Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 14 replies
  • Subscribers 28 subscribers
  • Views 14204 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Ziel IP vom SSL Scanning ausnehmen

UTM-User

Hallo,

ich würde gerne eine bestimmte IP vom SSL Scanning ausnehmen.

Es soll möglich sein, dass von egal welcher internen IP eine Verbindung zu der IP 13.107.64.2 ohne SSL Scanning funktioniert.

Grund dafür ist das das Tool (Skype for Business Network Assessment) nur funktioniert wenn ich meinen Host vom SSL Scanning ausnehme.

Sobald ich die Regel wieder deaktiviere, und das scannen somit aktiviere, kommt keine Verbindung zustande.

Ich habe es schon mit Matching these URLs und verschiedenen Schreibweisen versucht, z.B. ^https://(13\.107\.64\.2) , mit und ohne Klammern alles ausprobiert.

Leider finde ich keine Option in der UTM dafür, übersehe ich die Möglichkeit oder ist diese nicht gegeben?

 

Wir setzen übrigens eine UTM 9 Modell SG310 mit dem Release 9.508-10 ein.



This thread was automatically locked due to age.
Parents
  • 0

    Hallo,

     

    sprechen wir vom Standard oder Transparenten Proxy?

    Die Exceptions sollte größer gebaut werden.

    Siehe XG Guide:

    https://community.sophos.com/kb/en-us/128179

     

    Gruß

  • 0 in reply to LuCar Toni

    Hallo ManBearPig,

    wir sprechen vom Standard Proxy.

    Die Firewall benutzen wir nicht wirklich.

    Um sie auszuschließen habe ich eine Regel erstellt, Source meine IP | Services Any | Destination Any | Action Allow .

    Auch wenn diese Regel aktiv ist, funktioniert der Test Call vom NetworkAssessmentTool nicht.

     

    Deinen Link habe ich mir dennoch mal angeschaut.

    Leider finde ich diese Möglichkeiten gar nicht.

    Eine FQDN Group zu erstellen gibt es nicht, deshalb habe ich mal einen DNS Host erstellt und wollte damit testen.

    Allerdings gibt es bei der Firewall nicht die Möglichkeit bei einer Regel zu sagen das HTTP und HTTPS nicht gescannt werden.

    Hier ein Screenshot was möglich ist:

     

  • 0 in reply to UTM-User

    Hi UTM-User,

    das ist ein sehr gutes Beispiel was mal wieder beweist das Microsoft Sicherheitsmechanismen komplett ignoriert. Das Problem ist das hier verschlüsselt auf verschiedene IPs zugegriffen wird und keine dns namen verwendet werden. Dir wird nichts anderes übrig bleiben als für jede einzelne IP eine HTTPs Ausnahme zu erstellen.

    Falls du im Transparent Modus arbeitest könntest du mal probieren den Standard Modus zu verwenden. Eventuell wird dann ja ein User Agent (ua=) mitgeschickt. Dann könntest du eine Ausnahme für den User Agent machen. Ich befürchte aber das da auch nichts mitgeschickt wird.

    vg mod

    €dit

    Eine andere Alternative für den Transparent Modus wäre eine Netzwerkgruppe zu erstellen wo alle diese IPs eingetragen werden und die dann in die Transparent Mode Skip List eintragen.

  • 0 in reply to mod2402

    Hallo mod2402,

     

    das ist momentan mein Problem, ich weiß nicht wie ich eine Ausnahme für die IP bzw. den IP Adressbereich erstellen kann.

     

    Wärst du so freundlich und sagst mir wie man so eine Regel erstellen kann?

     

    Im ersten Post habe ich schon ein Beispiel genannt wie ich es versucht habe, leider ohne Erfolg.

     

  • 0 in reply to UTM-User

    Läuft der Proxy im Transparent Modus?

  • 0 in reply to UTM-User

    OK, die Ausnahme die du selber als Beispiel genannt hast ist eigentlich korrekt und müsste funktioneren. Das muss dann aber für alle IPs so konfiguriert werden.

    Fangen wir mal vorne an, worum geht es eigentlich grundsätzlich, spielt hier Skype for Business online eine Rolle oder geht es um Skype for Business on Premise. Du beziehst dich ja nur auf das (Skype for Business Network Assessment) Tool. Für Skype for Business muss ein komplexes Regelwerk aufgebaut werden.

  • 0 in reply to mod2402

    Wenn es um Skype for business on Premise geht hat Bob bereits den passenden Hinweis gegeben. Wenn es um die Online Variante geht sind noch wesentlich mehr Ausnahmen zu berücksichtigen.

    Dazu hat Microsoft einen Artikel veröffentlicht. https://support.office.com/en-us/article/office-365-urls-and-ip-address-ranges-8548a211-3fe7-47cb-abb1-355ea5aa88a2

    vg mod

  • 0 in reply to mod2402

    Woran erkenne ich ob es Skype for Business Online oder Premise ist?

    Sorry aber hatte mit Skype for Business noch nichts zu tun...

     

    Zur Zeit sind Gespräche sowohl mit Skype for Business als auch der Consumer Version möglich.

    Allerdings ist die Qualität teilweise unterirdisch. (Ruckelndes Bild, niedrige Auflösung, selten sogar Verbindungsabbrüche)

    Deswegen wollte ich mal das Network Assessment Tool benutzen um das Problem einzugrenzen.

    Allerdings kann ich damit erst nachdem ich für mich SSL Scanning komplett deaktiviere einen Testcall erfolgreich durchführen.

    Deswegen habe ich vermutet das es am SSL Scanning liegt.

