30
Firewall mit Wildcard Objekten?
Hallo zusammen,
gibt es eigentlich eine Firewall die mit Wildcard Objekten umgehen kann und dafür Regeln erstellen kann? Ich arbeite bisher mit 2 Stück und die kennen das nicht.
Gerade Microsoft will ja für die O365 Hybridkonfiguration einige Türen geöffnet haben. z.B. "*.protection.outlook.com". Ich frage mich wie ich das machen soll, da unsere Firewall das nicht kann...
Reichen dann die IP-Address Ranges die MS vorgibt? https://learn.microsoft.com/de-de/microsoft-365/enterprise/urls-and-ip-a ...
Wie macht ihr das bei einer Classic Hybrid Bereitstellung?
Danke für Tipps!
Grüße
Leon
gibt es eigentlich eine Firewall die mit Wildcard Objekten umgehen kann und dafür Regeln erstellen kann? Ich arbeite bisher mit 2 Stück und die kennen das nicht.
Gerade Microsoft will ja für die O365 Hybridkonfiguration einige Türen geöffnet haben. z.B. "*.protection.outlook.com". Ich frage mich wie ich das machen soll, da unsere Firewall das nicht kann...
Reichen dann die IP-Address Ranges die MS vorgibt? https://learn.microsoft.com/de-de/microsoft-365/enterprise/urls-and-ip-a ...
Wie macht ihr das bei einer Classic Hybrid Bereitstellung?
Danke für Tipps!
Grüße
Leon
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 6666249320
Url: https://administrator.de/contentid/6666249320
Ausgedruckt am: 25.11.2024 um 06:11 Uhr
30 Kommentare
Neuester Kommentar
Welche Firewall kann das nicht? Sowas muss gehen.
https://www.watchguard.com/help/docs/help-center/en-US/Content/en-US/Fir ...
Zum Beispiel. Welche hast du denn, die es nicht kann? Oder musst du ggf. Alias/ Gruppe damit aufbauen und die dann reinziehen?
Nur deswegen schnell Fw Appliance raus zu suchen ist etwas komisch. Welche hast du denn?
Zum Beispiel. Welche hast du denn, die es nicht kann? Oder musst du ggf. Alias/ Gruppe damit aufbauen und die dann reinziehen?
Nur deswegen schnell Fw Appliance raus zu suchen ist etwas komisch. Welche hast du denn?
Eine Fortigate kann sowas beispielsweise auch.
Es gibt aber deutlich elegantere Wege: Eine "NextGen" Firewall beispielsweise könnte M365 Traffic anhand der Application ID entsprechend behandeln.
VG,
Florian
Es gibt aber deutlich elegantere Wege: Eine "NextGen" Firewall beispielsweise könnte M365 Traffic anhand der Application ID entsprechend behandeln.
VG,
Florian
Zitat von @2423392070:
Welche Firewall kann das nicht? Sowas muss gehen.
Welche Firewall kann das nicht? Sowas muss gehen.
@2423392070 du könntest solche unqualifizierten Aussagen auch einfach mal bleiben lassen.
Zitat von @2423392070:
Welche Firewall kann das nicht? Sowas muss gehen.
Welche Firewall kann das nicht? Sowas muss gehen.
Im Portfilter? Webfilter klar aber im Portfilter?
Zitat von @110135:
Eine Fortigate kann sowas beispielsweise auch.
Es gibt aber deutlich elegantere Wege: Eine "NextGen" Firewall beispielsweise könnte M365 Traffic anhand der Application ID entsprechend behandeln.
VG,
Florian
Eine Fortigate kann sowas beispielsweise auch.
Es gibt aber deutlich elegantere Wege: Eine "NextGen" Firewall beispielsweise könnte M365 Traffic anhand der Application ID entsprechend behandeln.
VG,
Florian
Hast du da eventuell einen Link wo man sich einlesen kann. Damit hatte ich bisher noch keine Berührung.
Moin,
welche Firewall wird denn von dir eingesetzt?
Wie schon erwähnt können aktuelle WAF Lösungen den Traffic anhand von APP Rules steuern.
Das ist jedenfalls der elegantere Weg als Wildcard Einträge.
Gruß
Spirit
welche Firewall wird denn von dir eingesetzt?
Wie schon erwähnt können aktuelle WAF Lösungen den Traffic anhand von APP Rules steuern.
Das ist jedenfalls der elegantere Weg als Wildcard Einträge.
Gruß
Spirit
Warum soll eine Portfilterung nicht Objekte so ansprechen können?
Wie heißt denn die Software?
Wie heißt denn die Software?
Zitat von @leon123:
Hast du da eventuell einen Link wo man sich einlesen kann. Damit hatte ich bisher noch keine Berührung.
Hast du da eventuell einen Link wo man sich einlesen kann. Damit hatte ich bisher noch keine Berührung.
https://docs.fortinet.com/document/fortigate/6.2.13/cookbook/217973/usin ...
