA Agent till STA Collectorskicka agentdata till CollectorTCP 5566

Ytterligare portar beror på aktiverade metoder:

FunktionTypisk förutsättning
Workstation Polling via WMITCP 135, TCP 445, RPC/DCOM/WMI-tjänster
Registry Read AccessTCP 445, Remote Registry
Logoff Detection PingICMP till client
STAS Collector TestUDP 50001
STAS Configuration SyncTCP 27015

Om Windows Firewall är aktiv på clients eller servrar bör reglerna begränsas strikt till collectorn. En exempelmall för WMI:

New-NetFirewallRule -DisplayName "Sophos STAS Collector WMI" -Direction Inbound -RemoteAddress 10.10.10.10 -Action Allow -Profile Domain

Detta kommando är bara en mall. I produktiva miljöer måste source-IP, målportar, profiler och Group Policies passa den valda polling-metoden.

Lägg in Active Directory på firewallen

Innan STAS aktiveras måste Sophos Firewall känna till Active Directory-servern.

I WebAdmin:

Authentication > Servers

Lägg där till en Active Directory-server eller kontrollera den befintliga konfigurationen.

Lägga till Active Directory Server på Sophos Firewall
AD-serverkonfigurationen är grunden för grupp- och användarupplösning.

De enskilda fälten förklaras i Ansluta Active Directory till Sophos Firewall. För STAS är särskilt NetBIOS-domän, domännamn, sökbas och gruppupplösning viktiga.

Ladda ned och installera STAS

STAS-installationen tillhandahålls via Sophos Firewall.

I WebAdmin:

Authentication > Client downloads
Client Downloads-meny på Sophos Firewall
STAS-installationsfilen laddas via Client downloads.

Under Single Sign-on finns Sophos Transparent Authentication Suite (STAS).

Ladda ned Sophos Transparent Authentication Suite
STAS tillhandahålls som Windows-installer.

Starta den nedladdade STAS.exe som administratör på det avsedda Windows-systemet.

STAS Installer Setup Type
Beroende på design installeras Agent, Collector eller båda komponenterna.

Typiska installationsvarianter:

VariantNär det är lämpligt
SSO Suite på en serverliten miljö eller labb
STA Agent på Domain Controllers, separat Collectorbättre separation och skalning
flera Collectorsredundans eller större miljö

Vid flera Domain Controllers behöver man normalt en STA Agent på varje relevant Domain Controller. En Collector kan samla information från flera Agents.

Konfigurera STAS

Efter installationen konfigureras STA Suite. De viktigaste områdena är General, STA Agent, STA Collector och Exclusion List.

General

På fliken General kontrollerar man framför allt servicekonto, domänuppgifter, NetBIOS-namn och FQDN.

Allmänna STAS-inställningar
NetBIOS, FQDN och servicekonto måste passa AD-miljön.

Om fel domänvärden står här ser installationen senare ofta frisk ut, men användare eller grupper tilldelas inte korrekt. NetBIOS-namnet måste anges med versaler i STAS.

STA Agent

På fliken STA Agent är dessa punkter avgörande:

  • STA Agent Mode: för lokal Event Log-detektering är EVENTLOG den typiska startpunkten.
  • Specify the networks to be monitored: ange client-nät där STAS ska identifiera användare.
  • Domain Controller IP: ange bara om agenten inte körs direkt på Domain Controller. Om SSO Suite är installerad på en Domain Controller lämnas detta fält normalt tomt.
  • Collector List: ange IP-adresserna för Collector-systemen.
Konfiguration av STA Agent
STA Agent identifierar Logon Events och skickar dem till Collector.

De övervakade nätverken bör väljas medvetet. Servernät, managementnät eller nät utan normala user workstations skapar annars onödiga fel eller felaktiga förväntningar.

STA Collector

På fliken STA Collector läggs Sophos Firewall in och Client Polling planeras.

Viktiga punkter:

  • Sophos Appliance: ange IP-adressen för Sophos Firewall.
  • Workstation Polling Method: välj WMI eller Registry Read Access medvetet.
  • Enable Logoff Detection: aktivera bara om ping och timeouts passar client-nätet.
  • Dead entry timeout: testa värde enligt STAS-version och driftmodell.
Konfiguration av STA Collector
Collector förmedlar mellan STA Agents, clients och Sophos Firewall.

Vid HA-kluster bör man använda den nåbara interna firewall-adressen som passar STAS-trafiken. Separata peer-administrationsadresser är oftast inte rätt målpunkt.

Exclusion List

Exclusion List förhindrar att tekniska konton skriver över normala användartilldelningar. Det är ett av de viktigaste driftområdena för STAS.

