Firewall mit Wildcard Objekten?

https://www.watchguard.com/help/docs/help-center/en-US/Content/en-US/Fir ...

Zum Beispiel. Welche hast du denn, die es nicht kann? Oder musst du ggf. Alias/ Gruppe damit aufbauen und die dann reinziehen?

Nur deswegen schnell Fw Appliance raus zu suchen ist etwas komisch. Welche hast du denn?

Eine Fortigate kann sowas beispielsweise auch.

Es gibt aber deutlich elegantere Wege: Eine "NextGen" Firewall beispielsweise könnte M365 Traffic anhand der Application ID entsprechend behandeln.

VG,
Florian

@2423392070 du könntest solche unqualifizierten Aussagen auch einfach mal bleiben lassen.

Moin,

welche Firewall wird denn von dir eingesetzt?
Wie schon erwähnt können aktuelle WAF Lösungen den Traffic anhand von APP Rules steuern.
Das ist jedenfalls der elegantere Weg als Wildcard Einträge.

Gruß
Spirit

Warum soll eine Portfilterung nicht Objekte so ansprechen können?

Wie heißt denn die Software?

https://docs.fortinet.com/document/fortigate/6.2.13/cookbook/217973/usin ...

Die UTM-"Kompaktanlagen" haben dafür einen DNS-Filter eingebaut. Mehr ist das nicht. Wenn Deine Firewall das nicht macht (und Du sonst zufrieden bist) ergänzt Du sie mit einem PiHole oder Adguard und fertig. So bist Du auch in den Möglichkeiten flexibler

Viele Grüße, commodity

UTM? Wer? Was ? Wie? Wo?

Welche Hardware hast du denn da?

"Unsere Firewall" - welche???

Dann wird es schwer dir zu helfen.

Wenn Du bitte kurz nachdenkst, findest Du vielleicht heraus, was das eigentlich ist, das *.netzwerk.de auflöst.

Wenn die UTMs das machen, so z.B. die von @Crusher79 genannte Watchguard das DNS auflöst und auf den Portfilter anwendet, ist das auf den ersten Blick natürlich eine komfortable Sache.

Auch Fortigate kann das, das wird hier hübsch erklärt.
Ob es zuverlässig ist, ist eine andere Frage, siehe auch hier: PfSense Wildcard FQDN

Und lange halten wird es auch nicht: Fortigate weist darauf hin, dass das Konzept bei DoH natürlich scheitert. Dann bleibt nur L7 Filtering. Also Kanonen auf Spatzen.

@Crusher79: https://de.wikipedia.org/wiki/Unified_Threat_Management

Viele Grüße, commodity

Ankommender Traffic beinhaltet die IP des Absenders, nicht seinen FQDN. Das heißt du kannst nur alle deine FQDNs auf der Blacklist durchgehen und schauen ob einer davon auf eine dieser IPs auflöst und davon abhängig dann filtern (wobei ich keinen Plan habe wie das tatsächlich geregelt wird). Das geht natürlich nur mit xy.domain.tld und nicht mit *.domain.tld .

Ach ist doch so alles Kacke! Wir stochern nur rum und denken uns Eingabe Masken aus.

Ohne Hersteller hilft nur ihm NEUE zu empfehlen ?!??!

Sorry, aber ist doch Kindergarten. Du bist doch nicht der einzige Kunde! Jede Firewall hat so seine Hardware. Noch schlimmer: auch so sein eigenes Betriebssystem und Patchstand. Einige Features werden dann nachgepflegt.

Wenn man nicht Roß und Reiter bennenen will hat man Pech!


Wir stochern sonst nur rum oder malen wie wild geistige Bilder !!!

Anyway: Ohne Input keinen Output.

Somit wäre das Thema ja geklärt.

@to: Bitte noch als gelöst markieren.
Danke.

Diese Frage wurde beantwortet.

Hier können wir dir nicht wirklich weiterhelfen - ein "kann das nicht" kann ja durchaus durch einen Workaround gelöst werden. Leider verrätst du nicht, welche Firewall betroffen ist.

