Configura el STAS en Sophos Firewall (SFOS)

Este artículo muestra cómo configurar STAS (Sophos Transparent Authentication Suite) en un Sophos Firewall con el SFOS. En esta guía, la Suite STA se instala en el servidor Active Directory.

Requisitos

• Sophos Firewall con SFOS 16.5 o superior
• Licencia: Base-Firewall
• Modo: Gateway
• Windows Server 2008 R2 o posterior

¿Qué es STAS?

El nombre completo de STAS es «Sophos Transparent Authentication Suite». Esta suite contiene dos pequeñas herramientas que permiten a tu Sophos Firewall crear reglas de cortafuegos para tus usuarios de Active Directory. Aquí tienes una breve descripción de los dos programas incluidos:

• Agente STA: Este agente supervisa las solicitudes de autenticación de usuario en un controlador de dominio Active Directory y envía esta información al recopilador STA.
• Recolector STA: Recoge las solicitudes de autenticación de usuario del agente STA y luego las envía a Sophos Firewall.

Cómo funciona STAS

1. El usuario «Bruce Banner» se conecta a su estación de trabajo (172.16.33.100) y el Directorio Activo lo permite.
2. El controlador de dominio crea un evento de inicio de sesión en el registro de eventos de auditoría de seguridad. (ID 4758 ó 672)
3. El Agente STAS monitoriza el registro de estos eventos.
4. El Colector STAS informa al Cortafuegos XG sobre el inicio de sesión a través del puerto 6060 UDP.
5. El Sophos Firewall actualiza sus usuarios en directo y mapea el tráfico desde 172.16.33.100 con el usuario «Bruce Banner».

1. configura el ADS

STAS funciona monitorizando el registro de Active Directory e informando al cortafuegos de qué usuarios inician o cierran sesión. Por tanto, es importante que estos eventos también se registren.

Información: Los siguientes ajustes deben realizarse en cada servidor Active Directory en el que se instale STA Agent.

Activar eventos de inicio de sesión de cuentas de auditoría

Abre el programa Local Security Policy en tu servidor Active Directory. Puedes encontrarlo en las Herramientas Administrativas de Windows (secpol.msc). A continuación, tienes que abrir Audit account logon events. Como se muestra en la siguiente captura de pantalla, pasa primero a Security Settings > Local Policies > Audit Policy y abre Audit account logon events.

A continuación, activa las opciones Success y Failure y confirma tus cambios con OK.

Iniciar el servicio STAS con tu propio usuario

Si quieres iniciar el servicio STAS con tu propio usuario, debes realizar los siguientes pasos. De lo contrario, puedes saltarte este paso. Cambia al Local Security Policy en la siguiente ruta: Security Settings > Local Policies > User Rights Assignment. A continuación, abre la opción Log on as a service.

A continuación, haz clic en Add User or Group y añade tu usuario.

Abrir puertos ADS

El servidor de Active Directory debe tener abiertos los siguientes puertos:

• Recopilador STA > Cortafuegos XG (UDP 6060)
• XG Firewall > Recopilador STA (UDP 6677)
• Agente STA > Recolector STA (TCP 5566)

Sólo tienes que activar los siguientes puertos si también utilizas estos métodos:

Método de sondeo de estaciones de trabajo (WMI) o acceso de lectura al Registro:

• Basado en TCP 135
• Basado en TCP 445

Ping de Detección de Desconexión:

• Basado en ICMP

Prueba del Colector STAS:

• UDP entrante/saliente 50001

Sincronización de la configuración STAS

• TCP entrante/saliente 27015

Nota: los servicios RPC, Localizador RPC, DCOM y WMI también deben estar activados en los clientes para el Acceso de Lectura WMI/Registro.

2. añade el servidor de Active Directory en el cortafuegos

Después de haber preparado el Directorio Activo para STAS con algunos ajustes en el punto 1, ha llegado el momento de añadir el AD a tu Sophos Firewall. Para ello, inicia sesión en tu Sophos Firewall (SFOS) como administrador y ve a la página Authentifizierung > Server a través del menú. A continuación, haz clic en el botón azul Hinzufügen para añadir un nuevo servidor.

En las siguientes instrucciones, te guiaremos paso a paso a través de todas las entradas necesarias: Añadir Active Directory a Sophos Firewall

3. descarga la herramienta STAS

Volvamos ahora nuestra atención al Servidor de Directorio Activo. A continuación, instalaremos STA Suite, que primero debes descargar de tu Sophos Firewall. Para ello, inicia sesión en tu Sophos Firewall (SFOS) como administrador y ve a la página Authentifizierung a través del menú. A continuación, haz clic en los tres puntos de la esquina superior derecha de la pestaña de navegación y selecciona Client-Downloads en el menú desplegable.

En la sección Inicio de sesión único encontrarás el paquete necesario Sophos Transparent Authentication Suite (STAS ) para descargar.

