KB 123156 – Sophos XG Firewall: Clientless Single Sign-On em um ambiente com controlador de domínio Active Directory único

Visão Geral

Este artigo da base de conhecimento explica como integrar o STAS em um ambiente com um único servidor Active Directory.

Nota: Esteja ciente de que uma vez que o STAS é ativado para teste ou implementação, o firewall descarta o tráfego não autenticado até que a detecção responda ou expire.

  • Autenticação Sophos Clientless SSO
  • Como funciona o STAS?
  • Configuração
    • Configuração ADS
    • Configuração STAS
    • Integre o Sophos XG Firewall com o Active Directory
    • Configuração do XG Firewall
  • Abandone o tempo limite no modo de aprendizagem
  • Resultados
    • Verificar usuários ativos
    • Verifique o tráfego do usuário no Log Viewer
  • Informação relacionada

Aplica-se aos seguintes produtos e versões
Sophos XG Firewall

Autenticação Sophos Clientless SSO

O Sophos Clientless SSO é parte do Sophos Transparent Authentication Suite (STAS). O STA Suite consiste em:

  • Agente STA: monitora as solicitações de autenticação do usuário e envia informações ao Coletor STA para autenticação.
  • coletor STA: coleta as solicitações de autenticação do usuário do agente STA, processa a solicitação e as envia para o XG Firewall para autenticação.

Como funciona o STAS?

tidy_fix_alt
  1. O usuário efetua login no controlador de domínio Active Directory (AD) de qualquer estação de trabalho na LAN. O controlador de domínio autentica as credenciais do usuário
  2. O AD obtém as informações da sessão de logon do usuário e cria um log de auditoria de segurança. Após a autenticação do usuário com êxito, o AD cria um evento com uma ID de 672 (Windows 2003) ou 4768 (Windows 2008 e superior).
  3. O Agente, enquanto monitora o servidor AD, obtém as informações de sessão de logon do usuário a partir das IDs de eventos acima.
  4. O Agente passa o nome de usuário e o endereço IP ao Coletor pela porta TCP padrão (5566) ao mesmo tempo.
  5. O Coletor responde enviando atualizações de autenticação bem-sucedidas para o XG Firewall na porta UDP 6060.
  6. Se o XG Firewall vê o tráfego de um IP, ele não tem informações sobre ele pode consultar o coletor na porta 6677.
  7. Um usuário inicia uma solicitação de Internet.
  8. O XG Firewall combina as informações do usuário com seu mapa de usuário local e aplica as políticas de segurança de acordo.

Com base nos dados do Agente STA, o Firewall XG consulta o servidor AD para determinar a associação ao grupo; dependendo dos dados, o acesso é concedido ou negado. Os usuários logados em uma estação de trabalho diretamente (ou localmente), mas não logados no domínio, não serão autenticados e são considerados usuários não autenticados. Para usuários que não estão logados no domínio, é apresentado o prompt Captive Portal para um login manual, será exibido para autenticação.

Configuração

Configuração ADS

Vá para Iniciar > Ferramentas Administrativas > Política de Segurança Local para visualizar as Configurações de Segurança. Navegue até Configurações de segurança > Políticas Locais > Política de auditoria e clique duas vezes em logon de conta de auditoria eventos para ver a Janela eventos de logon de conta Propriedades Auditoria.

Selecione as opções Sucesso e Falha e clique em OK para fechar a janela.

tidy_fix_alt

Ainda na Política de segurança local , navegue até Configurações de segurança > Políticas locais > Atribuição de Direitos do usuário e clique duas vezes em Login como um serviço para visualizar as Propriedades de Login como um serviço.

Se o usuário administrativo usado para instalar e executar o STAS não estiver listado aqui, selecione Adicionar usuário ou grupo e adicione o usuário. Selecione OK para fechar a janela.

tidy_fix_alt

Configure o Firewall do Windows e / ou software de firewall de terceiros para permitir a comunicação nas seguintes portas:

  • Servidor AD : UDP 6677 de entrada, UDP 6060 de saída, TCP 135 e 445 de saída (se estiver usando o método de pesquisa de estação de trabalho WMI ou acesso de leitura de registro), ICMP de saída (se estiver usando ping de detecção de logoff), UDP de entrada / saída 50001 (teste do coletor), entrada / TCP de saída 27015 (sincronização de configuração).
  • Estação(ões) de trabalho : TCP 135 e 445 de entrada (se estiver usando o Método de pesquisa de estação de trabalho WMI ou Acesso de leitura de registro), ICMP de entrada (se estiver usando Ping de detecção de logoff).

Observação: os serviços RPC, localizador de RPC, DCOM e WMI devem ser ativados nas estações de trabalho para acesso de leitura WMI / Registro.

Configuração STAS

Faça login no seu servidor AD usando uma conta de administrador e siga as etapas abaixo para instalar e configurar o STAS:

Baixar STAS

Na interface gráfica do usuário (GUI) do XG Firewall, vá para Authentication >… (clique no símbolo … na extremidade direita do menu de autenticação) > Client Downloads e instale-o no servidor AD.

tidy_fix_alt

Você também pode baixar o STAS na página Client Downloads no User Portal enquanto estiver conectado como administrador.

