INSTALACION STAS

1. Vaya a Administrador del Servidor > Herramientas

administrativas > Directva de seguridad local para ver la configuración
de seguridad. Vaya a Configuración de seguridad > Directivas
locales > Directivas de auditoría y haga doble clic en Auditar eventos de
inicio de sesión de cuenta para ver la ventana Propiedades de los
eventos de inicio de sesión de la cuenta de auditoría .

Seleccione las opciones de Correcto y Fallo y haga clic en Aceptar para cerrar la ventana
 2. Directiva de seguridad local==Configuración de seguridad > Directivas
locales > Asignación de derechos de usuarioy haga doble clic en Iniciar
sesión como servicio para ver las Propiedades de inicio de sesión
como servicio(doble click).
Si el usuario administrativo que se utiliza para instalar y ejecutar STAS no
figura aquí, seleccione Agregar usuario o Grupo y agregue el
usuario. Seleccione OK para cerrar la ventana.

3. Configure FW de Windows.

Puertos AD Server:
Entrada: UDP 6677,
Salida: UDP 6060,
Entrada/Salida TCP 5566
Salida:TCP 135 & 445 (Si usas Workstation Polling Method WMI or Registry Read
Access),
Salida: ICMP (si usas Logoff Detection Ping),
Entrada/Salida: UDP 50001 (prueba collector),
Entrada/Salida: TCP 27015 (config sync).
4. Ir a Configure::Authentication::Servers::Add

5. Mirar el nombre de NetBIOS del Active Directory.

From Active Directory, go to Start > Administrative Tools > Active Directory Users
and Computers. Right click the required domain and go to the Properties tab.
 6. Services

También marcar en ssl Authentication Methods

 7. Authentication>……

Descargar Sophos Transparent Authentication Suite (STAS)

Seleccionar Sophos Transpárent Authentication Suite (STAS)

8. Una vez descargado el STAS ejecútelo como administrador.

Todo siguiente hasta que llega a esta pantalla

Llenar los campos solicitados con la cuenta administradora del dominio.

9. Abrir el accesos directo de Sophos Transparent Authentication Suite(Icono), llenar
los campos requeridos.

10. STA Agente: Specifica todas las redes que va a monitorear.

El agente de STA : supervisa las solicitudes de autenticación de usuario y envía
información colector de STA para la autenticación.
El agente transfiere el nombre de usuario y la dirección IP al colector sobre
el puerto TCP predeterminado (5566) al mismo tiempo.
El colector de STA : recopila las solicitudes de autenticación de usuario del
agente de STA, procesa la solicitud y luego las envía al XG Firewall para su
autenticación. SON TODOS LOS AD.
El colector responde enviando actualizaciones de autenticación exitosas a
XG Firewall en el puerto UDP 6060.

Registro de auditoria 4768 (Windows 2008 y superior)

Firewall XG: Si el XG ve tráfico desde una IP que no tiene información, puede

consultar al colector en el puerto 6677.

Para los usuarios que no están conectados al dominio, se mostrará la

solicitud del Portal cautivo para un inicio de sesión manual para la
autenticación.

Nota: EXcluir el nombre NETBIOS en EXclusion LIST

11. En Sophos Appliances , agregue la dirección IP de XG Firewall.
a. Establezca la configuración de sondeo de la estación de trabajo como WMI.
b. Mantener la configuración de detección de desconexión en su configuración
predeterminada.
c. Si configura Deadout Timeout , el usuario se desconectará del Firewall XG
después del tiempo asignado, incluso si la detección de desconexión para los
usuarios está desactivada.
d. Deje los puertos predeterminados en 6677 y 5566.
 12. Cambia a la pestaña General .
a. Ingrese el nombre de NetBIOS para el dominio.
b. Ingrese el FQDN para el dominio.
c. Seleccione APLICAR .
d. Seleccione Iniciar para INICIAR el Servicio STAS.
13. Ir al FW XG Y CONFIGURARLO

Vaya a Autenticación > STAS para habilitar STAS seleccionando

el botón ENCENDIDO y haga clic en Activar STAS .
14. Una vez activado, seleccione Agregar nuevo Colector .