Die UTM-"Kompaktanlagen" haben dafür einen DNS-Filter eingebaut. Mehr ist das nicht. Wenn Deine Firewall das nicht macht (und Du sonst zufrieden bist) ergänzt Du sie mit einem PiHole oder Adguard und fertig. So bist Du auch in den Möglichkeiten flexibler 
Viele Grüße, commodity
Viele Grüße, commodity
Zitat von @commodity:
Die UTM-"Kompaktanlagen" haben dafür einen DNS-Filter eingebaut. Mehr ist das nicht. Wenn Deine Firewall das nicht macht (und Du sonst zufrieden bist) ergänzt Du sie mit einem PiHole oder Adguard und fertig. So bist Du auch in den Möglichkeiten flexibler
Viele Grüße, commodity
Die UTM-"Kompaktanlagen" haben dafür einen DNS-Filter eingebaut. Mehr ist das nicht. Wenn Deine Firewall das nicht macht (und Du sonst zufrieden bist) ergänzt Du sie mit einem PiHole oder Adguard und fertig. So bist Du auch in den Möglichkeiten flexibler
Viele Grüße, commodity
Ich spreche nicht von einem Webfilter, sondern von einem Regelbasiertem Portfilter...
EinHostname --> Exchange --> Port 25/443 das funktioniert.
aber
*.netzwerk.de -> Exchange --> Port 25 das funktioniert nicht.
UTM? Wer? Was ? Wie? Wo?
Welche Hardware hast du denn da?
"Unsere Firewall" - welche???
Welche Hardware hast du denn da?
"Unsere Firewall" - welche???
1
Ich möchte den Hersteller aus diversen Gründen nicht nennen.
Ich habe dort nachgefragt. Sie kann keine wildcard FQDN im Portregelfilter. Sie kann nur Hostnamen.
Ich habe dort nachgefragt. Sie kann keine wildcard FQDN im Portregelfilter. Sie kann nur Hostnamen.
Dann wird es schwer dir zu helfen.
Zitat von @leon123:
Ich spreche nicht von einem Webfilter, sondern von einem Regelbasiertem Portfilter...
*.netzwerk.de -> Exchange --> Port 25 das funktioniert nicht.
Wenn Du bitte kurz nachdenkst, findest Du vielleicht heraus, was das eigentlich ist, das *.netzwerk.de auflöst.Ich spreche nicht von einem Webfilter, sondern von einem Regelbasiertem Portfilter...
*.netzwerk.de -> Exchange --> Port 25 das funktioniert nicht.
Wenn die UTMs das machen, so z.B. die von @Crusher79 genannte Watchguard das DNS auflöst und auf den Portfilter anwendet, ist das auf den ersten Blick natürlich eine komfortable Sache.
Auch Fortigate kann das, das wird hier hübsch erklärt.
Ob es zuverlässig ist, ist eine andere Frage, siehe auch hier: PfSense Wildcard FQDN
Und lange halten wird es auch nicht: Fortigate weist darauf hin, dass das Konzept bei DoH natürlich scheitert. Dann bleibt nur L7 Filtering. Also Kanonen auf Spatzen.
@Crusher79: https://de.wikipedia.org/wiki/Unified_Threat_Management
Viele Grüße, commodity
Zitat von @leon123:
Ich spreche nicht von einem Webfilter, sondern von einem Regelbasiertem Portfilter...
EinHostname --> Exchange --> Port 25/443 das funktioniert.
aber
*.netzwerk.de -> Exchange --> Port 25 das funktioniert nicht.
Ankommender Traffic beinhaltet die IP des Absenders, nicht seinen FQDN. Das heißt du kannst nur alle deine FQDNs auf der Blacklist durchgehen und schauen ob einer davon auf eine dieser IPs auflöst und davon abhängig dann filtern (wobei ich keinen Plan habe wie das tatsächlich geregelt wird). Das geht natürlich nur mit xy.domain.tld und nicht mit *.domain.tld .Ich spreche nicht von einem Webfilter, sondern von einem Regelbasiertem Portfilter...
EinHostname --> Exchange --> Port 25/443 das funktioniert.
aber
*.netzwerk.de -> Exchange --> Port 25 das funktioniert nicht.
Ach ist doch so alles Kacke! Wir stochern nur rum und denken uns Eingabe Masken aus.
Ohne Hersteller hilft nur ihm NEUE zu empfehlen ?!??!
Sorry, aber ist doch Kindergarten. Du bist doch nicht der einzige Kunde! Jede Firewall hat so seine Hardware. Noch schlimmer: auch so sein eigenes Betriebssystem und Patchstand. Einige Features werden dann nachgepflegt.
Wenn man nicht Roß und Reiter bennenen will hat man Pech!
Wir stochern sonst nur rum oder malen wie wild geistige Bilder !!!
Ohne Hersteller hilft nur ihm NEUE zu empfehlen ?!??!
Sorry, aber ist doch Kindergarten. Du bist doch nicht der einzige Kunde! Jede Firewall hat so seine Hardware. Noch schlimmer: auch so sein eigenes Betriebssystem und Patchstand. Einige Features werden dann nachgepflegt.
Wenn man nicht Roß und Reiter bennenen will hat man Pech!
Wir stochern sonst nur rum oder malen wie wild geistige Bilder !!!