     

    Die Liste von Microsoft habe ich schonmal gesehen und deswegen folgende Regeln erstellt:

    (Subdomains werden anscheinend automatisch mit ausgenommen, deswegen habe ich nur die Domains genommen)

    Die obere Regel ist auch aktiv, hat nicht mehr auf den Screenshot gepasst.

     

    Zwischenzeitlich habe ich es auch mal über den SOCKS Proxy von der UTM versucht, in Skype anmelden funktionierte damit.

    Allerdings konnte ich nicht mal mit dem Echo / Sound Test Service ein Gespräch aufbauen, es klingelt zwar ein bis zweimal aber dann bricht die Verbindung zusammen.

  • 0 in reply to UTM-User

    OK, verstehe. Fangen wir mal mit deinem Test an. Du verwendest für den Test Skype Standard. Der funktionierte früher einwandfrei mit einem Socks Proxy. Ab einer bestimmten Version (habe ich gerade nicht im Kopf) funktioniert der aber nicht mehr richtig mit einem Socks Proxy. Microsoft hat den scheinbar absichtlich kaputt programmiert. Der Standard Client ist damit nicht mehr in produktiven Umgebungen verwendbar.

    Nun zu Skype for Business. Als erstes mal der Hinweis das Ausnahmen wie skype.com suboptimal sind. Damit matchen alle Anfragen wo skype*com drin vorkommen. Beispielsweise auch eine Anfrage https://www.google.com/query?watiszumteufemskype.com/kann_mir_das_einer_sagen. Außerdem steht der Punkt für irgendein Zeichen, also matcht auch skypeacom, skype7com ...

    Hier würde ich vernünftige Regex bauen. Ist ein haufen Arbeit aber geht leider nicht anders.

    Dann zu den Qualitätsproblemen. Das größte Problem ist die UDP Flood Detection, die schlägt garantiert zu. Hier musst du auch entsprechende Ausnahmen setzen. Skype4b ist ein sehr zeitaufwendiges Thema. Man muss jegliche Konstellation betrachten. Ein Gruppen Call mit mehreren Personen verhält sich z.B. anders als einer zwischen nur zwei Personen. Beim ersten läuft alles über ein Gateway beim zweiten ist das eine Punkt zu Punkt Verbindung. Hier die passenden UDP Flood Ausnahmen zu finden ist nicht ganz so einfach.

    Bei der On Premise Variante solltest du dann auch noch die WAF mit betrachten. Hier werden normalerweise Dienste über die WAF veröffentlicht gleichzeitig werden aber auch NAT Regel benötigt um den Echtzeitdatenverkehr zum Gateway gewährleisten zu können. Die Absicherung über die WAF ist ein extrem koplexes Thema. Hier sollten tiefere Kenntnisse der WAF vorhanden sein.

    Noch komplizierter wird es wenn Skype for Business in Kombination mit der Online Variante verwendet wird. Das ist zum Beispiel der Fall wenn ein Kunde oder Partner eingeladen wird der diesen Online Service nutzt.

    Wir haben bereits einige Kunden die sich wegen der Komplexität und der Microsoft Ignoranz bezüglich Absicherung der Kommunikation gegen die Microsoft Lösung entschieden haben. Warum gibt Microsoft Wildcard Domains als Ziel an? Proxyausnahmen kann man damit setzen, wenn es um die Echtzeitkommunikation geht nutzt mir eine Wildcard Domain aber wenig. Hier muss ich dann zwangsweise die riesen IP Listen von Microsoft pflegen. Dann kommt das nächste Problem, diese sind dynamisch und werden von Zeit zu Zeit angepasst. Das bedeutet ich muss eigentlich regelmäßig mein Regelwerk gegen die MS Listen abgleichen, wenn diese denn überhaupt aktuell gehalten werden.

    Ich habe mich zuletzt mit einem Microsoft MVP über das Thema unterhalten, er hat nur gesagt, ich weß ... und hat mit den Schultern gezuckt...

    Wenn Microsoft normale DNS Gruppen verwenden würde, wie andere Hersteller das ja auch machen, wäre das Absichern wesentlich einfacher. Um DNS Gruppen braucht man sich nicht zu kümmern, die werden dynamisch abgeglichen. Leider ist Microsoft aber der Meinung das alle Hersteller sich nach denen zu richten haben. Deren Lösung braucht oder besser, aus MS Sicht, sollte nicht abgesichert werden.

    Spätestens wenn über nicht abgesicherte MS Wege Schadcode übertragen wird, der irgendwelche wichtigen Institutionen lahmlegt, wird MS dann hoffentlich anfangen unzudenken.

    vg mod

  • 0 in reply to mod2402

    Hi mod2402,

     

    erstmal vielen Dank für die schnellen und ausführlichen Antworten.

     

    Ich werde mich nächste Woche mal mit meinem Chef zusammen setzen und abklären ob es der Aufwand wert ist für die paar Skypeuser.

     

    Ich geb auf jeden Fall Feedback ;-)

     

    Bis dahin erstmal frohe Ostern!

  • 0 in reply to UTM-User

    Hi UTM-User,

    Microsoft empfiehlt für "ein paar" Skype User die Online Version. Lokal brauchst du eigene Server, online nicht. Online hast du nur die anderen Problematiken ;)

    Ich würde mich nach Alternativen umschauen, es gibt genügend, auch im Open Source Bereich.

    Wünsche dir auch frohe Ostertage ;)

Reply
  • 0 in reply to UTM-User

    Hi UTM-User,

    Microsoft empfiehlt für "ein paar" Skype User die Online Version. Lokal brauchst du eigene Server, online nicht. Online hast du nur die anderen Problematiken ;)

    Ich würde mich nach Alternativen umschauen, es gibt genügend, auch im Open Source Bereich.

    Wünsche dir auch frohe Ostertage ;)

Children
No Data