Sophos Firewall: STAS einrichten

In dieser Anleitung lernen Sie, wie Sie die STA-Suite von Sophos installieren und mit Ihrer Firewall verknüpfen. 

Voraussetzungen 

• Sophos Firewall mit SFOS 16.5 oder höher 
• Lizenz Base Firewall 
• Windows Server 2008 R2 oder neuer 

Was ist die STA-Suite? 

Die Sophos Transparent Authentication Suite (STAS) ist ein Programm, welches auf dem Domain Controller installiert wird, die LogOn-Events des AD-Servers erfasst und diese mit der Sophos Firewall synchronisiert. Dies ist zum Beispiel notwendig, wenn Sie Userbasierte Firewall-Regeln erstellen wollen oder Userspezifische Webfilter-Profile konfigurieren wollen. 

Die STA-Suite besteht aus zwei Teilen: 

• STA-Agent: Der Agent überwacht die Benutzerauthentifizierungsanfragen auf einem Active Directoory Domain Controller und sendet diese Informationen an den STA Collector. 
• STA-Collector: Sammelt die Benutzerauthentifizierungsanfragen vom STA-Agenten und sendet sie dann an die Sophos Firewall 

Sie können die beiden Teile gemeinsam als Suite auf Ihrem Domain Controller installieren. Sie können allerdings auch den STA-Agent auf dem Domain Controller und den STA-Collector auf einem gesonderten Server installieren. Der Agent kann mehrere Collectoren ansprechen, der Collector wiederum mehrere Sophos Firewalls. 

Diese Anleitung beschreibt die Installation der Suite auf einem AD Server und die Anbindung an eine Firewall. 

1. Active Directory Server vorbereiten 

• Gehen Sie auf Ihren AD-Server. 
• Öffnen Sie das Programm Local Security Policy (secpol.msc). 
• Navigieren Sie zu „Security Settings > Local Policies > Audit Policy“. Öffnen Sie hier „Audit account logon events“. 
• Aktivieren Sie die Optionen „Success“ und „Failure“. Bestätigen Sie mit OK. 

 2. User für STAS-Dienst

Wenn Sie für den STAS-Dienst einen eigenen User anlegen wollen, müssen Sie noch folgende Schritte durchführen. Wir empfehlen, für eine produktive Umgebung einen eigenen User. Sie können jedoch auch einen Domänen-Admin nutzen. Dann fallen die Schritte weg. 

• Navigieren Sie zu „Security Settings > Local Policies > User Rights Assignment“.
• Öffnen Sie hier „Log on as a service“. 
• Drücken Sie „Add User or Group“ und fügen Sie Ihren User hinzu. 

3. Kerberos Authentication Service

• Navigieren Sie zu „Security Settings > Advanced audit policy configuration > Audit Policies > Account Logon“. 
• Öffnen Sie „Audit Kerberos Authentication Service“.
• Aktivieren Sie die Option „Success“ und „Failure“.
• Bestätigen Sie mit OK. 

4. Advanced audit policy configuration

• Navigieren Sie zu „Security Settings > Advanced audit policy configuration > Audit Policies > Logon/Logoff“. 
• Öffnen Sie „Audit Logon“ und aktiveren Sie die Option „Success“ und „Failure“.
• Bestätigen Sie mit OK. 

5. Ports überprüfen

Auf Ihrem Active Directory Server sollten folgende Ports geöffnet sein: 

• STA Collector: XG Firewall (UDP 6060) 
• XG Firewall: STA Collector (UDP 6677) 
• STA Agent: STA Collector (TCP 5566) 

Da wir die Suite mit Agenten und Collector auf dem DC installieren, sind diese Ports selbstverständlich auf dem DC zu öffnen. Wenn Sie den Collector auf einem separaten Server installieren, müssen Sie die Ports auf diesem öffnen sowie TCP 5566 auf dem AD und dem Collector Server.

Für die folgenden Methoden müssen zudem diese Ports geöffnet sein:

• WMI oder Registry Read Access: Ausgehend TCP 135; Ausgehend TCP 445
• Logoff Detection Ping: Ausgehend ICMP
• STAS Collector Test: Eingehend/Ausgehend UDP 50001
• STAS Configuration Sync: Eingehend/Ausgehend TCP 27015 

Installation der STA-Suite

1. Client Authentication aktiveren

Zunächst müssen Sie unter „Administration --> Device Access“ die Client Authentication für die Zone aktiveren, in der der AD-Server und die Workstations stehen. 

2. AD-Server auf Ihrer Sophos Firewall konfigurieren

Dann müssen Sie einen AD-Server auf Ihrer Sophos Firewall konfigurieren. (Darauf werden wir in dieser Anleitung nicht genauer eingehen.)

3. STA-Suite herunterladen

• Laden Sie über den Reiter „Client downloads“ die STA-Suite herunter. 

• Das Programm können Sie nun auf Ihrem Domain Controller installieren. Sie müssen während der Installation einen User angeben, mit dem der STAS installiert wird. Wir empfehlen, für eine produktive Umgebung einen eigenen User. Sie können jedoch auch einen Domänen-Admin nutzen. 
• Öffnen Sie das Programm. Prüfen Sie, ob der richtige „NetBIOS Name“ und „FQDN“ eingetragen ist. Prüfen Sie außerdem, auf welchen Port die Suite auf die Sophos Firewall hört. 

4. Wechseln Sie in den Reiter „STA-Agent“.  

• STA Agent Mode: Da der Agent auf dem AD liegt, können Sie hier „EVENTLOG“ auswählen.
• Specify the networkst to be monitored: Hier müssen Sie die Netzwerke eintragen, in denen sich Ihre Clients befinden. 

5. Wechseln Sie in den Reiter „STA Collector“. 

• Sophos Appliances: Hier tragen Sie die IP-Adresse Ihrer Sophos Firewall ein. 
• Workstation Polling Method: Es gibt verschiedene Methoden, um angemeldete User zu validieren. Standardmäßig ist „WMI“ ausgewählt. Alternativ können Sie auch die Methode „Registry Read Access“ auswählen. Der STA Collector muss auf die Clients zugreifen können. Sie müssen also gegebenfalls die Windows Firewall der Clients anpassen.
• Dead entry timeout: Dieser ist standardmäßig auf null. Wenn Sie Clients nach einer gewissen Zeit abmelden wollen, sollten Sie hier eine Zahl größer als 0 eintragen. 

6. Wechseln Sie nun zurück auf Ihre Firewall. 

• Unter dem Punkt „Authentication --> STAS“ müssen Sie nun den Schieberegler „Enable Sophos Transparent Authentication Suite“ aktivieren und mit dem Button „Activate STAS“ bestätigen. 

• Unter dem Punkt „Collector“ können Sie nun mit „Add new Collector“ Ihren Collector hinzufügen. Achten Sie darauf, dass der Port derselbe ist wie in Punkt 3 geprüft.