HOTLINE Kỹ Thuật: 098.114.9449

Bài viết kỹ thuật

Hướng Dẫn Cấu Hình STAS Trên Sophos Firewall

04/05/2025 14:24 508 lần Chuyên mục: Bài viết kỹ thuật

STAS (Sophos Transparent Authentication Suite) là phương pháp xác thực người dùng Active Directory trên Sophos Firewall một cách tự động và an toàn, không yêu cầu người dùng cài đặt thêm phần mềm hoặc nhập lại thông tin đăng nhập. Rất hữu ích khi bạn cần áp dụng các chính sách theo trên người dùng (User-based Firewall Rules) hoặc khi tích hợp mạng nội bộ sử dụng Active Directory. Dưới đây là hướng dẫn cấu hình STAS (Sophos Transparent Authentication Suite) cho Sophos Firewall.

SFOS: v21.0

1. Yêu cầu trước khi cấu hình

  • Sophos Firewall có kết nối với Domain Controller.
  • Đã cấu hình tích hợp Sophos Firewall với Active Directory (Xem hướng dẫn tại đây).
  • Có tài khoản Domain Admin để thực hiện cài đặt STAS trên Domain Controller.
  • Mô hình tham khảo:

1. Topology

2. Cấu hình tài khoản STAS

2.1. Tạo tài khoản STAS

  • Bước 1: Mở Active Directory Users and Computers trên Domain Controller.
  • Bước 2: Tạo một tài khoản người dùng mới, ví dụ: stas_user.
  • Bước 3: Thêm tài khoản này vào các nhóm sau:
    • Domain Users
    • Event Log Readers

2. User_config

2.2. Phân quyền trên Domain Controller

  • Truy cập thư mục cài đặt STAS, mặc định: C:\Program Files (x86)\Sophos\Sophos Transparent Authentication Suite
  • Nhấp chuột phải > Properties > tab Security > Edit > Thêm stas_user với quyền ReadWrite.

3. User_config

3. Cấu hình Security Policy trên Domain Controller

3.1. Cấu hình audit policy

  • Mở Local Security Policy trên Domain Controller.
  • Đi đến Local Policies > Audit Policy.
  • Bật Audit account logon events: chọn cả SuccessFailure.

5. User_config

3.2. Cấp quyền “Log on as a service”

  • Trong Local Security Policy, đi đến Local Policies > User Rights Assignment.
  • Mở Log on as a service, thêm tài khoản stas_user.

6. User_config

3.3. Cấu hình cho phép System Audit

  • Mở Advanced Audit Policy Configuration > System Audit Policies > Account Logon tick chọn Configure the following audit events >  chọn cả Success Failure.

14. AD_Config

  • Mở Advanced Audit Policy Configuration > System Audit Policies > Logon/Logoff tick chọn Configure the following audit events > chọn cả Success Failure.

15. AD_Config

 

3.3. Cấu hình tường lửa

Đảm bảo các cổng sau được mở:

  • Trên Domain Controller:
    • UDP 6677 (inbound)
    • UDP 6060 (outbound)
    • TCP 135 và 445 (outbound, nếu dùng Workstation Polling)
  • Trên máy trạm:
    • TCP 135 và 445 (inbound, nếu dùng Workstation Polling)
    • ICMP (inbound, nếu dùng Logoff Detection Ping)

4. Tải và cài đặt STAS

  • Tải STAS từ giao diện quản trị Sophos Firewall: Authentication > Client> chọn Sophos Transparent Authentication Suite (STAS).
  • Cài đặt STAS trên Domain Controller. Chạy file cài đặt .exe và làm theo hướng dẫn.

5. Cấu hình STAS Collector

  • Mở ứng dụng STAS trên Domain Controller.
  • Trong tab General, nhập thông tin user, domain như sau:

8. STAS_Config

9. STAS_Domain_Config

  • Trong tab STAS Agent điền các thông tin như IP Domain Controller và lớp mạng cần monitor (ở đây là lớp LAN).

10. STAS_Agent_Config

  • Trong tab STAS Collector điền thông tin IP của firewall.

11. STAS_Collector_Config

  • Quay lại tab General, bấm Start

12. STAS_Start_Config

6. Cấu hình Sophos Firewall

  • Truy cập Sophos Firewall, vào Authentication > STAS > Enable Sophos Transparent Authentication Suite.
  • Thêm IP máy chủ STAS Collector.

7. Kiểm tra và xác minh hoạt động

  • Vào STAS trên AD trong tab Advanced > bấm Show Live Users.

17. AD_result

  • Vào Current Activities > Live Users trên Sophos Firewall để kiểm tra người dùng đã xác thực qua STAS hay chưa.

16. Firewall_result

8. Một số lưu ý khi triển khai STAS

  • Nên cài STAS trên Domain Controller chính (không bắt buộc).
  • Tránh dùng cùng lúc STASClient Authentication Agent.
  • Nếu có nhiều Domain Controller, chỉ nên chọn 1 máy làm STAS Collector chính.
  • Hạn chế dùng STAS trong môi trường có máy ảo thay đổi người dùng liên tục.

9. Kết luận

STAS giúp xác thực người dùng nhanh chóng, chính xác và tự động mà không yêu cầu người dùng nhập lại thông tin. Qua bài hướng dẫn cấu hình STAS này, bạn đã biết cách cấu hình, triển khai và vận hành STAS hiệu quả. Nếu gặp khó khăn trong quá trình cấu hình, hãy liên hệ với bộ phận hỗ trợ kỹ thuật của DASS để được trợ giúp. Đừng quên theo dõi các bài viết tiếp theo của DASS để cập nhật kiến thức mới nhất về bảo mật và hệ thống!

10. Tham khảo

Sophos Firewall XGS: Sophos Firewall (XGS Series) – DASS

Sophos STAS Best practice: Sophos Firewall: Best practice for STAS

Hướng dẫn tích hợp AD: Hướng Dẫn Tích Hợp Server Active Directory vào Sophos Firewall – DASS

CÔNG TY CỔ PHẦN DASS – NHÀ PHÂN PHỐI HÀNG ĐẦU GIẢI PHÁP BẢO MẬT SOPHOS

♦ HCM: 55/10 Trần Đình Xu, Phường Cầu Kho, Quận 1, TP. HCM

♦ 028 2055 2868

♦ Hà Nội: Số 29, Lê Đại Hành, Quận Hai Bà Trưng, Hà Nội

♦ 024 3555 3030

♦ Email: info@dass.vn

♦ Fanpage: DASS – Sophos Việt Nam

Sophos Firewall: Hướng dẫn chặn upload file trên WhatsApp

Sophos Firewall: Hướng dẫn chặn upload file trên WhatsApp
Secure by Design và cách Sophos hiện thực hóa trong sản phẩm

Secure by Design và cách Sophos hiện thực hóa trong sản phẩm
Best Practices – Tối ưu bảo mật cho Sophos Firewall

Best Practices – Tối ưu bảo mật cho Sophos Firewall
Sophos Firewall: Hướng dẫn chặn Upload lên các Web Application lưu trữ

Sophos Firewall: Hướng dẫn chặn Upload lên các Web Application lưu trữ
Hướng dẫn tích hợp Data Feeds của Kaspersky Threat Intelligence vào Sophos Firewall

Hướng dẫn tích hợp Data Feeds của Kaspersky Threat Intelligence vào Sophos Firewall
Cấu hình Entra ID SSO cho Sophos Connect

Cấu hình Entra ID SSO cho Sophos Connect