Zudem glaube ich, dass du die Anforderungen nicht wirklich gelesen hast:
Ist auch nicht erforderlich - auf der von dir verlinkten Seite findet sich folgender Satz oberhalb der Tabellen "Die nachstehenden Endpunktdaten zeigen die Voraussetzungen für die Verbindung vom Computer eines Benutzers zu Office 365 auf. "
Eingehende Serververbindungen findest du hier:
https://learn.microsoft.com/de-de/exchange/hybrid-deployment-prerequisit ...
Ebenfalls im Fließtext verlinkt unter "Ausführliche Informationen zu IP-Adressen, die für Netzwerkverbindungen von Microsoft in ein Kundennetzwerk verwendet werden, manchmal auch als hybride oder eingehende Netzwerkverbindungen bezeichnet, finden Sie unterZusätzliche Endpunkte für weitere Informationen."

Wofür ausreichen? Stelle deine Frage bzw. Anforderung doch konkret.

Kommt darauf an - welche Firewall, welche Features benötigt werden.
Ist ggf. noch eine MTA mit im Spiel..?

Und wir fragen uns: Was hast du im Einsatz bzw. was steht dir zur Verfügung, damit wir dir weiterhelfen können.

Es gab durchaus andere Tipps, welche diverse Hersteller benannt haben, bei denen dies geht.

Es ist ja nicht so, dass dir niemand helfen möchte - nur leider sind die Informationen so sparsam, dass dies extrem schwierig ist.

Dir ist bei der ganzen Sache klar das diese langen Listen uu 98% nur für ausgehenden Traffic sind und nicht für Eingehenden ? Wenn Eingehend etwas benötigt wird so wird dies expl. erwähnt. Der Traffic der bei dir anfällt ist in der Regel ja größtenteils ausgehender Datenverkehr.
Grundfunktion einer Firewall. Je nach dem wie Ristrik die FW ist muss ich eben entsprechende ausgehende Regeln erstellen. Da die meisten Firewall meistens alles von INNEN nach Außen durchlassen ist diese Liste eigentlich für keinen von belang. Es sei denn du willst AUSGEHEND alles Sperren außer Office 365, falls dem so ist --> Dann wird die Liste interessant.
Übrigens wird der Platzhalter * durch die entsprechende Anwendung ( Outlook / Teams / Excel / was auch immer ) entsprechend gegen einen vollwertigen FQDN getauscht.

Da die meisten FW´s nach SPI arbeiten braucht es eigentlich keine Regeln für die Eingangsseite.

Was Erlaubt ist darf von INNEN nach AUßEN --> Alles was von AU?EN nach INNEN will muss vorher von INNEN aufgerufen worden sein. Heißt die Firewall lässt automatisch die Antworten rein..

Gibt natürlich unendliche Konfigurationsregeln für eine Firewall z.b. ALLES ( INTERN / EXTERN ) ist VERBOTEN es sei denn es gibt eine Freigabe dafür.

Ich kenne übrigens max 3 Leute ( 1 x ICH ) der die Regeln bezüglich AUSGEHENDEM Traffic angelegt hat.
Wir haben das gemacht da wir eine Extra Leased Line zu MSO365 haben welche nur für die MS365 Dienste genutzt werden soll. Somit verhindern wir das da falscher Traffic über MS und die Leitung geroutet wird weil das wird teuer
Ich kann dir nur sagen das es mit allen von getesteten Firewalls funktioniert und keine Probleme gibt.

