Sophos SG: Einpflegen von Microsoft Office 365-Netzwerken mittels Powershell

von: 8. Januar 2021

Der folgende Artikel beschreibt, wie sie mit Hilfe der in der Sophos SG integrierten API-Schnittstelle und Powershell automatisiert Microsoft Office 365-Netzwerke in eine Netzwerkgruppe einfügen.

Der mit der Sophos UTM verwendete Nutzer muss mindestens die Rechte „Network Protection Manager“ besitzen.

Schritt 1: Aktivieren der API-Schnittstelle

Öffnen sie den Webadmin.
Navigieren sie zu Verwaltung –> WebAdmin-Einstellungen –> RESTful API
Aktivieren sie den Schalter, um die API einzuschalten.
Klicken sie auf „Neues API-Token…“
Wählen sie einen Benutzer, der Mindestens die Rechte „Network Protection Manager“ besitzt, aus und klicken sie auf Speichern.
Notieren sie das Token des Benutzers.

Schritt 2: Vorbereiten der Netzwerkgruppe und REF-ID der Netzwerkgruppe finden

Navigieren sie zu Verwaltung –> Systemeinstellungen –> Shell-Zugriff
Aktivieren sie den Shell-Zugriff, vergeben sie Passwörter für loginuser und root und klicken sie auf „Festgelegte Passwörter übernehmen“.
Verbinden sie sich per SSH, zum Beispiel mit putty, mit der Konsole der Sophos UTM. Loggen sie sich mit loginuser ein und wechseln sie mit dem Befehl su auf den root-User.
Setzen sie folgenden Befehl ab:
```
confd-watch.plx -v
```
Wechseln sie zurück zum Webadmin.
Navigieren sie zu Definitionen & Benutzer –> Netzwerkdefinitionen
Klicken sie auf „Neue Netzwerkdefinition“
Vergeben sie einen Namen für die Gruppe. Für diese Anleitung verwenden wir „O365_networks“. Ändern sie den Typ auf Netzwerkgruppe und speichern sie.

Auf der Konsole sollte nun eine Ausgabe zu sehen sein:

s  1  caught USR1 signal(s)

vc 69 70  data version change detected at Thu Sep 17 16:06:13 2020

o+ REF_NetGroO365networ network group  created

Notieren sie die REF-ID, in diesem Beispiel „REF_NetGroO365networ“

Schritt 3: Vorbereiten & Ausführen des Scripts

Erstellen sie die Datei „utmliste.txt“
Die erste Zeile der Textdatei ist folgende (ohne Leerzeichen): socket,group_ref,token
Die zweite Zeile der Textdatei setzt sich zusammen aus (ohne Leerzeichen): IP der UTM:Port des Webadmins, REF_ID, API-Token

Erstellen sie eine Datei „Script.ps1“ und kopieren sie folgendes Script, zum Beispiel mit Texteditor, hinein:

[CmdletBinding(SupportsShouldProcess=$True)]
Param (
    [Parameter(Mandatory = $false)]
    [ValidateNotNullOrEmpty()]
    [String] $UTMFile = ".\utmliste.txt",

    [Parameter(Mandatory = $false)]
    [ValidateSet('Worldwide', 'Germany')]
    [String] $O365_Instance = "Worldwide",

    [Parameter(Mandatory = $false)]
    [ValidateNotNullOrEmpty()]
    [guid] $O365_ClientRequestId = (new-guid)
)

[String] $O365_BaseURL = "https://endpoints.office.com/endpoints"

Class O365Network
{
    [String]$ip
    [String]$name
    [String]$utm_ref
    O365Network (
        [String]$ip,
        [String]$name,
        [String]$utm_ref
    ) {
        $this.ip = $ip
        $this.name = $name
        $this.utm_ref = $utm_ref
    }
}

function Read-UTM-Hosts {
    return (Import-Csv -Path $UTMFile)
}

function Get-O365-URL {
    return (
        "{0}/{1}?noipv6&ClientRequestId={2}" -f ($O365_BaseURL,  $O365_Instance, $O365_ClientRequestId)
    )
}

function Get-O365-Data {
    [String] $url = Get-O365-URL
    try {
        $data = Invoke-RestMethod -Uri $url
        $iplist = $data.ips | sort -Unique
    }
    catch {
        $iplist = $null
    }
    return $iplist
}

function Get-O365-Networks {
    $iplist = Get-O365-Data
    if($iplist) {
        $netobjlist = (
            $iplist | % { [O365Network]::new($_, "O365_{0}" -f $_, $null); }
        )
    }
    else {
        $netobjlist = $iplist
    }
    return $netobjlist
}

function UTM-API-Call {
    Param (
        [Parameter(Mandatory = $true)]
        [ValidateNotNullOrEmpty()]
        [String] $Path,

