Тази статия описва стъпките как се интегрира STAS в среда с един Active Directory сървър.
Какво е Sophos Clientless SSO Authentication?
Възможността за еднократно удостоверяване в Sophos XG е под формата на Sophos Transparent Authentication Suite (STAS).
STA комплекта се състои от:
STA агент: наблюдава заявките на потребителите за удостоверяване в AD и ги изпраща към STA Collector-а за удостоверяване;
STA колектор: събира заявките от STA агента, обработва ги и ги изпраща за удостоверяване към Sophos XG Firewall.
Как работи STAS?
(кликнете върху изображението за пълен размер)
Потребителя се удостоверява пред активната директория, от която и да е работна машина във вътрешната мрежа. Домейн контролера удостоверява потребителя на базата на неговите креденшали (потребителско име и парола).
Активната директория получава информация за сесията и създава спъсък с логове за одит на сигурността. След успешно удостоверяване на потребителя, активната директория създава събитие с ID 672 (Windows 2003) или 4768 (Windows 2008 и по-нови версии, включително Windows Server 2019).
Агентът, наблюдавайки сървъра на активната директория, извлича информацията за сесията за влизане от потребителя, с помощта на гореспоменатите събития.
Агентът, изпраща едновременно потребителското име и IP адреса на колектора към порт 5566 TCP.
Колектора изпраща към XG защитната стена успешни ъпдейти за удостоверяване към порт 6060 UDP.
Ако XG защитната стена види трафик от IP адрес, за който няма информация, може се обърне към колектора за информация чрез порт 6677.
Потребителя прави заявка за достъпване на Интернет.
Защитната стена на XG търси съвпадение с информацията на потребителя и неговата локална потребителска “карта”, за да приложи политиките за сигурност.
На база информацията, дадена от STA агента, XG защитната стена се обръща към сървъра на активната директория, за да определи какъв достъп да бъде предоставен или да бъде отказан. Потребителите, които вече имат директен(или локален) достъп до работната станция, но не са се удостоверили пред домейна, няма да бъдат одобрени за удостоверяване и ще се считат за неоторизирани потребители. За потребители които не са достъпили домейна, каптивния портал ще покаже страница за удостоверяване “логин”.
Конфигурации
Конфигурации на сървъра на активната директория (ADS)
Отидете в Start > Administrative Tools > Local Security Policy, за да видите Security Settings (Настройки за защитата).
Отворете Security Settings > Local Policies > Audit Policy и кликнете два пъти върху Audit account logon, за да се отвори прозореца Audit account logon events Properties.
Изберете двете опции за Success и Failure и кликнете върху OK, за да затворите прозореца.
(кликнете върху изображението за пълен размер)
Докато все още сте в прозореца Local Security Policy, отворете Security Settings > Local Policies > User Rights Assignment и кликнете два пъти върху Log on as a service, за да видите Log on as a service Properties.
Ако администратора, който е инсталирал и стартирал STAS не е посочен в списъка, изберете Add User or Group и добавете потребителя. Изберете OK, за да затворите прозореца.
(кликнете върху изображението за пълен размер)
Конфигурирайте защитната стена на Windows и/или друг софтуер на защитна стена, за да се разреши комуникацията през следните портове:
AD сървъри: Inbound UDP 6677, Outbound UDP 6060, Outbound TCP 135 & 445 (if using Workstation Polling Method WMI or Registry Read Access), Outbound ICMP (if using Logoff Detection Ping), Inbound/Outbound UDP 50001 (collector test), Inbound/Outbound TCP 27015 (config sync).
Работни машини: Inbound TCP 135 & 445 (if using Workstation Polling Method WMI or Registry Read Access), Inbound ICMP (if using Logoff Detection Ping).
Забележка: RPC, RPC locator, DCOM и WMI услуги трябва да бъдат активирани на работните станции с достъп за четене на WMI/Registry Read Access.
STAS конфигурация
Влезте в акаунта си в AD сървъра като аминистратор и следвайте стъпките по-долу, за да инсталирате и конфигурирате STAS:
STAS инсталация
Влезте в интерфейса на защитната стена на XG и отидете на Authentication > ... (кликнете върху символа ... в най-дясната част на менюто за удостоверяване) > Client Downloads и инсталирайте STAS на AD сървъра.
(кликнете върху изображението за пълен размер)
Може да изтеглите STAS и от страницата за изтегляне в потребителския портал като сте влезнали като администратор.
След като изтеглите инсталационния файл, стартирайте инсталацията. Кликнете Next и следвайте стъпките.
(кликнете върху изображението за пълен размер)
Изберете папката, в която да се запазят файловете.
(кликнете върху изображението за пълен размер)
Изберете папката от старт менюто.
(кликнете върху изображението за пълен размер)
Изберете опцииите дали желаете да създадете икона на работния плот (desktop icon) и икона за пряк път (бърз достъп)(Quick Lauch icon).
(кликнете върху изображението за пълен размер)
Прегледайте и кликнете Install.
(кликнете върху изображението за пълен размер)
Изберете радио бутона SSO Suite и кликнете върху Next.
