Sophos SG: Einpflegen von Microsoft Office 365-Netzwerken mittels Powershell
von: 8. Januar 2021
Der folgende Artikel beschreibt, wie sie mit Hilfe der in der Sophos SG integrierten API-Schnittstelle und Powershell automatisiert Microsoft Office 365-Netzwerke in eine Netzwerkgruppe einfügen.
Der mit der Sophos UTM verwendete Nutzer muss mindestens die Rechte „Network Protection Manager“ besitzen.
Schritt 1: Aktivieren der API-Schnittstelle
- Öffnen sie den Webadmin.
- Navigieren sie zu Verwaltung –> WebAdmin-Einstellungen –> RESTful API
- Aktivieren sie den Schalter, um die API einzuschalten.
- Klicken sie auf „Neues API-Token…“
- Wählen sie einen Benutzer, der Mindestens die Rechte „Network Protection Manager“ besitzt, aus und klicken sie auf Speichern.
- Notieren sie das Token des Benutzers.
Schritt 2: Vorbereiten der Netzwerkgruppe und REF-ID der Netzwerkgruppe finden
- Navigieren sie zu Verwaltung –> Systemeinstellungen –> Shell-Zugriff
- Aktivieren sie den Shell-Zugriff, vergeben sie Passwörter für loginuser und root und klicken sie auf „Festgelegte Passwörter übernehmen“.
- Verbinden sie sich per SSH, zum Beispiel mit putty, mit der Konsole der Sophos UTM. Loggen sie sich mit loginuser ein und wechseln sie mit dem Befehl
suauf den root-User. - Setzen sie folgenden Befehl ab:
confd-watch.plx -v - Wechseln sie zurück zum Webadmin.
- Navigieren sie zu Definitionen & Benutzer –> Netzwerkdefinitionen
- Klicken sie auf „Neue Netzwerkdefinition“
- Vergeben sie einen Namen für die Gruppe. Für diese Anleitung verwenden wir „O365_networks“. Ändern sie den Typ auf Netzwerkgruppe und speichern sie.
- Auf der Konsole sollte nun eine Ausgabe zu sehen sein:
s 1 caught USR1 signal(s) vc 69 70 data version change detected at Thu Sep 17 16:06:13 2020 o+ REF_NetGroO365networ network group created
- Notieren sie die REF-ID, in diesem Beispiel „REF_NetGroO365networ“
Schritt 3: Vorbereiten & Ausführen des Scripts
- Erstellen sie die Datei „utmliste.txt“
- Die erste Zeile der Textdatei ist folgende (ohne Leerzeichen): socket,group_ref,token
- Die zweite Zeile der Textdatei setzt sich zusammen aus (ohne Leerzeichen): IP der UTM:Port des Webadmins, REF_ID, API-Token
- Erstellen sie eine Datei „Script.ps1“ und kopieren sie folgendes Script, zum Beispiel mit Texteditor, hinein:
[CmdletBinding(SupportsShouldProcess=$True)] Param ( [Parameter(Mandatory = $false)] [ValidateNotNullOrEmpty()] [String] $UTMFile = ".\utmliste.txt", [Parameter(Mandatory = $false)] [ValidateSet('Worldwide', 'Germany')] [String] $O365_Instance = "Worldwide", [Parameter(Mandatory = $false)] [ValidateNotNullOrEmpty()] [guid] $O365_ClientRequestId = (new-guid) ) [String] $O365_BaseURL = "https://endpoints.office.com/endpoints" Class O365Network { [String]$ip [String]$name [String]$utm_ref O365Network ( [String]$ip, [String]$name, [String]$utm_ref ) { $this.ip = $ip $this.name = $name $this.utm_ref = $utm_ref } } function Read-UTM-Hosts { return (Import-Csv -Path $UTMFile) } function Get-O365-URL { return ( "{0}/{1}?noipv6&ClientRequestId={2}" -f ($O365_BaseURL, $O365_Instance, $O365_ClientRequestId) ) } function Get-O365-Data { [String] $url = Get-O365-URL try { $data = Invoke-RestMethod -Uri $url $iplist = $data.ips | sort -Unique } catch { $iplist = $null } return $iplist } function Get-O365-Networks { $iplist = Get-O365-Data if($iplist) { $netobjlist = ( $iplist | % { [O365Network]::new($_, "O365_{0}" -f $_, $null); } ) } else { $netobjlist = $iplist } return $netobjlist } function UTM-API-Call { Param ( [Parameter(Mandatory = $true)] [ValidateNotNullOrEmpty()] [String] $Path, [Parameter(Mandatory = $false)] [ValidateNotNullOrEmpty()] [String] $Ref = $null, [Parameter(Mandatory = $false)] [AllowNull()] [Object] $Body = $null, [Parameter(Mandatory = $true)] [ValidateSet('GET', 'POST', 'PATCH', 'DELETE')] [String] $Method = 'GET' ) $token = [Convert]::ToBase64String([System.Text.Encoding]::Default.GetBytes("token:{0}" -f $current_utm_host.token)) $headers = @{} $headers.add("Authorization",'Basic ' + $token) $headers.add("Content-Type", "application/json") $headers.add("Accept", "application/json") if ($method -eq 'DELETE') { $headers.add("X-Restd-Err-Ack", "all") } [String] $api_base_url = "https://{0}" -f $current_utm_host.socket # base_url + "/api/" + request path [String] $api_url = "{0}/api/{1}" -f ($api_base_url, $Path) # if a ref has been given, append it to the API url if ($Ref) { $api_url = "{0}{1}" -f ($api_url, $Ref); } # construct arguments for Invoke-RestMethod call $kwargs = @{ Headers = $headers Method = $Method Uri = $api_url } if ($Body) {$kwargs["Body"] = $Body; } return (Invoke-RestMethod @kwargs) } function Get-UTM-Networks { $group = UTM-API-Call -Method 'GET' -Path "objects/network/group/" -Ref $current_utm_host.group_ref $networkUTMlist = @() foreach ($member_ref in $group.members){ $network = UTM-API-Call -Method 'GET' -Path "objects/network/network/" -Ref $member_ref $networkUTMlist += [O365Network]::new($null, $network.name, $network._ref) } return $networkUTMlist } function Delete-UTM-Networks { Param ( [Parameter(Mandatory = $true)] [Object] $NetworksDelete ) foreach ($network in $NetworksDelete) { UTM-API-Call -Method 'DELETE' -Path "objects/network/network/" -Ref $network.utm_ref } } function Add-UTM-Networks { Param ( [Parameter(Mandatory = $true)] [Object] $NetworksAdd ) foreach ($network in $NetworksAdd.Values) { if (-not $network.utm_ref) { $net = $network.ip.split("/") $body = '{"name":"' + $network.name + '","address":"' + $net[0] + '","netmask":"' + $net[1] + '","resolved":true}' $result = UTM-API-Call -Method 'POST' -Path "objects/network/network/" -Body $body if ($result) { $network.utm_ref = $result._ref } } } } function Update-UTM-Group { Param ( [Parameter(Mandatory = $true)] [Object] $NetworksUpdate ) $netref = ( $NetworksUpdate.Values.utm_ref | Where-Object { $_; } | % { '"{0}"' -f $_; } ) -join "," $body = '{"members":[' + $netref + ']}' UTM-API-Call -Method 'PATCH' -Path "objects/network/group/" -Ref $current_utm_host.group_ref -Body $body | out-null } #Begin des Scripts $o365_networks = Get-O365-Networks #Anpassen des SSL Verhaltens der Powershell Add-Type @" using System.Net; using System.Security.Cryptography.X509Certificates; public class TrustAllCertsPolicy : ICertificatePolicy { public bool CheckValidationResult( ServicePoint srvPoint, X509Certificate certificate, WebRequest request, int certificateProblem) { return true; } } "@ [System.Net.ServicePointManager]::CertificatePolicy = New-Object TrustAllCertsPolicy [Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12 if ($o365_networks) { foreach ($current_utm_host in (Read-UTM-Hosts)) { write-host $current_utm_host.socket $utm_networks = Get-UTM-Networks $networks = @{} $networks_delete = @() foreach ($network in $o365_networks){ # reset UTM_REF $network.utm_ref = $null $networks.add($network.name, $network) } foreach ($network in $utm_networks){ if ($networks.ContainsKey($network.name)) { $mod = $networks[$network.name] $mod.utm_ref = $network.utm_ref } else { $networks_delete += $network } } if ($networks_delete){ Delete-UTM-Networks -NetworksDelete $networks_delete } Add-UTM-Networks -NetworksAdd $networks Update-UTM-Group -NetworksUpdate $networks } } else { write-host "Fehler im Abruf der O365-Referenz Datei." write-host "Prüfen sie die Internetverbindung für den Aufruf der Webseite https://endpoints.office.com/endpoints/worldwide?clientrequestid=insert your ID" }
- utmliste.txt und Script.ps1 müssen im selben Ordner liegen. Führen sie Script.ps1 mit Powershell aus.
Produktgalerie überspringen
Zugehörige Produkte
Sophos SG 210 TotalProtect (SG210)
Das TotalProtect Bundle ist die günstige "All-in-One" Option von Sophos. Sie erhalten die SG Series 210 Appliance und dazu den vollen Full Guard Schutz für Ihr Unternehmen. Hierbei haben Sie die Option, das Bundle für ein, zwei oder drei Jahre zu wählen. Je länger die Laufzeit, umso günstiger wird der spezifische Preis für die Appliance.
Sophos Security Appliance SG 210
Die Sophos SG 210 und SG 230 sind speziell auf die Bedürfnisse von kleinen bis mittelständischen Unternehmen und Außenstellen abgestimmt. Sie basieren auf modernster Intel-Technologie und sind mit 6 GbE-Kupferports sowie einem FleXi-Port-Steckplatz zur Konfiguration mit einem optionalen Modul ausgestattet. Damit liefern sie optimale Flexibilität und hohe Durchsatzraten bei einem erstklassigen Preis-Leistungs-Verhältnis. Wie bei allen Modellen haben Sie auch hier die Möglichkeit, bis zu 10 Appliances dyanamisch zu clustern.
Achtung: SG210 Modelle mit Hardware Revision 3 - diese sind nicht für einen HA-Verbund mit anderen Revisionen geeignet. Ebenso sind zugehörige FleXi - Portmodule nur mit der jeweiligen Revision kombinierbar. (Gilt nicht für SG1xx und XG1xx mit Revisionen 1 und 2.) Sollten Sie für einen HA-Verbund noch Hardware Appliances mit Revision 1 (SG210/ XG210 Revision 2) benötigen, dann fragen Sie bitte vor dem Kauf an, ob diese noch verfügbar sind.
