Warum Firewall-Design so wichtig ist

Die klassische Internetverbindung im Unternehmen sieht so aus: sämtliche Ports, die nicht gebraucht werden, sind dicht. Raus darf (fast) alles, aber wenig rein. Im Extremfall findet in der Firewall noch eine Auftrennung des SSL-Streams statt, verbunden mit dem Austausch des Zertifikats. Bisher hat alles so funktioniert — aber sobald man erste Office 365-Services einsetzt muss sich auch der härteste Sicherheits-Admin die Frage stellen, ob das weiterhin praktikabel ist.

Ein Beispiel: Skype for Business nutzt zunächst das SIP-Protokoll (Session initiating), um eine Verbindung zum Kommunikationpartner aufzubauen (Sprache/Video). Dies geschieht über den Port 443. Bis hierhin ist es meistens kein Problem und ich habe gute Erfahrungen in bestehenden Netzwerken gemacht. Dort lief zumindest die Anmeldung im Skype einwandfrei, auch die Chat-Funktion war verfügbar. Doch während die Verbindung zur Videokonferenz oder zum Sprachanruf aufgebaut wird, versucht Skype for Business die UDP-Ports 50000–59999 zu nutzen. Dieses Netzwerkprotokoll ist hierfür vorgesehen und bietet den Vorteil, dass nicht der (oft sowieso viel zu überlagerte) HTTPS-Kanal genutzt werden muss. Dies gelingt aber nur, wenn die Ports sowohl ausgehend (was oft noch der Fall ist) als auch eingehend (was meistens der Knackpunkt ist) geöffnet sind — lokal wie auch in der „großen“ Firewall zwischen lokalem Netzwerk und Internet. Microsoft Teams basiert auf den Backend-Systemen von Skype for Business, weshalb hier das gleiche gilt.

Viele Admins tun sich verständlicherweise schwer damit, diese Ports ohne Weiteres zu öffnen. Ich höre oft Sätze wie „dann funken wir halt über 443, wenn es dann langsam und ruckelig ist dann ist das unsere Abwägung zwischen Sicherheit und Nutzen“. Ein Stück weit verständlich — doch spätestens wenn die ersten Beschwerden der Nutzer kommen, gehen die Diskussionen wieder von vorne los…

Dabei ist es gar nicht notwendig, die Ports unkontrolliert freizuschalten. Microsoft hat sehr ausführliche Informationen zusammengestellt, welche Ports von welchem O365-Service genutzt werden und zu welchen IP’s/Hostnames sich die Services mit welchem Port verbinden (Link). Wer sein Active Directory ins Office 365 synchronisiert oder die Domain mit Microsoft „federated“ hat, der hat schon sehr viel seiner Daten preisgegeben. Ein generelles Vertrauen ist also da. Wieso dann nicht die Firewall ideal einstellen?

Auch ein Aufbrechen des SSL-Verkehrs ist fragwürdig. Für einige Einsatzzwecke ist das sicherlich sinnvoll, doch von Office 365 kommender SSL-Verkehr sollte möglichst so durchgeleitet werden, wie er ist. Kleinste Eingriffe in den SSL-Verkehr führen unter Umständen dazu, dass einzelne Services (Exchange, Skype for Business, etc.) teilweise oder sogar komplett nicht mehr funktionieren. Insbesondere bei komplizierten Konstrukten wie Exchange Hybrid können da eine Menge Stolpersteine lauern.

Achtung: im Artikel referenziere ich einen Link zu den Ports und IP’s/Hostnames, die von Office 365 weltweit genutzt werden. Zum einen besteht die Möglichkeit sich die internationle Version als RSS-Feed zu abonnieren (Link). Das macht Sinn, weil sich da durchaus mal etwas ändern kann. Wer jedoch seine Office 365-Services in einem deutschen Tenant betreibt, für den gelten andere IP’s und Hostnames (Link).


Print