15. En este punto, XG Firewall intenta ponerse en contacto con STAS en el

servidor AD a través de UDP 6060. En el servidor AD, abra STAS y vaya a
la pestaña General para ver la dirección IP del Firewall XG bajo Sophos
Appliances . Esta es una indicación de que el STAS está conectado al
Firewall XG correctamente.
 En Advanced puedes sacar un backup de las configuraciones del STAS.

16. Extraer Unidades Organizativas y Grupos desde el XG.

17. Presionar Start.

18. PASO 2:
a. Seleccionar los grupos que tu quieres importar de tu AD.

19. PASO 3:
a. SIGUIENTE
20. PASO 4:
 a. SIGUIENTE
21. Dar click en OK.

22. Tiempo de espera de caída en el modo de aprendizaje

Cuando XG Firewall detecta tráfico no autenticado desde una IP, el STAS colocará esta IP en el
Modo de aprendizaje y enviará una solicitud al recopilador para obtener información del
usuario desde esta IP. Mientras se encuentra en un estado de aprendizaje, el firewall corta el
tráfico generado desde esta IP.

De forma predeterminada, el valor de tiempo de espera de eliminación no autenticado es de

120 segundos. para verificar este valor, inicie sesión en la interfaz de línea de comando (CLI) y
elija la opción 4 Consola de dispositivo y escriba el siguiente comando:

system auth cta show

Este tiempo de espera es configurable, por ejemplo, para cambiarlo a 60

segundos, escriba el siguiente comando:

system auth cta unauth-traffic drop-period 60

 Nota:

 Cuando no hay respuesta del recopilador mientras está en modo de aprendizaje,

STAS pone el IP en estado no autenticado durante 1 hora. Intentará iniciar sesión
nuevamente después de 1 hora ingresando al estado de aprendizaje. Mientras
está en estado no autenticado, XG Firewall aplica sus reglas de firewall para el
tráfico no autenticado en consecuencia.
 Si la red contiene un host que no es parte del dominio, se recomienda crear
usuarios sin clientes para estas direcciones IP.

PARA EL METODO POLLING WMI SE CONFIGURA LO SIGUIENTE:

Vaya a Herramientas(Tools) > Group Policy Management.

O Tambien vaya a Ejecutar(Run) > Enter gpmc.msc and click OK

2. Expanda el dominio. Seleccione el GPO que se aplica a los equipos que necesita para
permitir que las solicitudes WMI puedan consultarse y haga clic en Editar(Click derecho).

3. Expanda Computer Configuration > Policies > Administrative Templates > Network >
Network Connections > Windows Firewall > Domain Profile y escoja: Windows Firewall: Allow
inbound remote administration exception.

4. Double-click sobre Windows Firewall: Allow inbound remote administration exception to

open its properties window.
5. Selecciona Enable

Hay 3 ID de evento que deben estar en el registro en este paso:

SON:
Event ID 4634 - Una cuenta ha sido desconectada con éxito
Event ID 4624 - Una cuenta se ha conectado correctamente
Event ID 4768 - Se solicitó un ticket de autenticación Kerberos (TGT)
4. Ir a >Herramientas(Tools) > Local Security Policy> Audit Policy and double click on Audit
account logon events
5. Ir a Group Policy Management>Ir a Group Policy Objects> Ir a la politica por Default que aplica a todos los
usuarios y darle Click derecho editar>Policy>Windows Settings>Security Settings>Audit
Policy>Audit logon events y seleccionar los dos cuadros y OK.

6. Para el Event ID 4768 - Se solicitó un ticket de autenticación Kerberos (TGT) Obs, sobre todo los kb de
sophos no hay comentarios de que sea necesario registrar este evento id 4768 y no se menciona cómo es
posible configurar este evento id para el registro en el servidor:
En Windows 2008 R2 y versiones posteriores, también puede controlar este evento mediante la
configuración a nivel de subcategoría a través de la Configuración avanzada de directivas de auditoría.
Vaya a Computer Configuration->Policies->Windows Settings->Security Settings-> Advanced Audit Policy
Configuration -> Audit Policies->Account Logon) and set the setting Audit Kerberos Authentication Service
as Success and Failure
Ejecuta el comando gpupdate /force from command prompt to update Group Policy settings