Technische Spezifikationen
Vorderansicht
Rückansicht
Physische Spezifikationen
Leistungsaufnahme
19 W, 65 BTU/h (Leerlauf)35 W, 119 BTU/h (Volllast)
Betriebstemperatur
0–40°C (Betrieb)-20–+80°C (Lagerung)
Luftfeuchtigkeit
10%-90%, nicht kondensierend
Produktzertifizierungen
Zertifizierungen
CB, UL, CE, FCC Class A, ISED, VCCI, RCM, CCC BIS (geplant), MSIP/KCC (geplant)
LeistungSG 210 Rev. 3
Firewall-Durchsatz
12 GBit/s
VPN-Durchsatz
1 GBit/s
IPS-Durchsatz
2 GBit/s
Antivirus-Durchsatz (Proxy)
500 MBit/s
Gleichzeitige Verbindungen
4.000.000
Neue Verbindungen/Sek
60.000
Max. Anzahl lizenzsierter Nutzer
unbegrenzt
Physische Schnittstellen
Speicher (lokale Quarantäne/Protokolle)
integrierte SSD
Prozessor
Intel Celeron Dual Core G3900 @ 2,8 Ghz
RAM
8 GB DDR4
Festplatte
120 GB SSD
Ethernet-Schnittstellen (fest)
6 GE Kupfer (einschl. 2 Bypass-Paaren)2 GE SFP
Anzahl FleXi-Port-Steckplätze
1
FleXi-Port-Module (optional)
8-Port GE Kupfer8-Port GE SFP2-Port 10 GE SFP+4-Port 10 GE SPF+2-Port 40 GE QSFP+4-Port GE PoE8-Port GE PoE
I/O-Ports
2 x USB 3.0 (vorne)1 x Mikro-USB (vorne)1 x USB 3.0 (hinten)1 x COM (RJ45) (vorne)1 x VGA (hinten)
Anzeige
Multifunktions-LCD-Modul
Stromversorgung
intern, automatische Bereichseinstellung 90–264 VAC, 50–60 HzOptional zusätzliche Stromversorgung (extern)
Physische Spezifikationen
Montage
1U rackmontierbar(2 Rackmontage-Winkel inbegriffen)
Abmessungen Breite x Tiefe x Höhe
438 x 344,4 x 44 mm
Gewicht
5,2 kg (ohne Verpackung)7,2 kg (mit Verpackung)
SG 210 FullGuard (Bundle)
Full Guard Bundle, das komplette Bundle zum günstigen Preis. Das Full Guard Bundle umfasst sämtliche UTM Subscriptions (E-Mail Protection, Network Protection, Web Protection, Webserver Protection und Wireless Protection) und gibt Ihnen die vollständige Sicherheit der UTM zu einem wesentlich günstigeren Preis als die Einzelsubscriptionen. Bereits ab drei notwendigen Subscriptions, ist das Full Guard Bundle i.d.R. preiswerter als die Einzelpreise und Sie haben die volle Leistungsfähigkeit gewährleistet.
4.755,00 €*
Sophos SG 125 TotalProtect (SG125)
Mit den Rev.-3-Modellen erweitert Sophos die SG/XG 1xx-Modelle um komplett neue Features. Die Features bringen Verbesserungen in den Schwerpunktbereichen Konnektivität, Flexibilität, Zuverlässigkeit und Performance.
Produkt-Highlights Revision 3
Für bessere WLAN-Performance und -Reichweite ist jedes w-Modell optional mit integriertem 802.11ac Wi-Fi erhältlich.
Für alle SG/XG 1xx-Modelle ist optional eine zweite Stromversorgung erhältlich, die selbst in Kleinunternehmen die Business Continuity sicherstellt.
Bei allen SG/XG 125/135-Modellen gibt es für 3G/4G-Module einen Erweiterungsschacht, der in vielen Bereitstellungsszenarien als zusätzliche Anschlussmöglichkeit dient.
Ein optionales zweites Wi-Fi-Sendemodul auf dem Modell SG/XG 135w sorgt für bessere Performance und Reichweite und ermöglicht eine gleichzeitige Übertragung bei 2,4 und 5 GHz.
Zum Anschluss an Unternehmensbreitbandverbindungen ist nun auf vielfachen Wunsch auf allen SG/XG 1xx Appliances ein SFP Port (z. B. für optionales DSL-Modem) verfügbar.
Das TotalProtect Bundle ist die günstige "All-in-One" Option von Sophos. Sie erhalten die SG Series 125 Appliance und dazu den vollen Full Guard Schutz für Ihr Unternehmen. Hierbei haben Sie die Option, das Bundle für ein, zwei oder drei Jahre zu wählen. Je länger die Laufzeit, umso günstiger wird der spezifische Preis für die Appliance.
