Office 365 mit Sophos
Am Beispiel einer Sophos Firewall zeige ich auf, welche Analyse und Steuerungsmöglichkeiten heute Firewalls haben. Ich bin sicher, dass andere Produkte das vergleichbar können.
Analyse mit dem Flow Monitor
Wenn eine Firewall etwas mehr als "nur Portfilterung" kann, dann erkennt Sie unterschiedliche Applikationen. Die meisten Firewalls kennen dazu entweder die IP-Adressen im Internet oder schauen dem TLS-Handshake auf die Finger. Das geht besonders gut, wenn die Firewall auch HTTP-Proxy ist und hier den SNI (Siehe auch Subject Name Indication (SNI)) mitlesen kann. Bei einer Sophos sah das dann z.B. so aus:
Sie können natürlich das Interface "leer" lassen aber dann sehen Sie alle Pakete auf allen Schnittstellen. Sie sehen also auch Pakete von Intern zu einer DMZ, was mich für Office 365 nicht wirklich interessiert. Daher suche ich mir vorher über "Interfaces & Routing" das Interface aus, welches den Link zum Internet darstellt.
Bei der Auswahl eines Interface können Sie in der dann angezeigten Tabelle auch gleich je nach Applikation den Verkehr drosseln und sogar blockieren. An diesem Beispiel sieht man schon, dass die Sophos sehr viele Applikationen "versteht" aber es auch immer noch generische "SSL", HTTP" und "unclassified"-Pakete gibt.
Die Sophos kann hier also schon Exchange Online, Skype for Business und Microsoft OneDrive erkennen. Aber auch YouTube und Twitter werden gesondert aufgeführt. Sie sehen hier auch, dass die Optionen nur ein Mausklick weit entfernt sind, um die Applikation zu blocken, zu drosseln oder
- Frequently asked questions about Application Control
https://community.sophos.com/kb/en-us/63656 - Kontrollierte Applikationen
https://www.sophos.com/de-de/threat-center/threat-analyses/controlled-applications.aspx - Sophos XG Firewall: How to apply bandwidth restrictions on
an application
https://community.sophos.com/kb/en-us/123062
Die Sicht auf den zeitlichen Verlauf hat zuerst das Ziel die Top-Bandbreiten zu erkennen.
Die Bilder sind aber nicht "gestacked", d.h. wenn da 2 Megabit an der Y-Achse steht, dann ist die Summe aller Pakete natürlich höher. Das lässt sich per SNMP auslesen
NetFlow/IPFix?
Eine andere Option wäre das Erfassen der Datenströme über NetFlow/IPfix. Allerdings funktioniert dies dann nur, wenn die Firewall diese Pakete per NAT nach extern durchreicht und Sie auf dem internen Interface mitschneiden. Auf dem externen Interface ist die SourceIP-Adresse ja aus dem NAT-Pool. Nur auf dem internen Interface kann Netflow die echte Client-IP als auch die Ziel-IP ermitteln. Eine gewisse Unschärfe bleibt aber erhalten, wenn z.B. Content Delivery Netzwerker (Akamai etc) zum Einsatz kommen und verschiedene Dienste die gleichen IP-Adresse nutzen und die Weiche über den Zertifikatsnamen erfolgt.
Azure Log Parsing
Eine weitere Möglichkeit ist natürlich die Übergabe der Firewall-Logs in das Azure Cloud Security. Microsoft bietet hier die Option eigene Logs einmalig (kostenfrei) oder per Agent auch kontinuierlich einzuliefern und auszuwerten.
Office 365 Adress-Sätze
Leider habe ich in den Firewall-Regeln selbst noch keine Office 365 Adresssätze gefunden, über die ich bestimmte Dienste erlauben kann. Es gibt so noch keine "vordefinierten" Ziele. Allerdings gibt es in der Community entsprechende Skripte, um die Office 365 IP-Adressen zu übernehmen
- Office 365 Netzwerkziele
- Office 365 Firewalls
- Forenbeitrag mit Skript zur
Pflege einer Office 365
Liste
https://community.sophos.com/products/unified-threat-management/f/general-discussion/101289/office365-deployment-best-practice
Shaping und Throttling
. Aber Sie haben weiter oben ja schon gesehen, dass für jeden Dienst ein "Shaping" umgesetzt werden kann.
What is Traffic Shaping
Traffic Shaping is a method to guarantee a bandwidth relationship between
individual applications or protocols. It is a traffic management method that
allows you to allocate network resources to both mission critical and normal
data, based on the type of network traffic, and the priority you assign to that
traffic.
Quelle:
https://community.sophos.com/kb/en-us/123058
Über die GUI lassen sich entsprechende Richtlinien auch sehr schnell einstellen:
Eine Throttling-Rule ist dabei eher die maximale Obergrenze, die ich über alle Clients oder pro Client vorgeben kann. Allerdings bin ich kein Freund solcher absoluter Grenzen, da sie nicht überschritten werden und daher Bandbreite ggfls. ungenutzt bleibt. Die "Sharing Rule" macht hier schon mehr Sinn. Sie orientiert sich am Zielsystem und erlaubt eine Obergrenze aber auch eine zugesicherte Bandbreite. Allerdings müssen Sie schon selbst aufpassen, wie sie den Kuchen verteilen.
Wenn Sie eine Applikation komplett blocken, dann werden die Zugriffe mit einem HTTP-Error blockiert.
Allerdings funktioniert natürlich das nur, wenn Sie auch den HTTP-Proxy der Sophos verwenden.
Weitere Links
- Cloud Verbindung
- Office 365 Ports
- Office 365 Netzwerkziele
- Office 365 Firewalls
- Sophos Firewall: How to apply bandwidth restriction on a User
https://community.sophos.com/kb/en-us/123061#What%20is%20Traffic%20Shaping - Application Control Sophos UTM 9
- Application Control Sophos UTM 9
http://neise.de/sophos-utm-astaro/web-protection/application-control-sophos-utm-9.html - How to control YouTube videos through the UTM
https://community.sophos.com/kb/en-us/124329