        [Parameter(Mandatory = $false)]
        [ValidateNotNullOrEmpty()]
        [String] $Ref = $null,

        [Parameter(Mandatory = $false)]
        [AllowNull()]
        [Object] $Body = $null,

        [Parameter(Mandatory = $true)]
        [ValidateSet('GET', 'POST', 'PATCH', 'DELETE')]
        [String] $Method = 'GET'
    )
    $token = [Convert]::ToBase64String([System.Text.Encoding]::Default.GetBytes("token:{0}" -f $current_utm_host.token))
    $headers = @{}
    $headers.add("Authorization",'Basic ' + $token)
    $headers.add("Content-Type", "application/json")
    $headers.add("Accept", "application/json")

    if ($method -eq 'DELETE') {
        $headers.add("X-Restd-Err-Ack", "all")
    }

    [String] $api_base_url = "https://{0}" -f $current_utm_host.socket

    # base_url + "/api/" + request path
    [String] $api_url = "{0}/api/{1}" -f ($api_base_url, $Path)
    # if a ref has been given, append it to the API url
    if ($Ref) { $api_url = "{0}{1}" -f ($api_url, $Ref); }

    # construct arguments for Invoke-RestMethod call
    $kwargs = @{
        Headers = $headers
        Method = $Method
        Uri = $api_url
    }

    if ($Body) {$kwargs["Body"] = $Body; }
    return (Invoke-RestMethod @kwargs)
}


function Get-UTM-Networks {
    $group = UTM-API-Call -Method 'GET' -Path "objects/network/group/" -Ref $current_utm_host.group_ref

    $networkUTMlist = @()
    foreach ($member_ref in $group.members){
        $network = UTM-API-Call -Method 'GET' -Path "objects/network/network/" -Ref $member_ref
        $networkUTMlist += [O365Network]::new($null, $network.name, $network._ref)
    }
    return $networkUTMlist
}

function Delete-UTM-Networks {
    Param (
        [Parameter(Mandatory = $true)]
        [Object] $NetworksDelete
    )
    foreach ($network in $NetworksDelete) {
        UTM-API-Call -Method 'DELETE' -Path "objects/network/network/" -Ref $network.utm_ref
    }
}

function Add-UTM-Networks {
    Param (
        [Parameter(Mandatory = $true)]
        [Object] $NetworksAdd
    )

    foreach ($network in $NetworksAdd.Values) {
        if (-not $network.utm_ref) {
            $net = $network.ip.split("/")
            $body = '{"name":"' + $network.name + '","address":"' + $net[0] + '","netmask":"' + $net[1] + '","resolved":true}'
            $result = UTM-API-Call -Method 'POST' -Path "objects/network/network/" -Body $body
            if ($result) {
                $network.utm_ref = $result._ref
            }
        }
    }
}

function Update-UTM-Group {
    Param (
        [Parameter(Mandatory = $true)]
        [Object] $NetworksUpdate
    )

    $netref = (
        $NetworksUpdate.Values.utm_ref | Where-Object { $_; } | % { '"{0}"' -f $_; }
    ) -join ","

    $body = '{"members":[' + $netref + ']}'
    UTM-API-Call -Method 'PATCH' -Path "objects/network/group/" -Ref $current_utm_host.group_ref -Body $body | out-null
}

#Begin des Scripts
$o365_networks = Get-O365-Networks

#Anpassen des SSL Verhaltens der Powershell
Add-Type @"
    using System.Net;
    using System.Security.Cryptography.X509Certificates;
    public class TrustAllCertsPolicy : ICertificatePolicy {
        public bool CheckValidationResult(
             ServicePoint srvPoint, X509Certificate certificate,
             WebRequest request, int certificateProblem) {
            return true;
        }
    }
"@