Aber bedenke bitte: DU willst eine Antwort von UNS. Wenn dan jemand mit "Sag ich euch nicht - Was intressierts euch " kommt dann steigert das nicht wirklich die Stimmung hier. Wir versuchen dir zu helfen in unserer Freizeit bzw. Freien Zeit ( egal wann/wo diese ist ). Nur mal nebenbei als Hinweis.
Du hast ein Problem was man nur lösen kann wenn man Details hat.
Wie gesagt das klappt auf allen Firewalls die ich jemals in der Hand hatte.
Es kann aber auch irgendwelchen alten Miste geben welcher es eben nicht kann weil die Firewall Prinzipien eventuell vertauscht oder anderweitig besonders sind / ist.
Normalerweise ist es bei FW´s die ich kenne so:
Alles was ich von INTERN nach 0.0.0.0/0 erlaube darf auch wieder ohne Regeln wieder zurück.
Alles was nicht erlaubt ist wird verworfen.
Gleiches gilt für die Verbindung Außen nach Innen. Habe ich nichts definiert so wird aller Traffic welcher versucht von Extern eine Verbindung zu initialisieren verworfen. Habe ich eine Regel welche z.b. Port 80 von Extern nach INTERN zulässt so brauche ich meistens keine REGEL welche den Traffic von Port 80 wieder nach EXTERN lässt.

SPI nennt sich das

@110135: Nun mal ganz ruhig. Der Fragesteller bestimmt seine Fragen und auch seine Informationen. Wem das nicht reicht sollte nachfragen, aber nicht maulig werden. Ich weiß, es ist nett gemeint, gerät aber schnell in falsches Fahrwasser.

Die Fragen waren vom TO klar gestellt und was er für eine Firewall hat, ist doch egal. Sie kann die Anforderung nicht. Punkt.
Andere Geräte sind genannt, die Frage ist, was das Gerät angeht, beantwortet. Ein paar weitere Aspekte beleuchtet.

Offen ist noch:
Sehr wahrscheinlich. Sie sind ja für die Einrichtung von Portfiltern gedacht.
Dazu könnte ruhig noch was kommen. Ich weiß ja nicht, wie Eure praktische Realität so ist, aber überall, wo ich Firewalls in kleinen Unternehmen vorfinde, sind sie faktisch gar nicht konfiguriert. Dienen bestenfalls als VPN-Gateway. Keine Ahnung, ob die Kollegen nur verkaufen wollen, es nicht können oder ich einfach nur die falschen Kunden habe
Edit1: Kollege @Mr-Gustav bestätigt meinen Eindruck ja. Und jetzt kennst Du vier

Ich selbst würde nicht so streng filtern. Ich verbiete die bösen Buben im DNS über PiHole und im übrigen blocke ich Ports und erlaube einzelne. Ja, das ist nicht total sicher, denn auch die (noch nicht in der Filterliste befindlichen) bösen Buben könnten Standardports nehmen. Aber imo funktioniert es nicht, alles zu verbieten und domainbezogen zu whitelisten. Wenn *.protection.outlook.com Port 443 braucht, wäre eine diesbezüglich spezifisch angelegte Regel ja nur sinnvoll, wenn ich den Rest von 443 geblockt bzw. alles andere benötigte ebenfalls für 443 gewhitelistet habe. Es liegt ja wohl auf der Hand, dass das in der Realität nicht geht.
Edit2: Denk mal bitte drüber nach, wie das in der Praxis funktionieren soll, wenn ein User morgen um 23 Uhr xzy.feda.co.uk aufrufen möchte, weil er die für sein Projekt benötigt und Dein Filter zuschlägt. Wie oft willst Du angerufen werden? Zu welchen Zeiten? Wer bezahlt das? Zum Spielen kann man das machen. Ansonsten nicht.

Höhere Sicherheit fordert dann Formen von L7 Firewalling, die in den meisten Szenarien völlig übertrieben sind (und die einzurichten und zu pflegen ebenfalls erheblichen Aufwand bedeutet. Neben potenter und damit teurer Hardware.

Insgesamt ist das Thema Firewall-Sicherheit hochkomplex und hier schon bestimmt 100e Male ohne Einigkeit diskutiert worden. Es gibt für alles Ansätze, vollständige praktikable und wirtschaftliche Lösungen aber praktisch nie.

Viele Grüße, commodity

Ich bin mir gerade nicht ganz sicher - aber mein letzter Kenntnissstand ist, dass genau das nicht unterstützt ist und der EXO direkt zum EX per Port 25 zugreifen darf.

