Office 365 Firewalls

Inhaltsverzeichnis

Anforderungen an die Firewalls
Liste der Hersteller
Weitere Links

Auf dem Weg zwischen Anwender und Office 365 gibt es Firewalls, Proxy-Server, Router mit Portfilter und andere Systeme. Damit stellt sich jeder Firma die Aufgabe, die Zugriffe auf Office 365 zu optimieren. Diese Seite beschäftigt sich den Angeboten verschiedener Firewalls hinsichtlich Office 365.

Anforderungen an die Firewalls

Die Nutzung von Office 365 stellt einige Anforderungen an eine Firma, da gerade die Zugriffe auf Exchange Online und SharePoint eine deutliche Verlagerung von Datenflüssen mit sich bringen. Daten, die bislang im LAN von Clients zum Server übertragen wurden, müssen nun durch die Firewall und das Internet. Daher empfiehlt Microsoft auch:

Lokaler Breakout und lokaler DNS
d.h. bitte nicht den Zugriff auf das Internet von Niederlassungen über das eigene WAN zur Zentrale führen
Bypass Proxy, NAT preferred
Latenzzeit stört und ein Proxy dazwischen bietet Funktionen (Authentifizierung, SSL aufbrechen, Malware Filtern), die aber für den Zugriff auf die eigenen Daten gar nicht erforderlich sind. Beim Zugriff auf interne Server gab es ja auch keine Notwendigkeit

Das ist nur die Kurzfassung des Inhalts auf Office 365 Netzwerk Microsoft Empfehlungen. Eine Firewall sollte hier die passenden Lösungen bieten, z.B.

Zulassen von Office 365 Verkehr zum eigenen Tenant
Hier zu könnte eine Firewall einfach die IP-Adressen der Office 365 passieren lassen. Eine Unterscheidung nach Diensten wäre wünschenswert. Eine Trennung nach Tenants ist allein anhand der IP-Adressen aber nicht möglich
Blockieren von Daten aus fremden Tenants
Das ist schon eine größere Herausforderung, da z.B. alle Tenants die Adresse und den Namen "outlook.office365.com" als Endpunkt in der Cloud nutzen. Für SharePoint ist es eher möglich, da hier der Tenantname mit in den URls und beim "Client-Hello" enthalten ist. Eine pfiffige Firewall kann sehr wohl zwischen Zielen anhand des TLS-Handshake unterscheiden. Wobei diese Funktion aber TLS 1.3 wegfallen wird
RTP-Support
Damit Audio/Video von Skype for Business und Teams optimal übertragen werden, sollte die Firewall natürlich eine Kommunikation auf Port 3478-3481/UDP erlauben. Ideal wäre es, wenn die Firewall den Payload betrachtet, um Audio und Video anhand des RTP-Headers zu erkennen um so etwas zusätzliche Sicherheit zu bieten aber vor allem auch um eine aussagekräftige Nutzungsstatistik zu liefern.

Allerdings können wir heute meist froh sein, wenn die Office 365-IP-Adressen schon mal als vordefinierte Host- oder Netzwerk-Gruppen vorliegen.

Liste der Hersteller

Ich versuche eine Liste von Firewalls hier zu pflegen und ab welcher Version eine gewisse Office 365 Unterstützung enthalten ist. Die Funktionen unterscheide ich dabei nach

Manuell: Keine eingebaute Unterstützung
Administratoren können aber natürlich manuell Listen pflegen. Das ist aber keine Lösung, da sich die Adressen manchmal ändern und manuelle Nacharbeit erforderlich ist.
IP: Vordefinierte und aktualisierte Listen
Die Firewall liefert eine Funktion, um die von Microsoft veröffentlichen Office 365 Netzwerkziele einzulesen, so dass die Administratoren die unterschiedlichen Ziele in Policies verwenden können. Es gibt aber auch Hersteller, die die Listen selbst verwalten und über eigene Verteilungen zu den Kunden liefern
TLS:Zertifikat -Inspection bzw. Application-Awareness
Firewalls können z.B. den TLS-Handshake betrachten und bis TLS 1.2 die Namen des Zertifikate aus dem "Server Hello" ermitteln. So erkennen viele Firewalls
Auditing/NetFlow
Ein Mehrwert stellen Funktionen darf, mit denen die Firewall verschiedene Kennzahlen der Office 365 Nutzung liefern kann. Dazu zählen Datenmenge nach Ziel und Quelle aber vielleicht auch gemessene Latenzzeiten aus den TCP-Verbindungen.