Typiska poster:

  • servicekonton för backup, monitoring, mjukvarudistribution eller endpoint-verktyg
  • administrations- och installationskonton
  • konton som loggar in i bakgrunden på många clients
  • servrar eller system där inga workstation-användare förväntas

Utan Exclusion List kan en verklig användare försvinna från Live Users, eftersom ett servicekonto kort därefter identifierades på samma client. Det ser senare ut som ett firewall-regelproblem, trots att orsaken ligger i autentiseringstilldelningen.

Collector-grupper och redundans

I små miljöer räcker ofta en Collector. I större miljöer bör Collector-grupper planeras medvetet.

Beprövade regler:

  • Använd en passande Collector-grupp per AD-domän.
  • Planera minst två Collectors om användarregler är kritiska.
  • Konfigurera STA Agents med alla avsedda Collectors.
  • Testa firewall och Collectors i båda riktningarna.
  • Placera inte Collectors på system som ofta startas om.

En STA Agent kan betjäna flera Collectors. En STA Collector kan också betjäna flera Sophos Firewalls. Ändå bör tilldelningen dokumenteras, annars blir troubleshooting senare onödigt svårt.

På firewallen registreras en Collector med Collector IP, Collector port och Collector group. Per Collector-grupp är högst fem Collectors möjliga. Ordningen i gruppen är viktig: den första Collector är primär, de övriga används som backup. Collectors för samma domän hör till samma Collector-grupp. För subdomäner eller separata AD-domäner bör egna Collector-grupper användas.

Aktivera STAS på Sophos Firewall

När Agent, Collector, AD och nätverk är förberedda aktiveras STAS på firewallen.

I WebAdmin:

Authentication > STAS

Aktivera STAS och ange Collector eller Collector-grupp.

STAS-inställningar på Sophos Firewall
Under Authentication > STAS läggs Collector in på firewallen.

Om konfigurationen fungerar visas användare i dashboarden och i Live User-området.

Live Users på Sophos Firewall Dashboard
Live Users visar om STAS för närvarande identifierar användare.

Om inga användare visas där bör man först kontrollera AD-events, Agent, Collector, Device Access och portar. Firewall-regler är först nästa steg.

Viktiga STAS-alternativ på firewallen

Under Authentication > STAS finns några alternativ som bör sättas medvetet.

AlternativBetydelsePraktisk kommentar
STAS quarantineVid inkommande trafik frågar firewallen Collector efter användar- och mål-IP-tilldelning. Utan träff kastas trafik.Lämpligt för strikta användarregler, men vid instabil STAS-detektering kan det se ut som ett nätverksproblem.
Identity probe time-outTid som firewallen väntar på svar från Collector. Standard: 120 sekunder.Höj inte blint. Kontrollera först varför Collector inte svarar eller svarar för sent.
Restrict client traffic during identity probeVid Yes kan traffic blockeras under identitetskontrollen tills firewallen får svar från STAS. Vid No vidarebefordras traffic under kontrollen.Fabriksinställningen är Yes, därför kan även länge oförändrade STAS-installationer påverkas. Kontrollera före SFOS 22-upgrades, eftersom alternativet i SFOS 22.0 MR1 är relevant för ett dokumenterat STAS-upgrade- och driftproblem.
Enable user inactivityTar bort inaktiva användare från Live Users.Hjälper till att hålla Live Users rent, men måste passa clients, polling och timeout.
Inactivity timerMinuter till sign-out för inaktiva användare. Standard: 3.För korta värden kan ge förvirrande utloggningar på tysta clients.
Data transfer thresholdMinsta datamängd i bytes för att en användare ska räknas som aktiv. Standard: 100.Låga trösklar är oftast mer lämpliga för office-clients än mycket aggressiva värden.

Skapa firewall-regel med användarkoppling

När STAS stabilt identifierar användare kan firewall-regler med användare eller grupper från Active Directory användas.

Firewall-regel med användarkoppling för RDP
Användarbaserade regler bör alltid loggas och valideras med verkliga testanvändare.

Viktigt:

  • Testa regeln med en verklig testgrupp.
  • Aktivera Log firewall traffic om regeln senare behöver analyseras.
  • Kontrollera regelpositionen.
  • Undvik fallback-regler som döljer autentiseringsfel.
  • Kontrollera Live Users och Log Viewer tillsammans.

För regelanalys passar Testa firewall-regel med Log Viewer, Policy Test och Packet Capture.

Validering efter konfiguration

En grön tjänststatus räcker inte. Efter konfigurationen bör hela kedjan testas.