1
Anyway: Ohne Input keinen Output.
Somit wäre das Thema ja geklärt.
@to: Bitte noch als gelöst markieren.
Danke.
Somit wäre das Thema ja geklärt.
@to: Bitte noch als gelöst markieren.
Danke.
Der Hersteller ist doch völlig egal, sie kann es nicht und damit ist es doch erledigt... Die Empfehlung war hier herauszufinden welche IP-Adressen betroffen sind und diese dann freizugeben. Das geht aber mMn nicht weil sich diese ändern können.
Und jetzt frag ich mich, wie ich das sinnvoll lösen soll, damit es auch sicher ist.
Die einzig sinnvolle Antwort war von commodity...
Und jetzt frag ich mich, wie ich das sinnvoll lösen soll, damit es auch sicher ist.
Die einzig sinnvolle Antwort war von commodity...
Zitat von @leon123:
gibt es eigentlich eine Firewall die mit Wildcard Objekten umgehen kann und dafür Regeln erstellen kann? Ich arbeite bisher mit 2 Stück und die kennen das nicht.
Diese Frage wurde beantwortet.
Gerade Microsoft will ja für die O365 Hybridkonfiguration einige Türen geöffnet haben. z.B. "*.protection.outlook.com". Ich frage mich wie ich das machen soll, da unsere Firewall das nicht kann...
Hier können wir dir nicht wirklich weiterhelfen - ein "kann das nicht" kann ja durchaus durch einen Workaround gelöst werden. Leider verrätst du nicht, welche Firewall betroffen ist.Zudem glaube ich, dass du die Anforderungen nicht wirklich gelesen hast:
*.netzwerk.de -> Exchange --> Port 25 das funktioniert nicht.
Ist auch nicht erforderlich - auf der von dir verlinkten Seite findet sich folgender Satz oberhalb der Tabellen "Die nachstehenden Endpunktdaten zeigen die Voraussetzungen für die Verbindung vom Computer eines Benutzers zu Office 365 auf. "Eingehende Serververbindungen findest du hier:
https://learn.microsoft.com/de-de/exchange/hybrid-deployment-prerequisit ...
Ebenfalls im Fließtext verlinkt unter "Ausführliche Informationen zu IP-Adressen, die für Netzwerkverbindungen von Microsoft in ein Kundennetzwerk verwendet werden, manchmal auch als hybride oder eingehende Netzwerkverbindungen bezeichnet, finden Sie unterZusätzliche Endpunkte für weitere Informationen."
Reichen dann die IP-Address Ranges die MS vorgibt? https://learn.microsoft.com/de-de/microsoft-365/enterprise/urls-and-ip-a ...
Wofür ausreichen? Stelle deine Frage bzw. Anforderung doch konkret.Wie macht ihr das bei einer Classic Hybrid Bereitstellung?
Kommt darauf an - welche Firewall, welche Features benötigt werden.Ist ggf. noch eine MTA mit im Spiel..?
Und jetzt frag ich mich, wie ich das sinnvoll lösen soll, damit es auch sicher ist.
Und wir fragen uns: Was hast du im Einsatz bzw. was steht dir zur Verfügung, damit wir dir weiterhelfen können.Die einzig sinnvolle Antwort war von commodity...
Es gab durchaus andere Tipps, welche diverse Hersteller benannt haben, bei denen dies geht.Es ist ja nicht so, dass dir niemand helfen möchte - nur leider sind die Informationen so sparsam, dass dies extrem schwierig ist.
Dir ist bei der ganzen Sache klar das diese langen Listen uu 98% nur für ausgehenden Traffic sind und nicht für Eingehenden ? Wenn Eingehend etwas benötigt wird so wird dies expl. erwähnt. Der Traffic der bei dir anfällt ist in der Regel ja größtenteils ausgehender Datenverkehr.
Grundfunktion einer Firewall. Je nach dem wie Ristrik die FW ist muss ich eben entsprechende ausgehende Regeln erstellen. Da die meisten Firewall meistens alles von INNEN nach Außen durchlassen ist diese Liste eigentlich für keinen von belang. Es sei denn du willst AUSGEHEND alles Sperren außer Office 365, falls dem so ist --> Dann wird die Liste interessant.
Übrigens wird der Platzhalter * durch die entsprechende Anwendung ( Outlook / Teams / Excel / was auch immer ) entsprechend gegen einen vollwertigen FQDN getauscht.
Da die meisten FW´s nach SPI arbeiten braucht es eigentlich keine Regeln für die Eingangsseite.
Was Erlaubt ist darf von INNEN nach AUßEN --> Alles was von AU?EN nach INNEN will muss vorher von INNEN aufgerufen worden sein. Heißt die Firewall lässt automatisch die Antworten rein..
Gibt natürlich unendliche Konfigurationsregeln für eine Firewall z.b. ALLES ( INTERN / EXTERN ) ist VERBOTEN es sei denn es gibt eine Freigabe dafür.
Ich kenne übrigens max 3 Leute ( 1 x ICH ) der die Regeln bezüglich AUSGEHENDEM Traffic angelegt hat.