Ich bin hier auf ihre Mithilfe und Rückmeldungen angewiesen, welche Firewalls welche Funktion mittlerweile umgesetzt haben, da ich nicht alle Hersteller kontinuierlich überwache

Hersteller	Version	Funktion	Beschreibung und Links
Checkpoint	R77.30 R80.20	IP App Reports	Checkpoint kann IP-Adresslisten verarbeiten, die per PowerShell o.ä. bereit gestellt werden. Checkpoint kann aber auch "Applikationen" erkennen und als Kriterium nutzen. Mittlerweile gibt es das Konzept der "Updatable Objects" Auch die Liste für Azure Services ist mittlerweile sehr umfangreich: Updatable Objects in R80.20 and above https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk131852 Application Control support for Office 365 https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk110679 How to allow Office 365 services in Application Control R77.30 and above https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk112354 Powershell script to automate the creation of required Office 365 IP addresses or URLs in a Checkpoint management server https://community.checkpoint.com/thread/5037-powershell-script-to-automate-the-creation-of-required-office-365-ip-addresses-or-urls-in-a-checkpoint-management-server Create-O365CheckpointObjects.ps1 https://GitHub.com/dav3860/checkpoint_api_scripts/blob/master/Create-O365CheckpointObjects.ps1
Palo Alto		IP App Reports	Palo Alto versteht auch "Applikationen" und verlässt sich nicht nur auf IP-Adressen. Das hat mich vor vielen Jahren mit Lync Online schon mal Nerven gekostet, da Palo Alto hier reingegrätscht hat. Siehe dazu auch Palo Alto und Lync. Hier ist die Liste der damals verfügbaren Anwendungen. Sie können also "Applikationen" freigeben. 3 Requirements to Safely Enable Microsoft Office 365 https://www.paloaltonetworks.com/resources/info-insights/3-requirements-safely-enable-microsoft-office-365 Unrestricted Access to Office 365 is Risky. Here’s How to Enable it Safely. https://researchcenter.paloaltonetworks.com/2016/11/unrestricted-access-office-365-risky-heres-enable-safely/ FAQ - Office 365 Access Control https://live.paloaltonetworks.com/t5/Management-Articles/FAQ-Office-365-Access-Control/ta-p/94949 Microsoft Office 365 Access Control Field Support Guide https://live.paloaltonetworks.com/t5/Featured-Articles/Microsoft-Office-365-Access-Control-Field-Support-Guide/ta-p/118781 EDL Hosting Service https://docs.paloaltonetworks.com/resources/edl-hosting-service "The EDL Hosting Service is a list of Software-as-a-Service (SaaS) application endpoints maintained by Palo Alto Networks." Configure the Firewall to Access an External Dynamic List from the EDL Hosting Service https://docs.paloaltonetworks.com/pan-os/10-1/pan-os-admin/policy/use-an-external-dynamic-list-in-policy/configure-the-firewall-to-access-an-external-dynamic-list-from-the-edl-hosting-service Palo Alto hat mittlerweile das Ende von "MineMeld" angekündigt. Die folgenden Links sind daher nicht mehr empfohlen: How to Safely Enable access to Office 365 using MineMeld [Updated] https://live.paloaltonetworks.com/t5/MineMeld-Articles/How-to-Safely-Enable-access-to-Office-365-using-MineMeld-Updated/ta-p/224148 How to Safely Enable access to Office 365 using MineMeld [deprecated] https://live.paloaltonetworks.com/t5/MineMeld-Articles/How-to-Safely-Enable-access-to-Office-365-using-MineMeld/ta-p/120280 MineMeld Threat Intelligence Sharing - Orchestrate threat intelligence and enforce new prevention-based controls. https://www.paloaltonetworks.com/products/secure-the-network/subscriptions/minemeld Dynamische Palo Alto Firewall-Regeln basierend auf Minemeld https://www.zueschen.eu/dynamische-palo-alto-firewall-regeln-basierend-auf-minemeld-teil-3/ Palo Alto kann "IP-Liste" per HTTP von einer Quelle beziehen und in dynamischen Regeln verwenden. Palo Alto und Lync
Fortinet			Auch Fortinet kennt mittlerweile "Office 365" Applikationen über entsprechende Signaturen: Mehr als die Marketing-Aussagen habe ich hier nicht. Ich warte noch auf Feedback vom Kunden zu Fortinet Three Key Questions to Secure Your Microsoft Office 365 https://www.fortinet.com/content/dam/fortinet/assets/ebook/ebook-3-key-questions-to-secure-your-microsoft-office-364-deployment.pdf Application Control: Microsoft.Outlook.Office.365 https://fortiguard.com/appcontrol/45553 Application Control: Microsoft.Azure https://fortiguard.com/appcontrol/38924 Verwechseln Sie nicht die Firewall FortiNet mit dem Spamfilter FortiMail aus dem gleichen Haus