Instale o STAS

Continue a instalar o arquivo STAS baixado recentemente. Clique em Next e siga o assistente.

tidy_fix_alt

Escolha a pasta de destino.

tidy_fix_alt

Selecione a pasta do menu iniciar.

tidy_fix_alt

Selecione se deseja criar ícones da área de trabalho e Quick Launch.

tidy_fix_alt

Revise e clique em Instalar.

tidy_fix_alt

Selecione SSO Suite e clique em Next.

tidy_fix_alt

Digite o nome de usuário administrador e a (s) senha (s) e selecione Next.

tidy_fix_alt

Pressione Finish para completar a instalação.

tidy_fix_alt

Assim que o STAS estiver instalado, inicie-o em Iniciar > Todos os programas > STAS > Sophos Transparent Authentication Suite ou no atalho da área de trabalho.

Configurar STAS

  1. Alterne para a guia STA Collector.
  2.  Em Sophos Appliances, adicione o endereço IP do XG Firewall.
  3. Defina as Workstation pooling Method como WMI.
  4. Mantenha as configurações de detecção de logoff em sua configuração padrão.
    • Definir o tempo Death Entry Timeout desconectará o usuário do XG Firewall após o tempo alocado, mesmo se a detecção de logoff para os usuários estiver desabilitada.
  5. Deixe as portas padrão em 6677 e 5566.

    tidy_fix_alt
     
  6. Alterne para a guia STA Agent.
  7. Digite a (s) rede (s) a serem monitoradas pelo STAS.

    tidy_fix_alt

     
  8. Mude para a guia General.
  9. Digite o NetBIOS Name do domínio.
  10. Insira o FQDN para o domínio.
  11. Selecione Apply.
  12. Selecione Start para iniciar o Serviço STAS.

    tidy_fix_alt
     

Integre o XG Firewall Sophos com o Active Directory

Consulte  Sophos XG Firewall: Como integrar o Sophos XG Firewall ao Active Directory para obter instruções detalhadas.

Nota: Você deve adicionar o servidor AD como um método de autenticação de firewall na guia Serviços.

Configuração do XG Firewall

Vá para Authentication > STAS  para habilitar o STAS selecionando o botão On e clique em Activate STAS.

tidy_fix_alt

 Depois de ativado, selecione Add New Collector.

tidy_fix_alt

Digite o endereço IP do servidor AD na caixa Collector IP e Save.

tidy_fix_alt

Nesse ponto, o XG Firewall XG tenta entrar em contato com o STAS no servidor AD sobre UDP 6060. No servidor AD, abra o STAS e vá para a guia General para ver o endereço IP do XG Firewall em Appliances Sophos. Isso é uma indicação de que o STAS está conectado ao XG Firewall corretamente.

tidy_fix_alt

Vá para Firewall > +Add New Firewall Rule para criar uma regra de firewall baseada em identidade para controlar o tráfego com base no usuário.

tidy_fix_alt

Vá para Administration > Device Access e habilite Client Authentication para a zona necessária.

tidy_fix_alt

Tempo de Abandone no modo de aprendizagem

Quando o XG Firewall detecta tráfego não autenticado de um IP, o STAS colocará este IP no Modo de Aprendizagem e enviará uma solicitação ao coletor para informações do usuário deste IP. Enquanto em um estado de aprendizagem, o firewall descarta o tráfego gerado a partir deste IP.

Por padrão, o valor de tempo limite de descarte não autenticado é 120 segundos. para verificar este valor, acesse a interface de linha de comando (CLI) e escolha a opção 4 Device Console e digite o seguinte comando: 

system auth cta show

tidy_fix_alt

Este tempo limite é configurável, por exemplo, para alterá-lo para 60 segundos, digite o seguinte comando:

system auth cta unauth-traffic drop-period 60

tidy_fix_alt

Nota:

  • Quando não há resposta do coletor no Modo de Aprendizagem, o STAS coloca o IP em estado não autenticado por 1 hora. Ele tentará se conectar novamente após 1 hora entrando no estado de aprendizagem. Enquanto em estado não autenticado, o XG Firewall aplica suas regras de firewall para tráfego não autenticado de acordo.
  • Se a rede contiver algum host que não faça parte do domínio, é recomendável criar usuários sem cliente para esses endereços IP.

Resultados

Verificar usuários ativos

Depois que os usuários forem autenticados com êxito no domínio, eles podem ser vistos como usuários ativos no STAS ou no Sophos XG Firewall.

No STAS, vá para a guia Advanced e selecione Show Live Users.

tidy_fix_alt
tidy_fix_alt

No XG Firewall, vá para Monitoring e Analyze >Current Activities >Live Users.

tidy_fix_alt

Verifique o tráfego do usuário no Log Viewer 

No canto superior direito da interface gráfica do usuário (GUI), selecione Log Viewer.

tidy_fix_alt

Na janela Log Viewer, selecione Add Filter. Verifique se o Field é Log ComponentCondition é is e o Value é Firewall Rule. Clique em Add Filter.

tidy_fix_alt

Supondo que o tráfego do usuário esteja atingindo uma regra de firewall que tenha a identidade do usuário correspondente habilitada, seu nome de usuário deve agora refletir na coluna Username.

tidy_fix_alt

Informação relacionada

Inscreva-se no Sophos Support SMS Notification Service para obter as informações mais recentes sobre o lançamento do produto e questões críticas.

do Original em: https://support.sophos.com/support/s/article/KB-000035732?language=en_US

Deixe um comentário