Sophos XG Firewall: inicio de sesión único sin cliente en un entorno de controlador de dominio de Active Directory único

Visión general 

Nota: Tenga en cuenta que una vez que se activa STAS para la prueba o la implementación, el firewall descarta el tráfico no autenticado hasta que el sondeo responde o se agota el tiempo de espera.

• Autenticación de SSO de Sophos Clientless
• ¿Cómo funciona STAS?
• Configuración
  • Configuración de ADS
  • Configuración STAS
  • Integre Sophos XG Firewall con Active Directory
  • Configuración del Firewall XG
• Drop timeout en modo de aprendizaje
• Resultados
  • Verificar usuarios en vivo
  • Verificar el tráfico del usuario en Log Viewer
• Información relacionada
• Comentarios y contacto

Se aplica a los siguientes productos y versiones de
Sophos Firewall de Sophos

Autenticación de SSO de Sophos Clientless

Sophos Clientless SSO está en la forma de Sophos Transparent Authentication Suite (STAS) . La Suite STA consiste en:

• El Agente de STA : supervisa las solicitudes de autenticación de los usuarios y envía información al STA Collector para su autenticación.
• El recopilador de STA : recopila las solicitudes de autenticación de usuario del agente de STA, procesa la solicitud y luego las envía al Firewall XG para su autenticación.

¿Cómo funciona STAS?

1. El usuario inicia sesión en el controlador de dominio de Active Directory (AD) desde cualquier estación de trabajo en la LAN. El controlador de dominio autentica las credenciales del usuario
2. AD obtiene la información de la sesión de inicio de sesión del usuario y crea un registro de auditoría de seguridad. Tras la autenticación exitosa del usuario, AD crea un evento con una ID de 672 (Windows 2003) o 4768 (Windows 2008 y superior).
3. El Agente, mientras supervisa el servidor de AD, obtiene la información de la sesión de inicio de sesión del usuario de los ID de eventos anteriores.    
4. El agente pasa el nombre de usuario y la dirección IP al recopilador a través del puerto TCP predeterminado (5566) al mismo tiempo.
5. El recopilador responde enviando actualizaciones de autenticación exitosas al Firewall XG en el puerto UDP 6060.
6. Si el XG ve el tráfico de una IP, no tiene información, puede consultar al recopilador en el puerto 6677.
7. Un usuario inicia una solicitud de internet.
8. El Firewall XG combina la información del usuario con su mapa de usuario local y aplica las políticas de seguridad en consecuencia. 

Basado en los datos del Agente STA, el Firewall XG consulta el servidor AD para determinar la membresía del grupo; Dependiendo de los datos, el acceso es otorgado o denegado. Los usuarios que hayan iniciado sesión en una estación de trabajo directamente (o localmente) pero no hayan iniciado sesión en el dominio no se autenticarán y se considerarán como usuarios no autenticados . Para los usuarios que no han iniciado sesión en el dominio, se mostrará la solicitud del Portal cautivo para un inicio de sesión manual para la autenticación. 

Configuración

Configuración de ADS

Vaya a Inicio > Herramientas administrativas > Política de seguridad local para ver la configuración de seguridad. Vaya a Configuración de seguridad > Políticas locales > Política de auditoría y haga doble clic en Auditar eventos de inicio de sesión de la cuenta para ver la ventana de Propiedades de Auditoría de eventos de inicio de sesión de la cuenta .

Seleccione las opciones de éxito y fracaso y haga clic en Aceptar para cerrar la ventana.

Mientras se encuentra en la Política de seguridad local , vaya a Configuración de seguridad > Políticas locales > Asignación de derechos de usuario y haga doble clic en Iniciar sesión como servicio para ver las Propiedades de Iniciar sesión como servicio .

Si el usuario administrativo que se utiliza para instalar y ejecutar STAS no se encuentra en la lista, seleccione Agregar usuario o grupo y agregue el usuario. Seleccione OK para cerrar la ventana.

Configure el Firewall de Windows y / o el software de firewall de terceros para permitir la comunicación a través de los siguientes puertos:

• Servidor AD : UDP 6677 entrante, UDP 6060 saliente, TCP 135 y 445 salientes (si se usa el método de sondeo de estación de trabajo WMI o acceso de lectura del registro), ICMP saliente (si se utiliza el ping de detección de cierre de sesión), UDP 50001 entrante / saliente (prueba de colector), prueba entrante / TCP de salida 27015 (config sync).
• Estación (es) de trabajo : TCP 135 y 445 entrantes (si usa el método de sondeo de estación de trabajo WMI o acceso de lectura del registro), ICMP entrante (si usa el ping de detección de cierre de sesión).

Nota: Los servicios de RPC, localizador de RPC, DCOM y WMI deben estar habilitados en las estaciones de trabajo para WMI / Registro de acceso de lectura.

Configuración STAS

Inicie sesión en su servidor de AD con una cuenta de administrador y siga los pasos a continuación para instalar y configurar STAS:

Descargar STAS

Desde la interfaz gráfica de usuario (GUI) del Firewall XG, vaya a Autenticación > ... (haga clic en el símbolo ... en el extremo derecho del menú de autenticación) > Descargas de clientes e instálelo en el servidor AD.