[System.Net.ServicePointManager]::CertificatePolicy = New-Object TrustAllCertsPolicy
[Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12

if ($o365_networks) {
    foreach ($current_utm_host in (Read-UTM-Hosts)) {
        write-host $current_utm_host.socket
        $utm_networks = Get-UTM-Networks
        $networks = @{}
        $networks_delete = @()
        foreach ($network in $o365_networks){
            # reset UTM_REF
            $network.utm_ref = $null
            $networks.add($network.name, $network)
        }
        foreach ($network in $utm_networks){
            if ($networks.ContainsKey($network.name)) {
                $mod = $networks[$network.name]
                $mod.utm_ref = $network.utm_ref
            }
            else {

                $networks_delete += $network
            }
        }
        if ($networks_delete){
            Delete-UTM-Networks -NetworksDelete $networks_delete
        }
            Add-UTM-Networks -NetworksAdd $networks
            Update-UTM-Group -NetworksUpdate $networks
        }
    }
else {
    write-host "Fehler im Abruf der O365-Referenz Datei."
    write-host "Prüfen sie die Internetverbindung für den Aufruf der Webseite https://endpoints.office.com/endpoints/worldwide?clientrequestid=insert your ID"

}

utmliste.txt und Script.ps1 müssen im selben Ordner liegen. Führen sie Script.ps1 mit Powershell aus.

Zugehörige Produkte

Sophos SG 210 TotalProtect (SG210)

Das TotalProtect Bundle ist die günstige "All-in-One" Option von Sophos. Sie erhalten die SG Series 210 Appliance und dazu den vollen Full Guard Schutz für Ihr Unternehmen. Hierbei haben Sie die Option, das Bundle für ein, zwei oder drei Jahre zu wählen. Je länger die Laufzeit, umso günstiger wird der spezifische Preis für die Appliance. Sophos Security Appliance SG 210 Die Sophos SG 210 und SG 230 sind speziell auf die Bedürfnisse von kleinen bis mittelständischen Unternehmen und Außenstellen abgestimmt. Sie basieren auf modernster Intel-Technologie und sind mit 6 GbE-Kupferports sowie einem FleXi-Port-Steckplatz zur Konfiguration mit einem optionalen Modul ausgestattet. Damit liefern sie optimale Flexibilität und hohe Durchsatzraten bei einem erstklassigen Preis-Leistungs-Verhältnis. Wie bei allen Modellen haben Sie auch hier die Möglichkeit, bis zu 10 Appliances dyanamisch zu clustern. Achtung: SG210 Modelle mit Hardware Revision 3 - diese sind nicht für einen HA-Verbund mit anderen Revisionen geeignet. Ebenso sind zugehörige FleXi - Portmodule nur mit der jeweiligen Revision kombinierbar. (Gilt nicht für SG1xx und XG1xx mit Revisionen 1 und 2.) Sollten Sie für einen HA-Verbund noch Hardware Appliances mit Revision 1 (SG210/ XG210 Revision 2) benötigen, dann fragen Sie bitte vor dem Kauf an, ob diese noch verfügbar sind. Technische Spezifikationen Vorderansicht Rückansicht Physische Spezifikationen Leistungsaufnahme 19 W, 65 BTU/h (Leerlauf)35 W, 119 BTU/h (Volllast) Betriebstemperatur 0–40°C (Betrieb)-20–+80°C (Lagerung) Luftfeuchtigkeit 10%-90%, nicht kondensierend Produktzertifizierungen Zertifizierungen CB, UL, CE, FCC Class A, ISED, VCCI, RCM, CCC BIS (geplant), MSIP/KCC (geplant) LeistungSG 210 Rev. 3 Firewall-Durchsatz 12 GBit/s VPN-Durchsatz 1 GBit/s IPS-Durchsatz 2 GBit/s Antivirus-Durchsatz (Proxy) 500 MBit/s Gleichzeitige Verbindungen 4.000.000 Neue Verbindungen/Sek 60.000 Max. Anzahl lizenzsierter Nutzer unbegrenzt Physische Schnittstellen Speicher (lokale Quarantäne/Protokolle) integrierte SSD Prozessor Intel Celeron Dual Core G3900 @ 2,8 Ghz RAM 8 GB DDR4 Festplatte 120 GB SSD Ethernet-Schnittstellen (fest) 6 GE Kupfer (einschl. 2 Bypass-Paaren)2 GE SFP Anzahl FleXi-Port-Steckplätze 1 FleXi-Port-Module (optional) 8-Port GE Kupfer8-Port GE SFP2-Port 10 GE SFP+4-Port 10 GE SPF+2-Port 40 GE QSFP+4-Port GE PoE8-Port GE PoE I/O-Ports 2 x USB 3.0 (vorne)1 x Mikro-USB (vorne)1 x USB 3.0 (hinten)1 x COM (RJ45) (vorne)1 x VGA (hinten) Anzeige Multifunktions-LCD-Modul Stromversorgung intern, automatische Bereichseinstellung 90–264 VAC, 50–60 HzOptional zusätzliche Stromversorgung (extern) Physische Spezifikationen Montage 1U rackmontierbar(2 Rackmontage-Winkel inbegriffen) Abmessungen Breite x Tiefe x Höhe 438 x 344,4 x 44 mm Gewicht 5,2 kg (ohne Verpackung)7,2 kg (mit Verpackung) SG 210 FullGuard (Bundle) Full Guard Bundle, das komplette Bundle zum günstigen Preis. Das Full Guard Bundle umfasst sämtliche UTM Subscriptions (E-Mail Protection, Network Protection, Web Protection, Webserver Protection und Wireless Protection) und gibt Ihnen die vollständige Sicherheit der UTM zu einem wesentlich günstigeren Preis als die Einzelsubscriptionen. Bereits ab drei notwendigen Subscriptions, ist das Full Guard Bundle i.d.R. preiswerter als die Einzelpreise und Sie haben die volle Leistungsfähigkeit gewährleistet.

