UF: Firewallregel Host an *.microsoft.com

[asterix]

Hallo,

ich möchte eine Firewallregel einrichten, die Zugriffe z.B. auf *.microsoft.com für mehrere Protokolle (HTTPS, SMTP) für einen Host Server erlaubt. Ergänzen soll dem Host der Zugriff auf z.B. *.updateserver.com (über HTTPS, HTTP sowie 5938/TCP) gestattet sein.

Wer kann mir weiter helfen?

Danke, Martin

[plumpsack]

ich möchte eine Firewallregel einrichten, die Zugriffe z.B. auf *.microsoft.com für mehrere Protokolle (HTTPS, SMTP) für einen Host Server erlaubt.

Bist du dir da sicher?

Ich hoffe du weißt, was da alles unter *.microsoft.com läuft:

Microsoft-Tochtergesellschaften:
https://www.microsoft.com/de-de/privacy ... liate-list

U.a. ist da Microsoft Limited in den letzten Monaten unangenehm in der Firewall aufgetaucht ...

[sebsch134]

Mir wäre nicht bekannt das DNS Wildcards und/oder Hostnamen als Stationen im Regelwerk möglich sind.

Wenn dann nur IP Adressen. Anders sieht es da im LCOS aus.

[asterix]

Ich hoffe du weißt, was da alles unter *.microsoft.com läuft:

Das ist mir nicht genau bekannt, aber das war auch lediglich ein Beispiel. Mittlerweile habe ich die Anforderung gelöst:

• Zertifikat auf dem Server installiert (im Zertifikatsspeicher vom System und Firefox)
• Server neu starten
• URL-Filter: Funktion aktiviert
• URL-Whitelist für die von mir benötigten URL erfasst
• Verbindung zwischen Hostgruppe/Server und WAN: Proxy für HTTPS aktiviert
• URL-Filter Einstellungen: Standardmäßig alles blockieren, Web-Filter-Modus Proxy, erforderliche Listen als Whitelist aktiviert
• Aktivieren um Änderungen zu übernehmen

Im Ergebnis kann der Server ab sofort nur noch auf die in der Whitelist benannten Server zugreifen, jedenfalls ist die Anzahl zulässiger Server deutlich gesunken. In der Whitelist habe ich z.B. .servername.de, license.servername2.de usw. Insofern kann der böse Trojaner nur noch nach draußen, wenn die Ziel-URL zufällig den zuvor freigegebenen Servernamen enthält.

Ich bin bei der Konfiguration auf folgendes Problem gestoßen: im Internet Explorer funktionierte nichts, im Firefox hingegen schon. Um das Problem zu lösen musste ich für meine Hostgruppe HTTP-Zugriffe auf die beteiligten OCSP-Server freigeben (zur Validierung von SSL-Zertifikaten).

[plumpsack]

Im Ergebnis kann der Server ab sofort nur noch auf die in der Whitelist benannten Server zugreifen, ...

Da ist doch schon dein Problem.

Du solltest das Problem global angehen, nimm den Lancom-Router.
Hausmittel sind DNS-Filter, Firewall-Regeln und die Routing-Tablelle.

*.server.blabla freizugeben ist nicht gut, sieher u.a. *.google.com !!!

Mich erinnert das immer an "Klaus":

Aus 2008: Wo ist Klaus?

https://www.youtube.com/embed/FbWmOm47vqU

Jetzt, 2025:

Klaus ist jetzt erwachsen und Mitarbeiter/Abteilungsleiter/Chef in einer Firma.

Im wirklichen Leben würden Sie Ihre Firma schützen.

Dann machen Sie es doch auch im Internet.

Zero Trust und KISS helfen da.

https://de.wikipedia.org/wiki/Zero_Trust_Security

https://de.wikipedia.org/wiki/KISS-Prinzip

[lna]

Du könntest auch über den DNS-Based Contentfilter arbeiten anstelle über den Proxy.
Dann ersparst du dir die Zertifikatslogistik.
Auf der Verbindung einfach statt "Proxy" "DNS" beim Modus auswählen.
In den URL Whitelists kannst du dann auch mit Wildcards arbeiten.

[asterix]

Im Ergebnis kann der Server ab sofort nur noch auf die in der Whitelist benannten Server zugreifen, ...

Da ist doch schon dein Problem.

Du solltest das Problem global angehen, nimm den Lancom-Router.
Hausmittel sind DNS-Filter, Firewall-Regeln und die Routing-Tablelle.

*.server.blabla freizugeben ist nicht gut, sieher u.a. *.google.com !!!

Ich kann nicht nachvollziehen, wo mein Problem liegt. Wenn ich für einen Domain Controller ausschließlich Zugriff auf Microsoft Update, Virenschutz, Monitoring, das installierte Fernwartungstool sowie einen weiteren Server zur Lizenzprüfung (alles auf 443 per Proxy beschränkt) freigebe und jedweden anderen Internetzugriff sperre - dann sollte eine Schadsoftware wenig Handlungsspielraum haben.

Du könntest auch über den DNS-Based Contentfilter arbeiten anstelle über den Proxy.
Dann ersparst du dir die Zertifikatslogistik.
Auf der Verbindung einfach statt "Proxy" "DNS" beim Modus auswählen.
In den URL Whitelists kannst du dann auch mit Wildcards arbeiten.

Aber wie erstelle ich eine Regel, die ausschließlich die o.g. Serververbindungen zulässt und alles weitere sperrt? Ich bekomme die Fehlermeldung, dass die Funktion "Standardmäßig alles blockieren" nicht in Verbindung mit dem Filtermodus DNS gewählt werden kann.

[plumpsack]

Ich kann nicht nachvollziehen, wo mein Problem liegt. Wenn ich für einen Domain Controller ausschließlich Zugriff auf Microsoft Update, Virenschutz, Monitoring, das installierte Fernwartungstool sowie einen weiteren Server zur Lizenzprüfung (alles auf 443 per Proxy beschränkt) freigebe und jedweden anderen Internetzugriff sperre - dann sollte eine Schadsoftware wenig Handlungsspielraum haben.

Sehe ich auch so.

Schön zu sehen, das du allen Clients den Internetzugang gesperrt hast!

Sieht man ansonsten selten.