Wir haben das gemacht da wir eine Extra Leased Line zu MSO365 haben welche nur für die MS365 Dienste genutzt werden soll. Somit verhindern wir das da falscher Traffic über MS und die Leitung geroutet wird weil das wird teuer
Ich kann dir nur sagen das es mit allen von getesteten Firewalls funktioniert und keine Probleme gibt.
Aber bedenke bitte: DU willst eine Antwort von UNS. Wenn dan jemand mit "Sag ich euch nicht - Was intressierts euch " kommt dann steigert das nicht wirklich die Stimmung hier. Wir versuchen dir zu helfen in unserer Freizeit bzw. Freien Zeit ( egal wann/wo diese ist ). Nur mal nebenbei als Hinweis.
Du hast ein Problem was man nur lösen kann wenn man Details hat.
Wie gesagt das klappt auf allen Firewalls die ich jemals in der Hand hatte.
Es kann aber auch irgendwelchen alten Miste geben welcher es eben nicht kann weil die Firewall Prinzipien eventuell vertauscht oder anderweitig besonders sind / ist.
Normalerweise ist es bei FW´s die ich kenne so:
Alles was ich von INTERN nach 0.0.0.0/0 erlaube darf auch wieder ohne Regeln wieder zurück.
Alles was nicht erlaubt ist wird verworfen.
Gleiches gilt für die Verbindung Außen nach Innen. Habe ich nichts definiert so wird aller Traffic welcher versucht von Extern eine Verbindung zu initialisieren verworfen. Habe ich eine Regel welche z.b. Port 80 von Extern nach INTERN zulässt so brauche ich meistens keine REGEL welche den Traffic von Port 80 wieder nach EXTERN lässt.
SPI nennt sich das
Grundfunktion einer Firewall. Je nach dem wie Ristrik die FW ist muss ich eben entsprechende ausgehende Regeln erstellen. Da die meisten Firewall meistens alles von INNEN nach Außen durchlassen ist diese Liste eigentlich für keinen von belang. Es sei denn du willst AUSGEHEND alles Sperren außer Office 365, falls dem so ist --> Dann wird die Liste interessant.
Übrigens wird der Platzhalter * durch die entsprechende Anwendung ( Outlook / Teams / Excel / was auch immer ) entsprechend gegen einen vollwertigen FQDN getauscht.
Da die meisten FW´s nach SPI arbeiten braucht es eigentlich keine Regeln für die Eingangsseite.
Was Erlaubt ist darf von INNEN nach AUßEN --> Alles was von AU?EN nach INNEN will muss vorher von INNEN aufgerufen worden sein. Heißt die Firewall lässt automatisch die Antworten rein..
Gibt natürlich unendliche Konfigurationsregeln für eine Firewall z.b. ALLES ( INTERN / EXTERN ) ist VERBOTEN es sei denn es gibt eine Freigabe dafür.
Ich kenne übrigens max 3 Leute ( 1 x ICH ) der die Regeln bezüglich AUSGEHENDEM Traffic angelegt hat.
Wir haben das gemacht da wir eine Extra Leased Line zu MSO365 haben welche nur für die MS365 Dienste genutzt werden soll. Somit verhindern wir das da falscher Traffic über MS und die Leitung geroutet wird weil das wird teuer
Ich kann dir nur sagen das es mit allen von getesteten Firewalls funktioniert und keine Probleme gibt.
Aber bedenke bitte: DU willst eine Antwort von UNS. Wenn dan jemand mit "Sag ich euch nicht - Was intressierts euch " kommt dann steigert das nicht wirklich die Stimmung hier. Wir versuchen dir zu helfen in unserer Freizeit bzw. Freien Zeit ( egal wann/wo diese ist ). Nur mal nebenbei als Hinweis.
Du hast ein Problem was man nur lösen kann wenn man Details hat.
Wie gesagt das klappt auf allen Firewalls die ich jemals in der Hand hatte.
Es kann aber auch irgendwelchen alten Miste geben welcher es eben nicht kann weil die Firewall Prinzipien eventuell vertauscht oder anderweitig besonders sind / ist.
Normalerweise ist es bei FW´s die ich kenne so:
Alles was ich von INTERN nach 0.0.0.0/0 erlaube darf auch wieder ohne Regeln wieder zurück.
Alles was nicht erlaubt ist wird verworfen.
Gleiches gilt für die Verbindung Außen nach Innen. Habe ich nichts definiert so wird aller Traffic welcher versucht von Extern eine Verbindung zu initialisieren verworfen. Habe ich eine Regel welche z.b. Port 80 von Extern nach INTERN zulässt so brauche ich meistens keine REGEL welche den Traffic von Port 80 wieder nach EXTERN lässt.
SPI nennt sich das
Aktuell ist ein Mail Relay noch dazwischen. Ob das in Zukunft noch sein muss sei jetzt mal dahingestellt...
Ich möchte Classic Hybrid gehen damit die User die auch extern den Exchange verwenden keinen VPN mehr benutzen müssen. Der Rest soll noch in der Firma bleiben (ist nicht meine Entscheidung).