4.755,00 €*

Details

Sophos SG 125 TotalProtect (SG125)

Mit den Rev.-3-Modellen erweitert Sophos die SG/XG 1xx-Modelle um komplett neue Features. Die Features bringen Verbesserungen in den Schwerpunktbereichen Konnektivität, Flexibilität, Zuverlässigkeit und Performance. Produkt-Highlights Revision 3 Für bessere WLAN-Performance und -Reichweite ist jedes w-Modell optional mit integriertem 802.11ac Wi-Fi erhältlich. Für alle SG/XG 1xx-Modelle ist optional eine zweite Stromversorgung erhältlich, die selbst in Kleinunternehmen die Business Continuity sicherstellt. Bei allen SG/XG 125/135-Modellen gibt es für 3G/4G-Module einen Erweiterungsschacht, der in vielen Bereitstellungsszenarien als zusätzliche Anschlussmöglichkeit dient. Ein optionales zweites Wi-Fi-Sendemodul auf dem Modell SG/XG 135w sorgt für bessere Performance und Reichweite und ermöglicht eine gleichzeitige Übertragung bei 2,4 und 5 GHz. Zum Anschluss an Unternehmensbreitbandverbindungen ist nun auf vielfachen Wunsch auf allen SG/XG 1xx Appliances ein SFP Port (z. B. für optionales DSL-Modem) verfügbar. Das TotalProtect Bundle ist die günstige "All-in-One" Option von Sophos. Sie erhalten die SG Series 125 Appliance und dazu den vollen Full Guard Schutz für Ihr Unternehmen. Hierbei haben Sie die Option, das Bundle für ein, zwei oder drei Jahre zu wählen. Je länger die Laufzeit, umso günstiger wird der spezifische Preis für die Appliance. Sophos Security Appliance SG 125 Diese leistungsstarken Firewall-Appliances bieten bei einem Desktop-Formfaktor und -Preis 1U-Performance. Wenn Sie ein Kleinunternehmen oder Außenstellen schützen müssen oder über ein beschränktes Budget verfügen, sind diese Modelle die ideale Wahl. Für eine optimale Abdeckung und Anbindung Ihrer mobilen Mitarbeiter sind die Modelle auch mit integriertem 802.11ac-WLAN erhältlich. Unsere Software basiert auf der modernsten Intel-Architektur und nutzt die Multi-Core-Technologie optimal, um hervorragende Durchsatzraten für Ihre Schlüsselprozesse zu erzielen. Diese Modelle sind mit 8 integrierten GbE-Kupferports ausgestattet und können wie alle Sophos Firewalls zu dynamischen Clustern von bis zu 10 Appliances zusammengefügt werden, um eine höhere Skalierbarkeit zu erreichen. Technische Spezifikationen Vorderansicht SG 125 Rev. 2 Vorderansicht SG 125 Rev. 3 Rückansicht 125 Rev. 