Praktiskt förlopp:

  1. Logga in med testanvändare på en domain-client.
  2. Kontrollera Security Event på Domain Controller.
  3. Kontrollera STA Agent-status.
  4. Kontrollera STA Collector-status och identifierade användare.
  5. Kontrollera Live Users på Sophos Firewall.
  6. Testa användarbaserad firewall-regel med logging.
  7. Testa logoff eller användarbyte.
  8. Kontrollera tekniska konton mot Exclusion List.

I STAS kan man under Advanced > Show live users kontrollera vilka användare Collector känner till just nu. På firewallen är rätt plats Current activities > Live users. Båda vyerna bör logiskt stämma överens vid testtillfället.

Om STAS styr verksamhetskritiska regler bör detta test upprepas efter Windows-updates, Domain Controller-ändringar, firewall-upgrades och lösenordsbyten för servicekontot.

Tester, loggar och backup

STAS erbjuder flera lokala kontrollverktyg. Dessa är ofta snabbare än att bara titta i Firewall Log Viewer.

OmrådeSökväg i STASAnvändning
Testa firewall-anslutningAdvanced > Troubleshooting > Test Connectivity > SophosKontrollerar om Agent eller Collector når firewallen.
Testa STA AgentAdvanced > Troubleshooting > Test Connectivity > STAS AgentKontrollerar om Collector når en Agent.
Testa STA CollectorAdvanced > Troubleshooting > Test Connectivity > STAS CollectorKontrollerar om en Agent når en Collector.
WMI VerificationAdvanced > Troubleshooting > STAS Polling Utilities > WMI VerificationKontrollerar Workstation Polling via WMI mot en client-IP.
Registry Read VerificationAdvanced > Troubleshooting > STAS Polling Utilities > Registry Read VerificationKontrollerar Workstation Polling via Registry Read Access mot en client-IP.

STAS-loggen syns direkt i STAS-applikationen under Advanced > View Log. Dessutom ligger loggfilen på Windows-systemet under:

C:\Program Files (x86)\Sophos\Sophos Transparent Authentication Suite\stas.log

Före större ändringar bör man säkra STAS-konfigurationen. Det görs i STAS-applikationen under Advanced > Backup / Restore > Backup Now. Backupen skapas som en fil i formatet STAS_ConfigBackup_DD_MM_YYYY_THH_MM_SS.bkp. För återställning väljs .bkp-filen under Backup / Restore och läses in med Upload and Restore.

Kontrollera STAS före SFOS 22 MR1

STAS hör till de funktioner som bör kontrolleras medvetet före en Major Upgrade. I den aktuella Known Issues-listan finns ett problem kring SFOS 22.0 MR1, STAS och alternativet Restrict client traffic during identity probe. Om alternativet står på Yes kan det hindra en upgrade till SFOS 22.0 MR1 eller efter upgraden leda till upprepade Identity Probes och därmed till tillfälliga traffic-avbrott. Eftersom Yes är standardvärdet bör man inte anta att bara medvetet härdade specialkonfigurationer påverkas.

För administratörer är detta viktigt: det är inget normalt STAS-konfigurationsproblem. En miljö kan fungera i flera år och ändå märkas vid upgrade, eftersom en tidigare accepterad inställning blir kritisk tillsammans med SFOS 22.0 MR1. Därför bör STAS tas med i SFOS 22 Upgrade Check.

Kontrollera före en upgrade till SFOS 22.0 MR1 eller senare:

  • Är STAS alls aktivt?
  • Används användarbaserade regler produktivt?
  • Är Restrict client traffic during identity probe aktiverat?
  • Finns redan meddelanden om upprepade Identity Probes eller oförklarliga korta traffic-avbrott?
  • Finns en testanvändare som kan användas för riktad STAS-kontroll efter upgraden?

Om det berörda alternativet är aktivt bör det inte bedömas först under firmware-underhållsfönstret. Bättre är ett separat kort test i förväg: dokumentera ändringen, logga in testanvändare, kontrollera Live Users, testa användarbaserad regel och kontrollera Log Viewer. Om STAS styr säkerhetskritiska regler bör man också klargöra om en tillfällig fallback-regel behövs så att användare inte blockeras okontrollerat.

För upgradevägen till SFOS 22.0 MR1 gäller praktiskt: om STAS är aktivt och Restrict client traffic during identity probe står på Yes, sätt alternativet till No före upgraden och validera sedan med verkliga testanvändare. Om ändringen inte kan testas i förväg är det ofta renare att skjuta upp upgraden än att ta ett riskfyllt underhållsfönster. På redan berörda SFOS 22.0 MR1-system är No också den dokumenterade mitigeringen tills en korrigerad release finns.