También puede descargar STAS desde la página de Descarga de Clientes en el Portal del Usuario mientras esté conectado como Administrador.

Instalar STAS

Proceda a instalar el archivo STAS descargado recientemente. Haga clic en Siguiente y siga el asistente.

Elija la carpeta de destino.

Seleccione la carpeta del menú de inicio.

Seleccione si desea crear iconos de escritorio y de inicio rápido.

Revisa y haz clic en Instalar.

Seleccione SSO Suite y haga clic en Siguiente .

Ingrese el nombre de usuario y la contraseña del administrador, seleccione Siguiente .

Presione Finalizar para completar la instalación.

Una vez instalado STAS, ejecútelo desde Inicio > Todos los programas > STAS > Sophos Transparent Authentication Suite o desde el acceso directo del escritorio.

Configurar STAS

1. Cambie a la pestaña STA Collector .
2.  En Sophos Appliances , agregue la dirección IP del Firewall XG.
3. Establezca la Configuración de sondeo de la estación de trabajo como WMI .
4. Mantenga la configuración de detección de cierre de sesión en su configuración predeterminada.
   • Al establecer el Tiempo de espera de entrada inactiva , el usuario se desconectará del Firewall XG después del tiempo asignado, incluso si la Detección de cierre de sesión para los usuarios está desactivada.
5. Deje los puertos predeterminados en 6677 y 5566.

   

6. Cambie a la pestaña STA Agent .
7. Ingrese la (s) red (es) a ser monitoreadas por STAS.
   

   
   

8. Cambia a la pestaña General .
9. Ingrese el nombre de NetBIOS para el dominio.
10. Ingrese el FQDN para el dominio.
11. Seleccione Aplicar . 
12. Seleccione Iniciar para iniciar el servicio STAS.

    

Integre Sophos XG Firewall con Active Directory

Consulte  Sophos XG Firewall: Cómo integrar Sophos XG Firewall con Active Directory  para obtener instrucciones detalladas. 

Nota: debe agregar el servidor AD como un método de autenticación de firewall en la pestaña Servicios .

Configuración del Firewall XG

Vaya a  Autenticación > STAS  para habilitar STAS seleccionando el botón ON y haga clic en  Activar STAS .

Una vez activado, seleccione Agregar nuevo colector .

Introduzca la dirección IP del servidor de AD en el  cuadro de IP del  recopilador y Guardar .

En este punto, el Firewall XG intenta comunicarse con STAS en el servidor AD a través de UDP 6060. En el Servidor AD, abra STAS y vaya a la pestaña General para ver la dirección IP del Firewall XG debajo de Sophos Appliances . Esto indica que STAS está conectado correctamente al Firewall XG. 

Vaya a Firewall> + Agregar regla de firewall para crear una regla de firewall basada en identidad para controlar el tráfico de una manera basada en el usuario. 

Drop timeout en modo de aprendizaje

Cuando el Firewall XG detecta tráfico no autenticado desde una IP, STAS pondrá esta IP en Modo de aprendizaje y enviará una solicitud al recopilador para obtener información del usuario desde esta IP. Mientras se encuentra en un estado de aprendizaje, el firewall descarta el tráfico generado desde esta IP. 

De forma predeterminada, el valor de tiempo de espera de la caída no autenticado es de 120 segundos. para verificar este valor, inicie sesión en la interfaz de línea de comandos (CLI) y elija la Consola de dispositivo de la opción 4 y escriba el siguiente comando: 

system auth cta show

Este tiempo de espera es configurable, por ejemplo, para cambiarlo a 60 segundos, escriba el siguiente comando:

system auth cta unauth-traffic drop-period 60

Nota:

• Cuando no hay respuesta del recopilador mientras se encuentra en el Modo de aprendizaje, STAS pone la IP en estado no autenticado durante 1 hora. Intentará iniciar sesión nuevamente después de 1 hora entrando en el estado de aprendizaje. Mientras está en estado no autenticado, el Firewall XG aplica sus reglas de firewall para el tráfico no autenticado en consecuencia. 
• Si la red contiene algún host que no sea parte del dominio, se recomienda crear usuarios sin cliente para estas direcciones IP.

Resultados

Verificar usuarios en vivo

Una vez que los usuarios se hayan autenticado correctamente en el dominio, pueden verse como usuarios en vivo en STAS o en Sophos XG Firewall.

En STAS, vaya a la pestaña Avanzado y seleccione Mostrar usuarios en vivo .

En el Firewall XG, vaya a  Monitorear y analizar  >  Actividades actuales  >  Usuarios en vivo .

Verificar el tráfico del usuario en Log Viewer 

En la esquina superior derecha de la interfaz gráfica de usuario (GUI), seleccione  Log Viewer .

En la ventana del Visor de registro, seleccione Agregar filtro . Asegúrese de que el campo es de registro de componentes , Condición es esy el valor es una regla de cortafuegos . Haga clic en Agregar filtro .

Suponiendo que el tráfico del usuario está llegando a una regla de firewall que tiene habilitada la identificación de usuario coincidente , su nombre de usuario ahora debe reflejarse en la columna Nombre de usuario .