Das ist aber normalerweise auch ohne Hybridstellung möglich und hat nichts mit EXO und onprem zu tun.

Wieso solltest du das denn?

Wie empfängst du denn aktuell deine E-Mails? Per POP Connector?!
Das sagt dir alles der Wizard bei der Hybrideinrichtung

Auf den EXO, korrekt.

Da hast du Recht und ich bitte hiermit um Entschuldigung, wenn es ggf. als maulig interpretiert worden ist.

Mir ging es schlichtweg darum zu helfen.
Und mal Hand aufs Herz: Jeder von uns kennt doch genau das Problem: Man kommt nicht immer direkt auf die Lösung - manchmal gibt es einen (mehr oder weniger guten) Workaround - dieser ist nur schwer aufzuzeigen, wenn das Produkt nicht bekannt ist.
Nun sei es drum.

Das Problem dürfte weniger die Firewall sein - ich denke hier wird eher Unterstützung in Puncto MS365 / EXO benötigt.

Genau so habe ich Dich auch verstanden. Alles gut. Ich kenne das zu gut. Man will helfen und kommt nicht voran, weil die Infos fehlen. Bin ich schon öfter ins Fettnäpfchen getreten, weil ich zu ungeduldig wurde

Viele Grüße, commodity

Mailrelay kannst du Knicken. Dex EX will direkt ohne Relay dazwischen kommunizieren.
Der EXO Hybrid (HCW) legt beim durchklicken entsprechende Konnectoren auf beiden Seiten und wenn er
keinen direkten Zugriff bekommt dann knallts und das Setup ist beendet

Dir ist klar wenn die User welche das wenn die Postfächer LOKAL liegen hier eine Freigabe vorhanden sein muss da der EXO dann sozusagen was das OWA angeht einfach nur Umleitet ?

Ich gehe mal davon aus das du dir erhoffst das bei einer Hybrid Stellung alle Postfächer über OWA per Outlook.Office365.com erreichbar sind und du den lokalen OWA bzw. die freigaben für den Lokalen OWA beenden willst ?
So zu sagen -- User --- OWA.MICROSFT365.COM --> Postfach welches lokal liegt öffnen --> lesen über OWA.MS§&% ?

Das wird nichts in einer Hybridstellung


Was meisnt du mi Range ? Die IP´s für den OWA Zugriff der Clients auf onPrem oder Office365?
ich denke wahrscheinlich einfach nur zu kompliziert

Richtig. Ich bin mir aber nicht sicher ob dann alle postfächer ebenfalls auf O365 liegen müssen

Bezüglich des HCW gibts klare vorgaben von MS entweder Umsetzen und Support bekommen oder eben Umsetzten und KEINEN Support bekommen. Der MS Support für Office365 ist da recht Schmerzbefreit dir zu sagen: Fall Geschlossen - System nicht mach Herstellervorgaben !
Und das war´s dann.

das ganze Hybrid ist auf dauer ausgelegt. Entsprechend gilt es hier die Firewall einzurichten und dann ist das ganze kein Problem mehr. DIe Regeln in der Liste sind ja alles eingehende und ausgehende Regeln. Da es SPI FW´s sind ( zum die meistens ) also Regeln erstellen für den EX und gut ist. Läuft bei uns im Konzern schon seit gut 2 oder mehr Jahren ohne Probleme.
An die Regeln halten und erledigt.
MS 365 ist halt in dem Sinn nix für Bastler die dann irgendwo Geld sparen wollen und irgendwelche anderen Mailgateways / Proxy oder was auch immer dazwischen hängen wollen.
Wenn alles nach den Dokumenten von MS ist ist das ganze Ding sicher und betreibbar ohne das es Probleme gibt.
Teilweise übernimmt MS hier sogar dann die Haftung wenn etwas schief geht. Hier ist aber dann darauf zu achten das die Systeme von MS abgenommen sind was kaum jemand macht
Es reicht übrigens wenn ein Support MA schreibt das alles OK ist und nach MS Vorgaben installiert und eingerichtet ist.