Ich will aber nicht den Port 443 für alle aufmachen. Auch Port 25 direkt auf den Exchange möchte ich nicht.
Ich habe dann die Liste wohl falsch verstanden.
Welche IP-Range muss ich dann auf meinen Exchange freigeben? Steht das überhaupt irgendwo?
Soweit ich es verstanden habe, braucht z.b. Teams für Free/Busy Time zugriff auf den Exchange.
Ich möchte Classic Hybrid gehen damit die User die auch extern den Exchange verwenden keinen VPN mehr benutzen müssen. Der Rest soll noch in der Firma bleiben (ist nicht meine Entscheidung).
Ich will aber nicht den Port 443 für alle aufmachen. Auch Port 25 direkt auf den Exchange möchte ich nicht.
Ich habe dann die Liste wohl falsch verstanden.
Welche IP-Range muss ich dann auf meinen Exchange freigeben? Steht das überhaupt irgendwo?
Soweit ich es verstanden habe, braucht z.b. Teams für Free/Busy Time zugriff auf den Exchange.
@110135: Nun mal ganz ruhig. Der Fragesteller bestimmt seine Fragen und auch seine Informationen. Wem das nicht reicht sollte nachfragen, aber nicht maulig werden. Ich weiß, es ist nett gemeint, gerät aber schnell in falsches Fahrwasser.
Die Fragen waren vom TO klar gestellt und was er für eine Firewall hat, ist doch egal. Sie kann die Anforderung nicht. Punkt.
Andere Geräte sind genannt, die Frage ist, was das Gerät angeht, beantwortet. Ein paar weitere Aspekte beleuchtet.
Offen ist noch:
Edit1: Kollege @Mr-Gustav bestätigt meinen Eindruck ja. Und jetzt kennst Du vier
Ich selbst würde nicht so streng filtern. Ich verbiete die bösen Buben im DNS über PiHole und im übrigen blocke ich Ports und erlaube einzelne. Ja, das ist nicht total sicher, denn auch die (noch nicht in der Filterliste befindlichen) bösen Buben könnten Standardports nehmen. Aber imo funktioniert es nicht, alles zu verbieten und domainbezogen zu whitelisten. Wenn *.protection.outlook.com Port 443 braucht, wäre eine diesbezüglich spezifisch angelegte Regel ja nur sinnvoll, wenn ich den Rest von 443 geblockt bzw. alles andere benötigte ebenfalls für 443 gewhitelistet habe. Es liegt ja wohl auf der Hand, dass das in der Realität nicht geht.
Höhere Sicherheit fordert dann Formen von L7 Firewalling, die in den meisten Szenarien völlig übertrieben sind (und die einzurichten und zu pflegen ebenfalls erheblichen Aufwand bedeutet. Neben potenter und damit teurer Hardware.
Insgesamt ist das Thema Firewall-Sicherheit hochkomplex und hier schon bestimmt 100e Male ohne Einigkeit diskutiert worden. Es gibt für alles Ansätze, vollständige praktikable und wirtschaftliche Lösungen aber praktisch nie.
Viele Grüße, commodity
Die Fragen waren vom TO klar gestellt und was er für eine Firewall hat, ist doch egal. Sie kann die Anforderung nicht. Punkt.
Andere Geräte sind genannt, die Frage ist, was das Gerät angeht, beantwortet. Ein paar weitere Aspekte beleuchtet.
Offen ist noch:
Reichen dann die IP-Address Ranges die MS vorgibt?
Sehr wahrscheinlich. Sie sind ja für die Einrichtung von Portfiltern gedacht.Wie macht ihr das?
Dazu könnte ruhig noch was kommen. Ich weiß ja nicht, wie Eure praktische Realität so ist, aber überall, wo ich Firewalls in kleinen Unternehmen vorfinde, sind sie faktisch gar nicht konfiguriert. Dienen bestenfalls als VPN-Gateway. Keine Ahnung, ob die Kollegen nur verkaufen wollen, es nicht können oder ich einfach nur die falschen Kunden habe Edit1: Kollege @Mr-Gustav bestätigt meinen Eindruck ja. Und jetzt kennst Du vier
Ich selbst würde nicht so streng filtern. Ich verbiete die bösen Buben im DNS über PiHole und im übrigen blocke ich Ports und erlaube einzelne. Ja, das ist nicht total sicher, denn auch die (noch nicht in der Filterliste befindlichen) bösen Buben könnten Standardports nehmen. Aber imo funktioniert es nicht, alles zu verbieten und domainbezogen zu whitelisten. Wenn *.protection.outlook.com Port 443 braucht, wäre eine diesbezüglich spezifisch angelegte Regel ja nur sinnvoll, wenn ich den Rest von 443 geblockt bzw. alles andere benötigte ebenfalls für 443 gewhitelistet habe. Es liegt ja wohl auf der Hand, dass das in der Realität nicht geht.
Ich will aber nicht den Port 443 für alle aufmachen.
