Versions Compared

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

Какво е Sophos Clientless SSO Authentication?

Еднократната автентикация на Sophos Възможността за еднократно удостоверяване в Sophos XG е под формата на Sophos Transparent Authentication Suite (STAS).

STA комплекта се състои от:

  • STA агент: получава наблюдава заявките , които подават на потребителите за удостоверяване пред защитната стена на Sophos и изпраща получената информация до STA колекторав AD и ги изпраща към STA Collector-а за удостоверяване;

  • STA колектор: събира заявките от STA агента, обработва ги и ги изпраща за удостоверяване към Sophos XG Firewall.

Как работи STAS?

...

(кликнете върху изображението за тук, за да видите изображението в пълен размер)

  1. Потребителя дава заявка (автентикира се ) удостоверява пред домейн контролера на активната директория, от която и да е работна машина във вътрешната мрежа. Домейн контролера удостоверява креденшълите на потребителяпотребителя на базата на неговите креденшали (потребителско име и парола).

  2. Активната директория получава информация за сесията и създава спъсък с логове за одит на сигурността. След успешна автентикация успешно удостоверяване на потребителя, активната директория създава събитие с ID 672 (Windows 2003) или 4768 (Windows 2008 и по-нови версии, включително Windows Server 2019).

  3. Агентът, наблюдавайки сървъра на активната директория, извлича информацията за сесията за влизане от потребителя, с помощта на гореспоменатите събития.

  4. Агентът, изпраща едновременно потребителското име и IP адреса на колектора към порт 5566 TCP.

  5. Колектора изпраща към XG защитната стена успешни ъпдейти за автентикация удостоверяване към порт 6060 UDP.

  6. Ако XG защитната стена види трафик от IP адрес, за който няма информация, може се обърне към колектора за информация чрез порт 6677.

  7. Потребителя прави заявка за достъпване на Интернет.

  8. Защитната стена на XG търси съвпадение с информацията на потребителя и неговата локална потребителска “карта”(групова политика), за да приложи политиките за сигурност.

На база информацията, дадена от STA агента, XG защитната стена се обръща към сървъра на активната директория, за да определи какъв достъп да бъде предоставен или да бъде отказан. Потребителите, които вече имат директен(или локален) достъп до работната станция, но не са се автентикирали удостоверили пред домейна, няма да бъдат удобрени одобрени за автентикация удостоверяване и ще се считат за неоторизирани потребители. За потребители които не са достъпили домейна, каптивния портал ще покаже страница за автентикация удостоверяване “логин”.

Конфигурации


Конфигурации на сървъра на активната директория (ADS)

...

Отворете Security Settings > Local Policies > Audit Policy и кликнете двукратно  и кликнете два пъти върху Audit account logon, за да се отвори прозореца Audit account logon events Properties

Изберете двете опции за Success и Failure и кликнете върху OK, за да затворите прозореца.

...

(кликнете върху изображението за тук, за да видите изображението в пълен размер)

Докато все още сте в прозореца Local Security Policy, отворете Security Settings > Local Policies > User Rights Assignment и кликнете двукратно два пъти върху Log on as a service, за да видите Log on as a service Properties.
Ако администратора, който е инсталирал и стартирал STAS не е посочен в списъка, изберете Add User or Group и добавете потребителя. Изберете OK, за да затворите прозореца.

...


...


(кликнете върху изображението за тук, за да видите изображението в пълен размер)

Конфигурирайте защитната стена на Windows и/или друг софтуер на защитна стена, за да се разрешикомуникацията разреши комуникацията през следните портове:

  • AD сървъри: Inbound UDP 6677, Outbound UDP 6060, Outbound TCP 135 & 445 (if using Workstation Polling Method WMI or Registry Read Access), Outbound ICMP (if using Logoff Detection Ping), Inbound/Outbound UDP 50001 (collector test), Inbound/Outbound TCP 27015 (config sync).

  • Работни машини: Inbound TCP 135 & 445 (if using Workstation Polling Method WMI or Registry Read Access), Inbound ICMP (if using Logoff Detection Ping).

Note

Забележка: RPC, RPC locator, DCOM и WMI услуги трябва да бъдат активирани на работните станции с достъп за четене на WMI/Registry Read Access.


STAS инсталация

От някой от сървърите на активните директирии влезте в интерфейса на защитната стена на XG и отидете на Authentication > ... (кликнете върху символа ... в най-дясната част на менюто за удостоверяване) > Client Downloads и изтеглете STAS.

...

(кликнете върху изображението за тук, за да видите изображението в пълен размер)

Може да изтеглите STAS и от страницата за изтегляне в потребителския портал като сте влезнали като администратор.
След като изтеглите инсталационния файл, стартирайте инсталацията. Кликнете Next и следвайте стъпките.

...

(кликнете върху изображението за тук, за да видите изображението в пълен размер)

Изберете папката, в която да се запазят файловете.

...

(кликнете върху изображението за тук, за да видите изображението в пълен размер)

Изберете папката от старт менюто.

