Office 365 mit Sophos

Am Beispiel einer Sophos Firewall zeige ich auf, welche Analyse und Steuerungsmöglichkeiten heute Firewalls haben. Ich bin sicher, dass andere Produkte das vergleichbar können.

Analyse mit dem Flow Monitor

Wenn eine Firewall etwas mehr als "nur Portfilterung" kann, dann erkennt Sie unterschiedliche Applikationen. Die meisten Firewalls kennen dazu entweder die IP-Adressen im Internet oder schauen dem TLS-Handshake auf die Finger. Das geht besonders gut, wenn die Firewall auch HTTP-Proxy ist und hier den SNI (Siehe auch Subject Name Indication (SNI)) mitlesen kann. Bei einer Sophos sah das dann z.B. so aus:

Sie können natürlich das Interface "leer" lassen aber dann sehen Sie alle Pakete auf allen Schnittstellen. Sie sehen also auch Pakete von Intern zu einer DMZ, was mich für Office 365 nicht wirklich interessiert. Daher suche ich mir vorher über "Interfaces & Routing" das Interface aus, welches den Link zum Internet darstellt.

Bei der Auswahl eines Interface können Sie in der dann angezeigten Tabelle auch gleich je nach Applikation den Verkehr drosseln und sogar blockieren. An diesem Beispiel sieht man schon, dass die Sophos sehr viele Applikationen "versteht" aber es auch immer noch generische "SSL", HTTP" und "unclassified"-Pakete gibt.

Die Sophos kann hier also schon Exchange Online, Skype for Business und Microsoft OneDrive erkennen. Aber auch YouTube und Twitter werden gesondert aufgeführt. Sie sehen hier auch, dass die Optionen nur ein Mausklick weit entfernt sind, um die Applikation zu blocken, zu drosseln oder

Die Sicht auf den zeitlichen Verlauf hat zuerst das Ziel die Top-Bandbreiten zu erkennen.

Die Bilder sind aber nicht "gestacked", d.h. wenn da 2 Megabit an der Y-Achse steht, dann ist die Summe aller Pakete natürlich höher. Das lässt sich per SNMP auslesen

NetFlow/IPFix?

Eine andere Option wäre das Erfassen der Datenströme über NetFlow/IPfix. Allerdings funktioniert dies dann nur, wenn die Firewall diese Pakete per NAT nach extern durchreicht und Sie auf dem internen Interface mitschneiden. Auf dem externen Interface ist die SourceIP-Adresse ja aus dem NAT-Pool. Nur auf dem internen Interface kann Netflow die echte Client-IP als auch die Ziel-IP ermitteln. Eine gewisse Unschärfe bleibt aber erhalten, wenn z.B. Content Delivery Netzwerker (Akamai etc) zum Einsatz kommen und verschiedene Dienste die gleichen IP-Adresse nutzen und die Weiche über den Zertifikatsnamen erfolgt.

Azure Log Parsing

Eine weitere Möglichkeit ist natürlich die Übergabe der Firewall-Logs in das Azure Cloud Security. Microsoft bietet hier die Option eigene Logs einmalig (kostenfrei) oder per Agent auch kontinuierlich einzuliefern und auszuwerten.

Office 365 Adress-Sätze

Leider habe ich in den Firewall-Regeln selbst noch keine Office 365 Adresssätze gefunden, über die ich bestimmte Dienste erlauben kann. Es gibt so noch keine "vordefinierten" Ziele. Allerdings gibt es in der Community entsprechende Skripte, um die Office 365 IP-Adressen zu übernehmen

Shaping und Throttling

. Aber Sie haben weiter oben ja schon gesehen, dass für jeden Dienst ein "Shaping" umgesetzt werden kann.

What is Traffic Shaping
Traffic Shaping is a method to guarantee a bandwidth relationship between individual applications or protocols. It is a traffic management method that allows you to allocate network resources to both mission critical and normal data, based on the type of network traffic, and the priority you assign to that traffic.
Quelle: https://community.sophos.com/kb/en-us/123058

Über die GUI lassen sich entsprechende Richtlinien auch sehr schnell einstellen:

Eine Throttling-Rule ist dabei eher die maximale Obergrenze, die ich über alle Clients oder pro Client vorgeben kann. Allerdings bin ich kein Freund solcher absoluter Grenzen, da sie nicht überschritten werden und daher Bandbreite ggfls. ungenutzt bleibt. Die "Sharing Rule" macht hier schon mehr Sinn. Sie orientiert sich am Zielsystem und erlaubt eine Obergrenze aber auch eine zugesicherte Bandbreite. Allerdings müssen Sie schon selbst aufpassen, wie sie den Kuchen verteilen.

Wenn Sie eine Applikation komplett blocken, dann werden die Zugriffe mit einem HTTP-Error blockiert.

Allerdings funktioniert natürlich das nur, wenn Sie auch den HTTP-Proxy der Sophos verwenden.

Weitere Links