Edit2: Denk mal bitte drüber nach, wie das in der Praxis funktionieren soll, wenn ein User morgen um 23 Uhr xzy.feda.co.uk aufrufen möchte, weil er die für sein Projekt benötigt und Dein Filter zuschlägt. Wie oft willst Du angerufen werden? Zu welchen Zeiten? Wer bezahlt das? Zum Spielen kann man das machen. Ansonsten nicht.Höhere Sicherheit fordert dann Formen von L7 Firewalling, die in den meisten Szenarien völlig übertrieben sind (und die einzurichten und zu pflegen ebenfalls erheblichen Aufwand bedeutet. Neben potenter und damit teurer Hardware.
Insgesamt ist das Thema Firewall-Sicherheit hochkomplex und hier schon bestimmt 100e Male ohne Einigkeit diskutiert worden. Es gibt für alles Ansätze, vollständige praktikable und wirtschaftliche Lösungen aber praktisch nie.
Viele Grüße, commodity
Ich bin mir gerade nicht ganz sicher - aber mein letzter Kenntnissstand ist, dass genau das nicht unterstützt ist und der EXO direkt zum EX per Port 25 zugreifen darf.
Welche IP-Range muss ich dann auf meinen Exchange freigeben? Steht das überhaupt irgendwo?
Das sagt dir alles der Wizard bei der Hybrideinrichtung
Ich möchte Classic Hybrid gehen damit die User die auch extern den Exchange verwenden keinen VPN mehr benutzen müssen.
Das ist aber normalerweise auch ohne Hybridstellung möglich und hat nichts mit EXO und onprem zu tun.Ich will aber nicht den Port 443 für alle aufmachen.
Wieso solltest du das denn?Auch Port 25 direkt auf den Exchange möchte ich nicht.
Wie empfängst du denn aktuell deine E-Mails? Per POP Connector?!Welche IP-Range muss ich dann auf meinen Exchange freigeben? Steht das überhaupt irgendwo?
Soweit ich es verstanden habe, braucht z.b. Teams für Free/Busy Time zugriff auf den Exchange.
Auf den EXO, korrekt.Zitat von @commodity:
@110135: Nun mal ganz ruhig. Der Fragesteller bestimmt seine Fragen und auch seine Informationen. Wem das nicht reicht sollte nachfragen, aber nicht maulig werden. Ich weiß, es ist nett gemeint, gerät aber schnell in falsches Fahrwasser.
@110135: Nun mal ganz ruhig. Der Fragesteller bestimmt seine Fragen und auch seine Informationen. Wem das nicht reicht sollte nachfragen, aber nicht maulig werden. Ich weiß, es ist nett gemeint, gerät aber schnell in falsches Fahrwasser.
Da hast du Recht und ich bitte hiermit um Entschuldigung, wenn es ggf. als maulig interpretiert worden ist.
Mir ging es schlichtweg darum zu helfen.
Und mal Hand aufs Herz: Jeder von uns kennt doch genau das Problem: Man kommt nicht immer direkt auf die Lösung - manchmal gibt es einen (mehr oder weniger guten) Workaround - dieser ist nur schwer aufzuzeigen, wenn das Produkt nicht bekannt ist.
Nun sei es drum.
Das Problem dürfte weniger die Firewall sein - ich denke hier wird eher Unterstützung in Puncto MS365 / EXO benötigt.
Genau so habe ich Dich auch verstanden. Alles gut. Ich kenne das zu gut. Man will helfen und kommt nicht voran, weil die Infos fehlen. Bin ich schon öfter ins Fettnäpfchen getreten, weil ich zu ungeduldig wurde
Viele Grüße, commodity
Viele Grüße, commodity
Mailrelay kannst du Knicken. Dex EX will direkt ohne Relay dazwischen kommunizieren.
Der EXO Hybrid (HCW) legt beim durchklicken entsprechende Konnectoren auf beiden Seiten und wenn er
keinen direkten Zugriff bekommt dann knallts und das Setup ist beendet
Ich möchte Classic Hybrid gehen damit die User die auch extern den Exchange verwenden keinen VPN mehr benutzen müssen.
Ich gehe mal davon aus das du dir erhoffst das bei einer Hybrid Stellung alle Postfächer über OWA per Outlook.Office365.com erreichbar sind und du den lokalen OWA bzw. die freigaben für den Lokalen OWA beenden willst ?
So zu sagen -- User --- OWA.MICROSFT365.COM --> Postfach welches lokal liegt öffnen --> lesen über OWA.MS§&% ?
Ich will aber nicht den Port 443 für alle aufmachen.
Wieso solltest du das denn?Auch Port 25 direkt auf den Exchange möchte ich nicht.
Welche IP-Range muss ich dann auf meinen Exchange freigeben? Steht das überhaupt irgendwo?
Was meisnt du mi Range ? Die IP´s für den OWA Zugriff der Clients auf onPrem oder Office365?ich denke wahrscheinlich einfach nur zu kompliziert
Soweit ich es verstanden habe, braucht z.b. Teams für Free/Busy Time zugriff auf den Exchange.
Richtig. Ich bin mir aber nicht sicher ob dann alle postfächer ebenfalls auf O365 liegen müssen
Ich müsste das hier fast umbenenne in: Wie konfiguriere ich einen dauerhaften Exchange Hybrid mit ausreichender Sicherheit.