...

(кликнете върху изображението за тук, за да видите изображението в пълен размер)


Изберете опцииите дали желаете да създадете икона на работния плот (desktop icon) и икона за пряк път (бърз достъп)(Quick Lauch icon).

...

(кликнете върху изображението за тук, за да видите изображението в пълен размер)

Прегледайте и кликнете Install.

...

(кликнете върху изображението за тук, за да видите изображението в пълен размер)

Изберете радио бутона SSO Suite и кликнете върху Next.

...

(кликнете върху изображението за тук, за да видите изображението в пълен размер)


Въведете администраторски креденшъли (потребителско име и парола) и кликнете върху Next.

...

(кликнете върху изображението за тук, за да видите изображението в пълен размер)

Натиснете Finish, за да завършите инсталацията.

...

(кликнете върху изображението за тук, за да видите изображението в пълен размер)


След като инсталацията приключи, отидете в Start > All Programs > STAS > Sophos Transparent Authentication Suite или от пряк път за Desktop, за да стартирате програмата.

Конфигурация на STA комплект на главния домейн контролер

  1. Отворете наскоро инсталирания STA Suite и отворете раздела STA Collector.

  2. В полето Sophos Appliances добавете IP адреса на XG Firewall.

  3. От падащото меню на Workstation Polling Settings изберете WMI.

  4. Запазете Logoff Detection настройките в конфигурацията си по подразбиране.

  5. Задайте портовете по подразбиране на 6677 и 5566.

    Image RemovedImage Added

    (кликнете върху изображението за тук, за да видите изображението в пълен размер)


6. Отворете раздела STA Agent и въведете IP адреса на мрежата (мрежите), които ще бъдат наблюдавани от STAS.  

Image Modified

(кликнете върху изображението за тук, за да видите изображението в пълен размер)

7. Отворете раздела General

...

11. Изберете Start, за да стартирате STAS.  

Image Modified

(кликнете върху изображението за тук, за да видите изображението в пълен размер)


Конфигурация на STA Agent на допълнителен домейн контролер

  1. Отворете наскоро инсталирания STA Suite и отворете раздела STA Agent.

  2. В секция Monitored Networks въведете IP адреса на мрежата (мрежите), които ще бъдат наблюдавани от STAS.

  3. В полето Collector List въведете IP адреса на главния домейн контролер.

    Image RemovedImage Added

    (кликнете върху изображението за тук, за да видите изображението в пълен размер)


4. Отворете раздела General.

...

8. Изберете Start, за да стартирате STAS.

...

(кликнете върху изображението за тук, за да видите изображението в пълен размер)

Конфигурация на XG Firewall

Отидете на Authentication STAS, за да активирате STAS, като изберете бутона ON и щракнете върху Activate STAS.

...

(кликнете върху изображението за тук, за да видите изображението в пълен размер)

След активацията, изберете бутона Add New Collector.

...

(кликнете върху изображението за тук, за да видите изображението в пълен размер)

Въведете IP адреса на главния домейн контролер в полето Collector IP и кликнете върху Save.

...

(кликнете върху изображението за тук, за да видите изображението в пълен размер)

На този етап XG защитната стена се опитва да се свърже със STA комплекта (STAS) на главния домейн контролер през порт UDP 6060. В главния домейн контролер, отворете STAS и отидете в раздела General, за да видите IP адреса на XG защитната стена, който се намира в полето Sophos Appliances. Това е индикация, че STAS е свързан правилно към XG защитната стена.

...

(кликнете върху изображението за тук, за да видите изображението в пълен размер)

Отидете в менюто Firewall > + Add Firewall Rule, за да създадете правило за защитната стена, което да контролира трафика, базирано на потребителско поведение.

...

(кликнете върху изображението за тук, за да видите изображението в пълен размер)

STAS fault tolerance

По желание можете да инсталирате STAS колектори на няколко сървъри с активна директория с цел наличие, в случай, че основния колектор пропадне, защитната стена на Софос Sophos ще събере информацията от резервните колектори. Защитната стена Sophos XG позволява създаването група от колектори с цел постоянното наличие на активен колектор. Максималният брой колектори, които могат да бъдат добавени към една колекторна група е 5. Когато няколко STAS колектора се добавят към една колекторна група се добавят , един от тях ще действа като главен, а останалите ще бъдат резервни. Привилегиите на колекторите са подредени в ред от горе на долу.

В долния пример, активният колектор за testlab.com (Collector Group 1) ще бъде 192.168.1.10, докато 192.168.1.185 ще служи като резервно копие, ако активният колектор излезе офлайн. Допълнителни домейни или поддомейни трябва да се добавят като допълнителна групи за колектори. Например, контролерът за поддомейна remote.testlab.com, 192.168.2.20 ще бъде добавен като самостоятелен колектор за Collector Group 2.

...