(кликнете върху изображението за пълен размер)
Въведете администраторски креденшъли (потребителско име и парола) и кликнете върху Next.
(кликнете върху изображението за пълен размер)
Натиснете Finish, за да завършите инсталацията.
(кликнете върху изображението за пълен размер)
След като инсталацията приключи, отидете в Start > All Programs > STAS > Sophos Transparent Authentication Suite или от пряк път за Desktop, за да стартирате програмата.
STAS конфигурация
Отворете раздела STA Collector.
В полето Sophos Appliances добавете IP адреса на XG Firewall.
От падащото меню на Workstation Polling Settings изберете WMI.
Запазете Logoff Detection настройките в конфигурацията си по подразбиране.
Настройката на Dead Entry Timeout ще изхвърли потребителя от защитната стена XG след определено време дори ако Logoff Detection за потребители е активирано.
5. Задайте портовете по подразбиране на 6677 и 5566.
(кликнете върху изображението за пълен размер)
6. Отворете раздела STA Agent.
7. Въведете IP адреса на мрежата (мрежите), които ще бъдат наблюдавани от STAS.
(кликнете върху изображението за пълен размер)
8. Отворете раздела General.
9. Въведете NetBIOS Name за домейна.
10. Въведете FQDN за домейна.
11. Кликнете върху Apply.
12. Изберете Start, за да стартирате STAS.
(кликнете върху изображението за пълен размер)
Конфигурация на XG Firewall
Отидете на Authentication > STAS, за да активирате STAS, като изберете бутона ON и кликнете върху Activate STAS.
(кликнете върху изображението за пълен размер)
След активацията, изберете бутона Add New Collector.
(кликнете върху изображението за пълен размер)
Въведете IP адреса на AD сървъра в полето Collector IP и кликнете върху Save.
(кликнете върху изображението за пълен размер)
На този етап XG защитната стена се опитва да се свърже със STAS на AD сървъра през порт UDP 6060. От AD сървъра отворете STAS и отидете в раздела General, за да видите IP адреса на XG защитната стена, който се намира в полето Sophos Appliances. Това е индикация, че STAS е свързан правилно към XG защитната стена.
(кликнете върху изображението за пълен размер)
Отидете в менюто Firewall > + Add Firewall Rule, за да създадете правило за защитната стена, което да контролира трафика, базирано на потребителско поведение.
(кликнете върху изображението за пълен размер)
Отидете в Administration > Device Access и активирайте Client Authentication за необходимата зона.
(кликнете върху изображението за пълен размер)
Време за изхвърляне в режим за обучение
Когато защитната стена на XG засече неудостоверен трафик от IP адрес, STAS ще приложи този IP адрес към режим на обучение и ще изпрати заявка към колекторите за потребителска информация от този IP адрес. Докато е в режим на обучение, защитната стена блокира трафика, генериран от този IP адрес.
По подразбиране, времето за преминаване на неудостоверен трафик е зададено за 120 секунди. За да потвърдите тази стойност, влезте в интерфейса на командния ред (Command Line Interface(CLI)) и изберете опция 4. Device Console и напишете следната команда:
system auth cta show
(кликнете върху изображението за пълен размер)
Това изчакване се конфигурира.
Пример, за да го промените на 60 секунди, въведете следната команда:
system auth cta unauth-traffic drop-period 60
Забележки:
Когато няма отговор от колектора, докато сте в режим на обучение, STAS слага IP адреса в неудостоверено състояние за 1 час. Ще се опита да влезе отново след 1 час, като влезе в режим на обучение. Докато е в неудостоверено състояние, XG защитната стена ще приложи правилата си за неудостоверен трафик.
Ако мрежата съдържа потребител, който не е част от домейна, е препоръчително да се създадат потребители, които не са клиенти за тези IP адреси.
Резултати
Наблюдение на live потребители
След като потребителите успешно се удостоверят с домейна, те могат да бъдат разглеждани като потребители на живо или в STAS, или в защитната стена на Sophos XG.
В STAS отидете в раздела Advanced и изберете Show Live Users.
(кликнете върху изображението за пълен размер)
(кликнете върху изображението за пълен размер)
От защитната стена на XG отидете на Monitor & Analyze > Current Activities > Live Users.
(кликнете върху изображението за пълен размер)
Наблюдение на потребителския трафик в Log Viewer
В горния десен ъгъл на интерфейсa (GUI) изберете Log Viewer.
(кликнете върху изображението за пълен размер)
В прозореца Log Viewer изберете Add Filter. Уверете се, че Field е Log Component, Condition е и Value е Firewall Rule. Щракнете върху Add Filter.
(кликнете върху изображението за пълен размер)
Ако приемем, че трафикът на потребителя засяга правило на защитната стена, с активирана Match User Identity, тяхното потребителско име трябва сега да се отразява в колоната Username.
(кликнете върху изображението за пълен размер)
Ръководството на английски език: Sophos XG Firewall: Clientless Single Sign-On in a Single Active Directory Domain Controller environment