Efter upgraden bör detta kontrolleras riktat:

  1. Kontrollera STAS-status under Authentication > STAS.
  2. Kontrollera Live Users med en ny domain-login.
  3. Testa användarbaserad firewall-regel med logging.
  4. Kontrollera i Log Viewer om användarnamnet syns och inte bara IP-adressen.
  5. Var uppmärksam på upprepade Identity Probe-effekter eller korta avbrott.

Om upgraden blockeras av ett STAS-meddelande eller om reproducerbara avbrott uppstår efter upgraden bör ett Sophos Support Case förberedas. Då är screenshot av upgrade-meddelandet, aktuell STAS-konfiguration, firmwareversion, berörd användarregel och ett kort testförlopp användbara.

Troubleshooting

Inga användare i Live Users

Kontrollera först om Domain Controller skriver passande Security Events. Kontrollera därefter STA Agent, STA Collector, portar och Device Access.

Typiska orsaker:

  • Audit Policy är inte aktiv
  • STA Agent körs inte eller läser fel Domain Controller
  • Collector är inte nåbar
  • UDP 6060 eller 6677 är blockerad
  • Client Authentication är inte tillåtet i Device Access
  • NAT döljer den verkliga client-IP:n

Användare tilldelas fel

Då är ofta Exclusions, Workstation Polling eller tekniska konton inblandade. Kontrollera om servicekonton, monitoring-konton eller installationskonton skriver över samma client.

Användare försvinner för snabbt

Kontrollera då Logoff Detection, Dead Entry Timeout, client-nåbarhet och polling-metod. Om clients inte svarar på ping, WMI eller Registry-åtkomst kan poster försvinna oväntat eller bli inaktuella.

DCOM-fel eller STAS frågar fel nät

Om Windows Event Viewer efter STAS-installationen visar DCOM-fel som Event ID 10009 eller 10028 är firewall-regeln inte automatiskt orsaken. Ofta försöker Collector kontrollera klienter via WMI eller Registry Read Access som inte är nåbara eller inte hör till de övervakade näten.

Då bör de övervakade näten begränsas i STAS:

  1. Öppna fliken STA Collector i STAS-applikationen.
  2. Under Sophos appliances, välj berörd Sophos Firewall och öppna Edit.
  3. Aktivera Enable subnet based filter.
  4. Ange bara de nät som verkligen ska övervakas.
  5. Kontrollera samma klientnät under Specify the networks to be monitored i fliken STA Agent.
  6. Tillämpa ändringarna och starta om STAS.

Det minskar onödiga WMI-frågor och förhindrar att användare från olämpliga nät visas som LogonType: 1. Efter ändringen bör stas.log, Windows Event Viewer och Current activities > Live users kontrolleras tillsammans.

Firewall-regel träffar inte

Titta då inte bara på regeln. Kontrollera:

  • Är användaren synlig under Live Users?
  • Identifieras rätt AD-grupp?
  • Träffar en tidigare firewall-regel?
  • Är logging aktiverad på regeln?
  • Ser Log Viewer användaren eller bara IP-adressen?

Övergångstid för oautentiserad traffic

För övergångsfaser tillåter firewallen som standard oautentiserad traffic under en kort tid. Detta värde kan kontrolleras eller anpassas via Device Console:

system auth cta unauth-traffic drop-period

Denna inställning bör inte ändras blint. Först måste det vara tydligt om problemet verkligen är övergångstiden eller en felaktig STAS-tilldelning.

När firewallen ser traffic från en IP-adress som STAS ännu inte känner någon användare för, kontrolleras denna IP först i learning mode. Under denna fas kan traffic kastas. Om Collector inte svarar behandlar firewallen IP-adressen som oautentiserad under en viss tid. För enheter utanför domänen bör man därför inte förvänta sig att STAS automatiskt täcker dem korrekt. För sådana system kan Clientless Users eller egna regler vara mer lämpliga.

STAS över VPN

STAS kan också användas i ett IPsec VPN-scenario om användare på en fjärrplats autentiseras mot en Domain Controller på huvudplatsen. Det bör dock bara planeras medvetet, eftersom routing, source-IP, STAS Monitored Networks och firewall-zoner måste passa ihop.

Förutsättningar för en sådan design:

  • IPsec-anslutningen är aktiv och stabil.
  • Branch-traffic routas via tunneln.
  • STAS och Active Directory är korrekt konfigurerade på huvudplatsen.
  • Branch-nätet är inlagt i STAS som övervakat nätverk.
  • Branch-firewallen är inlagd i STA Collector-konfigurationen som Sophos Appliance.
  • Client Authentication är tillåtet för VPN-zonen i Device Access.