Información: También puedes descargar la Suite STA directamente desde el sitio web de Sophos: Descargas de Soporte UTM

4. instala SSO Suite

Ahora ejecuta el archivo STAS.exe descargado y haz clic en el instalador. Durante la instalación aparecerá la siguiente ventana, en la que podrás elegir entre tres opciones diferentes:

Por defecto, puedes dejar aquí seleccionada la opción Suite SSO, que instalará todos los componentes en el Directorio Activo. Sin embargo, si quieres instalar STA Collector o STA Agent en dos sistemas diferentes, por ejemplo, deberás ajustar la selección aquí en consecuencia. Si tienes dos servidores de Active Directory, necesitarás STA Agent en ambos sistemas, pero sólo un STA Collector. De nuevo, simplemente ajusta la selección en función de la situación.

Durante la instalación, también debes especificar un usuario con el que se instalará e iniciará el servicio. En estas instrucciones, utilizaré simplemente el administrador del dominio, ya que este usuario dispone sin duda de las autorizaciones necesarias. Para un entorno productivo, sería ciertamente recomendable crear un usuario específico para este fin.

5. configurar STAS

Tras la instalación, todavía hay que configurar STA Suite. Repasaremos los ajustes pertinentes en los pasos siguientes.

STAS General

En la pestaña General, puedes cambiar posteriormente el usuario con el que se iniciará el servicio. Sin embargo, asegúrate de que aquí se introducen el nombre NetBIOS y el FQDN correctos.

Agente STA

Echemos un vistazo a lo que debes tener en cuenta en la pestaña Agente STA:

• Modo STA Agent: En nuestro ejemplo, podemos seleccionar aquí EVENTLOG, ya que STA Collector está instalado en el mismo sistema que STA Agent.
• Especifica las redes que se van a supervisar: Aquí se especifican todas las redes en las que se encuentran los clientes.

Colector STA

Echemos un vistazo a lo que debes tener en cuenta en la pestaña Colector STA:

• Sophos Appliance: Aquí se especifica la IP del dispositivo Sophos.
• Tiempo de espera de entrada muerta: Este valor está fijado en 0 horas por defecto. Sin embargo, 12 horas también sería adecuado aquí para que los clientes se desconecten automáticamente después de un cierto tiempo.

Para validar a los usuarios conectados, hay dos opciones en el apartado Método de sondeo de estaciones de trabajo. Por un lado, la verificación WMI seleccionada por defecto o, alternativamente, el Acceso de Lectura al Registro. En ambos casos, debe ejecutarse un servicio en el cliente.

WMI:

• Llamada a Procedimiento Remoto (RPC)
• Localizador de Llamada a Procedimiento Remoto (RPC)

Acceso de lectura al Registro:

• Registro remoto

El Recopilador STA debe poder acceder a los clientes. Si el Firewall de Windows está activo en un cliente, puedes crear una regla mediante PowerShell:

New-Netfirewall –DisplayName "Sophos STAS Collector" -Direction inbound –RemoteAddress 10.10.10.10

6. activa STAS en Sophos Firewall

Si has seguido estas instrucciones hasta este punto, ya se están enviando datos desde el STA Collector al cortafuegos. Para que el cortafuegos reciba estos datos, STAS debe seguir activado en el cortafuegos.

Para ello, ve a Authentifizierung > STAS en tu Sophos Firewall y mueve el conmutador superior a ON. Para que el cortafuegos sepa de qué recopilador puede recibir datos, finalmente debes hacer clic en el botón azul Neuen Kollektor hinzufügen e introducir la dirección IP del sistema en el que has instalado el recopilador.

Si lo has hecho todo correctamente, verás a los usuarios conectados desde tu servidor de Active Directory en el panel de control de tu cortafuegos y en el Visor en Directo, en Autenticación.

7. crear regla de cortafuegos

Si todas tus pruebas han sido satisfactorias, ahora puedes empezar a crear tus propias reglas de cortafuegos para usuarios o grupos específicos que ahora están sincronizados desde tu AD al cortafuegos. En la siguiente captura de pantalla, por ejemplo, hemos creado una regla que permite al administrador acceder a Internet a través de RDP (3389).

Otros temas

Ya has configurado correctamente el STAS en tu Sophos Firewall. A continuación encontrarás más información que puede interesarte en este punto.

Solución de problemas

El servidor de Active Directory tarda algún tiempo en transmitir los usuarios al cortafuegos. Para evitar que el cortafuegos simplemente bloquee este tráfico mientras tanto, el tráfico no autenticado se permite durante 120 segundos por defecto. Si quieres ajustar este valor manualmente, puedes hacerlo a través de la CLI:

system auth cta unauth-traffic drop-period <seconds>

Autenticación de Sophos para clientes ligeros (SATC)

STAS es bueno si tienes todos los clientes individuales en tu red. Sin embargo, en cuanto utilizas un servidor de escritorio remoto o Citrix, esto no funciona. Aquí necesitas la Protección de Servidor.

Entornos más grandes

En esta guía hemos explicado la variante estándar general de cómo se puede configurar STAS. Sin embargo, también hay casos especiales en los que puedes trabajar con varios servidores, subredes y dominios de Active Directory. En esos casos, por supuesto, estaremos encantados de ofrecerte nuestra ayuda. Sólo tienes que ponerte en contacto con nosotros con la consulta correspondiente. 👍