Man muss ja unterscheiden in Klassischem Hybrid und Modern Hybrid.
Beim klassischem Hybrid baut der EX-Online eine HTTPS Verbindung direkt zum EX OnPrem auf. Hier darf laut MS Best Practice maximal ein Reverse Proxy dazwischen sein, der aber keine Verbindung aufbricht. Außerdem empfiehlt MS einen Edge Transport Server in einer DMZ für Port 25 ohne Postfächer... Alles mit erheblichem Aufwand verbunden.
--> Hier war meine Idee die HTTPS sowie die Port 25 Zugriff in das lokale Netzwerk nur für die MS URLs sowie IPs zu erlauben.
Beim modern Hybrid ändert sich an an der SMTP Verbindung nichts. Hier bleibt die Empfehlung einen Edge Transport Server aufzubauen. Den einzigen Vorteil den ich hier sehe ist, dass ich keine HTTPs Verbindung von draußen nach drinnen zwingend brauche.
Der modern Hybrid hat aber 2 Nachteile, in Teams habe ich keine Free/Busy Zeiten und es geht nicht mit Extended Protection im Exchange aktivert. Das mit dem Extended Protection sehe ich extrem kritisch.
Es gibt nicht nur ein MailRelay auf der Firewall sondern auch noch einen Online Virenscanner auf den der MX zeigt. Mein MailRelay nimmt ausschließlich von dem Cloud Dienst E-Mails an und von sonst niemanden. Auch nimmt dieser nur von meinem MailRelay die E-Mails an. Der EX selber hat meiner Meinung nach mit Port 25 nichts im Netz verloren. Ich verstehe nicht warum Microsoft sowas überhaupt anbietet.
Ich weiß aber nicht wie kritisch das wirklich ist. Normale E-Mail werden unverändert weiter gegeben. Das steht noch in den Sternen wie ich das lösen könnte in Zukunft.
Nein die internen user sollen das interne Owa benutzen und die Externen User sollen das Microsoft365 Owa benutzen.
ich denke wahrscheinlich einfach nur zu kompliziert
Die IP-Adressen die ich benötige beim klassischen Hybrid damit Office365 auf meinen Exchange zugreifen kann, damit die Free Busy Zeiten in Teams funktionieren.
Vermutlich sind die ganzen Hybrid Szenarios nicht auf Dauer geeignet, sondern nur bis zur kompletten Migration in die Cloud.
Man muss ja unterscheiden in Klassischem Hybrid und Modern Hybrid.
Beim klassischem Hybrid baut der EX-Online eine HTTPS Verbindung direkt zum EX OnPrem auf. Hier darf laut MS Best Practice maximal ein Reverse Proxy dazwischen sein, der aber keine Verbindung aufbricht. Außerdem empfiehlt MS einen Edge Transport Server in einer DMZ für Port 25 ohne Postfächer... Alles mit erheblichem Aufwand verbunden.
--> Hier war meine Idee die HTTPS sowie die Port 25 Zugriff in das lokale Netzwerk nur für die MS URLs sowie IPs zu erlauben.
Beim modern Hybrid ändert sich an an der SMTP Verbindung nichts. Hier bleibt die Empfehlung einen Edge Transport Server aufzubauen. Den einzigen Vorteil den ich hier sehe ist, dass ich keine HTTPs Verbindung von draußen nach drinnen zwingend brauche.
Der modern Hybrid hat aber 2 Nachteile, in Teams habe ich keine Free/Busy Zeiten und es geht nicht mit Extended Protection im Exchange aktivert. Das mit dem Extended Protection sehe ich extrem kritisch.
Zitat von @Mr-Gustav:
Mailrelay kannst du Knicken. Dex EX will direkt ohne Relay dazwischen kommunizieren.
Der EXO Hybrid (HCW) legt beim durchklicken entsprechende Konnectoren auf beiden Seiten und wenn er
keinen direkten Zugriff bekommt dann knallts und das Setup ist beendet
Mailrelay kannst du Knicken. Dex EX will direkt ohne Relay dazwischen kommunizieren.
Der EXO Hybrid (HCW) legt beim durchklicken entsprechende Konnectoren auf beiden Seiten und wenn er
keinen direkten Zugriff bekommt dann knallts und das Setup ist beendet
Es gibt nicht nur ein MailRelay auf der Firewall sondern auch noch einen Online Virenscanner auf den der MX zeigt. Mein MailRelay nimmt ausschließlich von dem Cloud Dienst E-Mails an und von sonst niemanden. Auch nimmt dieser nur von meinem MailRelay die E-Mails an. Der EX selber hat meiner Meinung nach mit Port 25 nichts im Netz verloren. Ich verstehe nicht warum Microsoft sowas überhaupt anbietet.
Ich weiß aber nicht wie kritisch das wirklich ist. Normale E-Mail werden unverändert weiter gegeben. Das steht noch in den Sternen wie ich das lösen könnte in Zukunft.