2 Rückansicht SG 125 Rev. 3 LeistungSG 125 Rev. 2Rev. 3 Firewall-Durchsatz 3,1 GBit/s 3.100 MBit/s VPN-Durchsatz 500 MBit/s 500 MBit/s IPS-Durchsatz 750 MBit/s 750 MBit/s Antivirus-Durchsatz (Proxy) 200 MBit/s 650 MBit/s Gleichzeitige Verbindungen 2.000.000 2.002.930 Neue Verbindungen/Sek 24.000 25.000 Maximal lizenzsierte Nutzer unbegrenzt unbegrenzt Physische SchnittstellenSG 125 Rev. 2Rev. 3 Speicher integrierte SSD integrierte SSD Prozessor Atom Rangeley Dual Core (1.7 GHz) Denverton C3508 (1.6 GHz) RAM 4 GB DDR3 4 GB Festplatte 64 GB SSD 64 GB SSD LAN-Schnittstellen (fest) 8 GE Kupfer 8 Kupfer + 1 SFP I/O-Ports (hinten) 2 x USB 2.0 1 x COM (RJ45)1 x VGA 2 x USB 2.0 1 x Micro-USB 1 x COM (RJ45) 1 x HDMI Stromversorgung extern, automatische Bereichseinstellung DC: 12 V, 100–240 VAC, 50–60 Hz extern, automatische Bereichseinstellung DC: 12 V 100–240 VAC, 36 W@50–60 Hz Optional zusätzliche Stromversorgung (extern) Physische SpezifikationenSG 125 Rev. 2Rev. 3 Montage Rackmontage-Kit erhältlich (muss separat bestellt werden) Rackmontage-Kit erhältlich (muss separat bestellt werden) Abmessungen (Breite x Tiefe x Höhe) 288 x 186,8 x 44 mm 305 x 205 x 44 mm Gewicht 1,7 kg (ohne Verpackung)2,82 kg (mit Verpackung) 1,8 kg (ohne Verpackung) 2,7 kg (mit Verpackung) Physische SpezifikationenSG 125 Rev. 2Rev. 3 Leistungsaufnahme 12,46 W, 49,3 BTU/h (Leerlauf)26,16 W, 89,2 BTU/h (Volllast) 18,6W, 63,426 BTU/h (Leerlauf) 20,04W, 68,336 BTU/h (Volllast) Temperatur 0-40°C (Betrieb) -20 to +80°C (Lagerung) 0–40°C (Betrieb) -20–+80°C (Lagerung) Luftfeuchtigkeit 10%-90%, nicht kondensierend 10 %–90 %, nicht kondensierend ProduktzertifizierungenSG 125 Rev. 2Rev. 3 Zertifizierungen CE, FCC Class B, CB, VCCI, C-Tick, UL, CCC CB, UL, CE, FCC, ISED, VCCI, MIC (Japan), RCM, CCC, KC In Planung: BIS SG 125 FullGuard (Bundle) Full Guard Bundle, das komplette Bundle zum günstigen Preis. Das Full Guard Bundle umfasst sämtliche UTM Subscriptions (E-Mail Protection, Network Protection, Web Protection, Webserver Protection und Wireless Protection) und gibt Ihnen die vollständige Sicherheit der UTM zu einem wesentlich günstigeren Preis als die Einzelsubscriptionen. Bereits ab drei notwendigen Subscriptions, ist das Full Guard Bundle i.d.R. preiswerter als die Einzelpreise und Sie haben die volle Leistungsfähigkeit gewährleistet.