Sophos		IP	Aktuell weiß ich nicht, wann Sophos eine Funktion einbaut. Aktuell geht es nur durch eine Pflege der Listen. Mittlerweile gibt es aus der Community aber ein PowerShell-Script, welches die Liste pflegen und aktualisieren kann Forenbeitrag mit Skript zur Pflege einer Office 365 Liste https://community.sophos.com/products/unified-threat-management/f/general-discussion/101289/office365-deployment-best-practice Office 365 mit Sophos Office365 deployment best practice https://community.sophos.com/products/unified-threat-management/f/general-discussion/101289/office365-deployment-best-practice Sophos XG Firewall: Office 365 web exceptions https://community.sophos.com/kb/en-us/132291 Filtering Office 365 Email Through a Sophos UTM Guide https://www.internalit.ca/blog/post/filtering-office-365-email-through-a-sophos-utm-guide
ForcePoint		IP	Using Microsoft Office 365 applications https://support.forcepoint.com/KBArticle?id=Office-365-with-TRITON-AP-WEB Application Issues Featured Article https://support.forcepoint.com/KBArticle?id=000013348 How we successfully implemented O365 at Forcepoint https://www.forcepoint.com/blog/insights/how-we-successfully-implemented-o365-forcepoint Soweit ich es gesehen habe, filtert ForcePoint auf IP-Level und mit dem Wechsel von Microsoft auf den neuen XML-Service ist eine Anpassung erforderlich. Migration to new Microsoft Office 365 IP Lists https://support.forcepoint.com/KBArticle?id=000016245 Zudem gibt es KB-Artikel, wie man bestimmte Webseiten als Proxy-Ausnahme definiert Using Microsoft Office 365 applications https://support.forcepoint.com/KBArticle?id=Office-365-with-TRITON-AP-WEB "...because the certificate presented by the server was not trusted, then the destination URL will have to be added to the Websense Content Gateway Incident List or the Web Security SSL Decryption Bypass List. .." Secure Your Office 365 Environment With Forcepoint https://www.forcepoint.com/de/node/18066 Optionale Sicherheit für Office 365 ohne zusätzliche Komplexität https://www.forcepoint.com/de/solutions/need/microsoft-office-365-security
pfSense			Soweit mir bekannt, kann ich IP-Adressen und Subnetze manuell pflegen.
Symantec ASG und ProxySG			Die Proxy-Appliance kennt in Verbindung mit GIN auch Office 365 URLs Bypass SSL interception for Microsoft Office 365 URLs and IP address ranges https://support.symantec.com/en_US/article.TECH245593.html
Watchguard		IP	Microsoft Office365 Integration Guide http://customers.watchguard.com/articles/Article/Microsoft-Office365-Integration-Guide/?l=en_US&fs=RelatedArticle Office 365 with Firebox SMTP-Proxy Integration Guide https://www.watchguard.com/help/docs/help-center/en-US/Content/Integration-Guides/General/Office%20365_Firebox_SMTP.html Configure the Firebox SMTP proxy to work with Office 365 and other cloud-based email services http://customers.watchguard.com/articles/Article/configure-firebox-smtp-proxy-cloud-email-servers-Office-365-Exchange-Online/?l=en_US&fs=RelatedArticle
Cisco		IP	Aktuell habe ich noch keine Information, ob und wie eine Cisco ASA die Microsoft 365 Ranges automatisch übernehmen kann. Cisco – Office 365\| Office 365 IP object range on a Cisco ASA https://freddejonge.nl/cisco-office-365-office-365-ip-object-range-on-a-cisco-asa/ Script to import Office 365 IP list to Cisco ASA – Improved via REST API https://halis.eu/2018/07/22/script-to-import-office-365-ip-list-to-cisco-asa-improved-via-rest-api/

Wenn ihr Firewall fehlt und besondere Office 365 Funktionen hat, dann bitte ich um Hinweise, Links, Screencaptures, damit ich diese hier addieren kann

Weitere Links

Office 365 Netzwerkziele
Office 365 Netzwerk Microsoft Empfehlungen
Office 365 und Proxy Server
Office 365 Ports
Office 365 Network Assessment -Kurzfassung
Office 365 mit Sophos
https://aka.ms/ipurlblog
Office 365 URLs and IP address ranges
https://docs.microsoft.com/en-us/microsoftteams/office-365-urls-ip-address-ranges