Ich gehe mal davon aus das du dir erhoffst das bei einer Hybrid Stellung alle Postfächer über OWA per Outlook.Office365.com erreichbar sind und du den lokalen OWA bzw. die freigaben für den Lokalen OWA beenden willst ?
So zu sagen -- User --- OWA.MICROSFT365.COM --> Postfach welches lokal liegt öffnen --> lesen über OWA.MS§&% ?
So zu sagen -- User --- OWA.MICROSFT365.COM --> Postfach welches lokal liegt öffnen --> lesen über OWA.MS§&% ?
Nein die internen user sollen das interne Owa benutzen und die Externen User sollen das Microsoft365 Owa benutzen.
Welche IP-Range muss ich dann auf meinen Exchange freigeben? Steht das überhaupt irgendwo?
Was meisnt du mi Range ? Die IP´s für den OWA Zugriff der Clients auf onPrem oder Office365?ich denke wahrscheinlich einfach nur zu kompliziert
Die IP-Adressen die ich benötige beim klassischen Hybrid damit Office365 auf meinen Exchange zugreifen kann, damit die Free Busy Zeiten in Teams funktionieren.
Vermutlich sind die ganzen Hybrid Szenarios nicht auf Dauer geeignet, sondern nur bis zur kompletten Migration in die Cloud.
Bezüglich des HCW gibts klare vorgaben von MS entweder Umsetzen und Support bekommen oder eben Umsetzten und KEINEN Support bekommen. Der MS Support für Office365 ist da recht Schmerzbefreit dir zu sagen: Fall Geschlossen - System nicht mach Herstellervorgaben !
Und das war´s dann.
das ganze Hybrid ist auf dauer ausgelegt. Entsprechend gilt es hier die Firewall einzurichten und dann ist das ganze kein Problem mehr. DIe Regeln in der Liste sind ja alles eingehende und ausgehende Regeln. Da es SPI FW´s sind ( zum die meistens ) also Regeln erstellen für den EX und gut ist. Läuft bei uns im Konzern schon seit gut 2 oder mehr Jahren ohne Probleme.
An die Regeln halten und erledigt.
MS 365 ist halt in dem Sinn nix für Bastler die dann irgendwo Geld sparen wollen und irgendwelche anderen Mailgateways / Proxy oder was auch immer dazwischen hängen wollen.
Wenn alles nach den Dokumenten von MS ist ist das ganze Ding sicher und betreibbar ohne das es Probleme gibt.
Teilweise übernimmt MS hier sogar dann die Haftung wenn etwas schief geht. Hier ist aber dann darauf zu achten das die Systeme von MS abgenommen sind was kaum jemand macht
Es reicht übrigens wenn ein Support MA schreibt das alles OK ist und nach MS Vorgaben installiert und eingerichtet ist.
Und das war´s dann.
das ganze Hybrid ist auf dauer ausgelegt. Entsprechend gilt es hier die Firewall einzurichten und dann ist das ganze kein Problem mehr. DIe Regeln in der Liste sind ja alles eingehende und ausgehende Regeln. Da es SPI FW´s sind ( zum die meistens ) also Regeln erstellen für den EX und gut ist. Läuft bei uns im Konzern schon seit gut 2 oder mehr Jahren ohne Probleme.
An die Regeln halten und erledigt.
MS 365 ist halt in dem Sinn nix für Bastler die dann irgendwo Geld sparen wollen und irgendwelche anderen Mailgateways / Proxy oder was auch immer dazwischen hängen wollen.
Wenn alles nach den Dokumenten von MS ist ist das ganze Ding sicher und betreibbar ohne das es Probleme gibt.
Teilweise übernimmt MS hier sogar dann die Haftung wenn etwas schief geht. Hier ist aber dann darauf zu achten das die Systeme von MS abgenommen sind was kaum jemand macht
Es reicht übrigens wenn ein Support MA schreibt das alles OK ist und nach MS Vorgaben installiert und eingerichtet ist.
Zitat von @Mr-Gustav:
das ganze Hybrid ist auf dauer ausgelegt. Entsprechend gilt es hier die Firewall einzurichten und dann ist das ganze kein Problem mehr. DIe Regeln in der Liste sind ja alles eingehende und ausgehende Regeln. Da es SPI FW´s sind ( zum die meistens ) also Regeln erstellen für den EX und gut ist. Läuft bei uns im Konzern schon seit gut 2 oder mehr Jahren ohne Probleme.
Welche eingehenden Regeln benötigt man denn explizit? Ich steh da jetzt ein bisschen auf dem Schlauch mit der Liste. Ich dachte das sind alles eingehende.
Weiss ich jetzt nicht genau aber das steht alles im Technet von MS bezüglich der Anforderungen.
Bedenke das dies durchaus mehr sein können weil ja nicht alles bei MS auf einem Server liegt.
Vielleicht finde ich in unserer oder meiner Doku die Liste die wir damals genommen hatten/haben
Ich schau mal - dauert aber
Bedenke das dies durchaus mehr sein können weil ja nicht alles bei MS auf einem Server liegt.
Vielleicht finde ich in unserer oder meiner Doku die Liste die wir damals genommen hatten/haben
Ich schau mal - dauert aber