(кликнете върху изображението за тук, за да видите изображението в пълен размер)

Време за изхвърляне в режим за обучение 

Когато защитната стена на XG засече неавтентикиран неудостоверен трафик от IP адрес, STAS ще приложи този IP адрес към режим на обучение и ще изпрати заявка към колекторите за потребителска информация от този IP адрес. Докато е в режим на обучение, защитната стена блокира трафика, генериран от този IP адрес.

От версия 17.05 GA на SFOS, има нова функция, наречена Забрани клиентски трафик по време на проучване (Restrict client traffic during identity probe). Тази настройка е нагласена на Yes по подразбиране, което е следствие на поведението на XG защитната стена, както е обяснено по-горе. Ако правилото (Restrict client traffic during identity probe) е нагласено на No, защитната стена XG ще позволи неавтентикиран неудостоверен трафик да премине (по време на зададеното зададения период от време за проучване) и съответно ще обработи този неавтентикиран неудостоверен трафик, като използва правилата на защитната стена за неавтентикиран неудостоверен трафик.

...

(кликнете върху изображението за тук, за да видите изображението в пълен размер)

По подразбиране, времето за преминаване на неавтентикиран неудостоверен трафик (Identity probe time-out) е зададено за 120 секунди. За да потвърдите тази стойност, влезте в WebAdmin и отидете на Authentication > STAS, както е показано на изображението отгоре, или влезте в интерфейса на командния ред (Command Line Interface(CLI)) и изберете опция 4. Device Console и напишете следната команда:

system auth cta show 

...

(кликнете върху изображението за тук, за да видите изображението в пълен размер)

Това изчакване се конфигурира.

...

system auth cta unauth-traffic drop-period 60  

...

(кликнете върху изображението за тук, за да видите изображението в пълен размер)

Note

Забележки:

  • Когато няма отговор от колектора, докато сте в режим на обучение, STAS слага IP адреса в неавтентикирано неудостоверено състояние за 1 час. Ще се опита да влезе отново след 1 час, като влезе в режим на обучение. Докато е в неавтентикирано неудостоверено състояние, XG защитната стена ще приложи правилата си за неавтентикиран неудостоверен трафик.

  • Ако мрежата съдържа потребител, който не е част от домейна, е препоръчително да се създадат потребители, които не са клиенти за тези IP адреси.

Препоръчителен IP адрес и потребителски изключения

Препоръчва се на администраторите да изключат IP адреси, които влизат в активната директория от името на потребители, като например Microsoft Exchange, от секцията на вход/изход списъка за изключения, както и да направите изключение на потребителски услуги, като например системи за дистрибуция на софтуер, колектори на логове и т.н. , от секцията в STAS за изключения на влезнали потребители. В противен случай, когато един акаунт за потребителски услуги извърши автентикация удостоверяване с различен потребител, STAS ще го регистрира и ще излезе от действителния (реален) потребителски акаунт. Същото поведение важи и за другите услуги, които се автентикират удостоверяват пред домейн контролера на от името на потребителя.

Това може да бъде конфигурирано в раздела Exclusion List на STAS.

...

(кликнете върху изображението за тук, за да видите изображението в пълен размер)

Резултати

Наблюдение на live потребители

...

В STAS отидете в раздела Advanced и изберете Show Live Users.

...

(кликнете върху изображението за тук, за да видите изображението в пълен размер)

...

(кликнете върху изображението за тук, за да видите изображението в пълен размер)

От защитната стена на XG отидете на Monitor & Analyze Current Activities Live Users

...

(кликнете върху изображението за тук, за да видите изображението в пълен размер)

Наблюдение на потребителския трафик в Log Viewer

В горния десен ъгъл на интерфейсa (GUI) изберете Log Viewer.  

...

(кликнете върху изображението за тук, за да видите изображението в пълен размер)

В прозореца Log Viewer изберете Add Filter. Уверете се, че Field е Log ComponentCondition е и Value е Firewall Rule. Щракнете върху Add Filter

...

(кликнете върху изображението за тук, за да видите изображението в пълен размер)

Ако приемем, че трафикът на потребителя засяга правило на защитната стена, с активирана Match User Identity, тяхното потребителско име трябва сега да се отразява в колоната Username. 

...

(кликнете върху изображението за тук, за да видите изображението в пълен размер)

Ръководството на английски език: https://community.sophos.com/kb/en-us/123154 Sophos XG Firewall: How to Implement Clientless SSO with multiple Active Directory Domain Controllers

Свързани материали:

Filter by label (Content by label)
showLabelsfalse
max5
spacescom.atlassian.confluence.content.render.xhtml.model.resource.identifiers.SpaceResourceIdentifier@14174
showSpacefalse
sortmodified
typepage
reversetrue
labelssophos xg firewall clientless sso authentication stas sta agent collector installation transparent suite domain controller configuration active directory ad
cqllabel in ( "installation" , "suite" , "firewall" , "clientless" , "collector" , "sso" , "domain" , "configuration" , "sophos" , "controller" , "active" , "authentication" , "ad" , "agent" , "transparent" , "xg" , "directory" , "stas" , "sta" ) and type = "page" and space = "SOP"

...