På firewallen på huvudplatsen måste det fjärranslutna nätet kompletteras för STAS via Device Console. Exempel:

system auth cta vpnzonenetwork add source-network 172.50.50.0 netmask 255.255.255.0

Exemplet måste ersättas med det verkliga Branch-nätet. I många miljöer är det ändå enklare och robustare att använda STAS bara för lokala client-nät och designa fjärrplatser separat.

STAS, SATC och Remote Desktop Server

Klassiskt STAS fungerar bra när en client-IP typiskt tillhör en användare. På Remote Desktop Servers, terminalservrar eller Citrix-system delar däremot flera användare samma IP-adress. Då kan klassiskt STAS inte särskilja användare korrekt.

I sådana miljöer bör man kontrollera Sophos Authentication for Thin Client (SATC). SATC är inte bara en enkel kryssruta i STAS, utan ett eget designområde:

  • Vilka servrar berörs?
  • Vilka användare arbetar via dessa servrar?
  • Vilka firewall-regler måste verkligen vara användarbaserade?
  • Finns blandad traffic från servertjänster och användarsessioner?
  • Hur testas och dokumenteras beteendet?

Om terminalservrar bara används sällan kan det vara mer lämpligt att segmentera dessa anslutningar annorlunda eller använda egna regler utan användarkoppling. Avgörande är att autentiseringen passar den faktiska nätverksarkitekturen.

Driftchecklista

Före installationen:

  • AD-server på Sophos Firewall fungerar.
  • Client-nät och Domain Controllers är dokumenterade.
  • Ingen NAT döljer client-IP-adresser.
  • Servicekonto och rättigheter är definierade.
  • Audit Policy är aktiv på relevanta Domain Controllers.
  • Exclusion List är förberedd.

Efter installationen:

  • Agent och Collector körs.
  • Portar mellan Agent, Collector, Firewall och clients är öppna.
  • Live Users visar testanvändare.
  • Användarbaserad firewall-regel träffar i Log Viewer.
  • Logoff, användarbyte och tekniska konton har testats.
  • Collector-redundans är dokumenterad vid behov.

I drift:

  • Övervaka servicekonto.
  • Underhåll Exclusion List regelbundet.
  • Stäm av ändringar i Windows Firewall och GPO med STAS.
  • Stäm regelbundet av subnet-based filters och övervakade nät mot den verkliga klientstrukturen.
  • Testa STAS efter firewall- och Domain Controller-upgrades.
  • Kontrollera Restrict client traffic during identity probe före SFOS 22.0 MR1 eller senare.
  • Improvisera inte med STAS vid RDS/Citrix, utan kontrollera SATC eller en annan design.

FAQ

Vad är STAS på Sophos Firewall?

STAS är Sophos Transparent Authentication Suite. Funktionen läser Windows-inloggningsevents från Active Directory och rapporterar användar-IP-tilldelningar till Sophos Firewall, så att regler och rapporter kan använda användare eller grupper.

Måste STA Collector köras på en Domain Controller?

Nej. STA Agent används typiskt på Domain Controllers. STA Collector kan köras på samma system, men i större miljöer även separat.

Varför fungerar STAS inte med NAT mellan client och firewall?

STAS kopplar användare till en client-IP. Om NAT ändrar source-IP:n ser firewallen inte längre samma IP-adress som STAS känner från clienten. Användartilldelningen blir därmed opålitlig.

Vad hör hemma i STAS Exclusion List?

I Exclusion List hör tekniska konton, servicekonton, backup-, monitoring-, installations- och administrationskonton som inte representerar normal användaråtkomst och annars skulle kunna skriva över verkliga användartilldelningar.

När behöver man SATC i stället för STAS?

SATC bör kontrolleras när flera användare delar samma source-IP, till exempel på Remote Desktop Servers, terminalservrar eller Citrix-system. Klassiskt STAS kan inte särskilja sådana sessioner rent per användare. Förloppet finns i Konfigurera Sophos Firewall SATC för Remote Desktop Services.

Varför bör man kontrollera STAS före SFOS 22 MR1?

Ett Known Issue är dokumenterat där STAS med aktiverat alternativ Restrict client traffic during identity probe kan hindra en upgrade till SFOS 22.0 MR1 eller efter upgraden orsaka upprepade Identity Probes med traffic-avbrott. Före upgraden bör alternativet kontrolleras och i berörda miljöer sättas till No, eller också bör upgraden skjutas upp.