2.015,00 €*

Details

Sophos SG 310 TotalProtect (SG310)

Das TotalProtect Bundle ist die günstige "All-in-One" Option von Sophos. Sie erhalten die SG Series 310 Appliance und dazu den vollen Full Guard Schutz für Ihr Unternehmen. Hierbei haben Sie die Option, das Bundle für ein, zwei oder drei Jahre zu wählen. Je länger die Laufzeit, umso günstiger wird der spezifische Preis für die Appliance. Sophos Security Appliance SG 310 Die Modelle Sophos SG 310 und SG 330 sind skalierbare Appliances, die sich für Organisationen mit vielen Standorten und mittelgroße Unternehmen eignen. Mit SSDs für On-Box-Reporting, Protokolle und Spam-Quarantäne sind sie äußerst reaktionsstark – selbst in Umgebungen mit einem hohen Datenverkehrsaufkommmen. Jedes Modell ist mit 8 GbE-Kupferports, 2 GbE-SFP-Glasfaserports sowie einem FleXi-Port-Steckplatz zur Konfiguration mit einem optionalen Modul ausgestattet. Sie bieten optimale Performance und Flexibilität. Achtung: SG310 Modelle mit Hardware Revision 2 - diese sind nicht für einen HA-Verbund mit anderen Revisionen geeignet. Ebenso sind zugehörige FleXi - Portmodule nur mit der jeweiligen Revision kombinierbar. (Gilt nicht für SG1xx und XG1xx mit Revisionen 1 und 2.) Sollten Sie für einen HA-Verbund noch Hardware Appliances mit Revision 1 (SG210/ XG210 Revision 2) benötigen, dann fragen Sie bitte vor dem Kauf an, ob diese noch verfügbar sind. Technische Spezifikationen Vorderansicht Rückansicht Umgebung Leistungsaufnahme 32 W, 109 BTU/h (Leerlauf)49 W, 167 BTU/h (Volllast) Betriebstemperatur 0–40°C (Betrieb)-20–+80°C (Lagerung) Luftfeuchtigkeit 10%-90%, nicht kondensierend Produktzertifizierungen Zertifizierungen CB, UL, CE, FCC Class A, ISED, VCCI, RCM, CCC BIS (geplant), MSIP/KCC (geplant) LeistungSG 310 Rev. 2 Firewall-Durchsatz 19 GBit/s VPN-Durchsatz 3 GBit/s IPS-Durchsatz 5 GBit/s Antivirus-Durchsatz (Proxy) 1,2 GBit/s Gleichzeitige Verbindungen 6.000.000 Neue Verbindungen/Sek 100.000 Maximal lizenzsierte Nutzer unbegrenzt Physische Schnittstellen Speicher integrierte SSD Prozessor Intel Core i3 Dual Core 6100 @ 3.7 Ghz RAM 12 GB DDR4 Festplatte 180 GB SSD Ethernet-Schnittstellen (fest) 8 GE Kupfer (einschl. 2 Bypass-Paaren)2 GE SFP2 10 GE SPF+ Anzahl FleXi-Port-Steckplätze 1 FleXi-Port-Module (optional) 8-Port GE Kupfer8-Port GE SFP2-Port 10 GE SFP+4-Port 10 GE SFP+2-Port 40 GE QSFP+4-Port GE PoE8-Port GE PoE I/O-Ports 2 x USB 3.0 (vorne)1 x Mikro-USB (vorne)1 x USB 3.0 (hinten)1 x COM (RJ45) (vorne)1 x HDMI (hinten) Anzeige Multifunktions-LCD-Modul Stromversorgung intern, automatische Bereichseinstellung 90–264 VAC, 50–60 HzOptional zusätzliche Stromversorgung (extern) Physische Spezifikationen Montage 1U rackmontierbar(2 Rackmontage-Winkel inbegriffen) Abmessungen Breite x Tiefe x Höhe 438 x 405,5 x 44 mm Gewicht 5,8 kg (ohne Verpackung)8,1 kg (mit Verpackung) SG 310 FullGuard (Bundle) Full Guard Bundle, das komplette Bundle zum günstigen Preis. Das Full Guard Bundle umfasst sämtliche UTM Subscriptions (E-Mail Protection, Network Protection, Web Protection, Webserver Protection und Wireless Protection) und gibt Ihnen die vollständige Sicherheit der UTM zu einem wesentlich günstigeren Preis als die Einzelsubscriptionen. Bereits ab drei notwendigen Subscriptions, ist das Full Guard Bundle i.d.R. preiswerter als die Einzelpreise und Sie haben die volle Leistungsfähigkeit gewährleistet.

9.853,50 €*

Details