Sophos Security Appliance SG 125
Diese leistungsstarken Firewall-Appliances bieten bei einem Desktop-Formfaktor und -Preis 1U-Performance. Wenn Sie ein Kleinunternehmen oder Außenstellen schützen müssen oder über ein beschränktes Budget verfügen, sind diese Modelle die ideale Wahl. Für eine optimale Abdeckung und Anbindung Ihrer mobilen Mitarbeiter sind die Modelle auch mit integriertem 802.11ac-WLAN erhältlich. Unsere Software basiert auf der modernsten Intel-Architektur und nutzt die Multi-Core-Technologie optimal, um hervorragende Durchsatzraten für Ihre Schlüsselprozesse zu erzielen. Diese Modelle sind mit 8 integrierten GbE-Kupferports ausgestattet und können wie alle Sophos Firewalls zu dynamischen Clustern von bis zu 10 Appliances zusammengefügt werden, um eine höhere Skalierbarkeit zu erreichen.
Technische Spezifikationen
Vorderansicht SG 125 Rev. 2
Vorderansicht SG 125 Rev. 3
Rückansicht 125 Rev. 2
Rückansicht SG 125 Rev. 3
LeistungSG 125 Rev. 2Rev. 3
Firewall-Durchsatz
3,1 GBit/s
3.100 MBit/s
VPN-Durchsatz
500 MBit/s
500 MBit/s
IPS-Durchsatz
750 MBit/s
750 MBit/s
Antivirus-Durchsatz (Proxy)
200 MBit/s
650 MBit/s
Gleichzeitige Verbindungen
2.000.000
2.002.930
Neue Verbindungen/Sek
24.000
25.000
Maximal lizenzsierte Nutzer
unbegrenzt
unbegrenzt
Physische SchnittstellenSG 125 Rev. 2Rev. 3
Speicher
integrierte SSD
integrierte SSD
Prozessor
Atom Rangeley Dual Core (1.7 GHz)
Denverton C3508 (1.6 GHz)
RAM
4 GB DDR3
4 GB
Festplatte
64 GB SSD
64 GB SSD
LAN-Schnittstellen (fest)
8 GE Kupfer
8 Kupfer + 1 SFP
I/O-Ports (hinten)
2 x USB 2.0 1 x COM (RJ45)1 x VGA
2 x USB 2.0 1 x Micro-USB 1 x COM (RJ45) 1 x HDMI
Stromversorgung
extern, automatische Bereichseinstellung DC: 12 V, 100–240 VAC, 50–60 Hz
extern, automatische Bereichseinstellung DC: 12 V 100–240 VAC, 36 W@50–60 Hz Optional zusätzliche Stromversorgung (extern)
Physische SpezifikationenSG 125 Rev. 2Rev. 3
Montage
Rackmontage-Kit erhältlich (muss separat bestellt werden)
Rackmontage-Kit erhältlich (muss separat bestellt werden)
Abmessungen (Breite x Tiefe x Höhe)
288 x 186,8 x 44 mm
305 x 205 x 44 mm
Gewicht
1,7 kg (ohne Verpackung)2,82 kg (mit Verpackung)
1,8 kg (ohne Verpackung) 2,7 kg (mit Verpackung)
Physische SpezifikationenSG 125 Rev. 2Rev. 3
Leistungsaufnahme
12,46 W, 49,3 BTU/h (Leerlauf)26,16 W, 89,2 BTU/h (Volllast)
18,6W, 63,426 BTU/h (Leerlauf) 20,04W, 68,336 BTU/h (Volllast)
Temperatur
0-40°C (Betrieb) -20 to +80°C (Lagerung)
0–40°C (Betrieb) -20–+80°C (Lagerung)
Luftfeuchtigkeit
10%-90%, nicht kondensierend
10 %–90 %, nicht kondensierend
ProduktzertifizierungenSG 125 Rev. 2Rev. 3
Zertifizierungen
CE, FCC Class B, CB, VCCI, C-Tick, UL, CCC
CB, UL, CE, FCC, ISED, VCCI, MIC (Japan), RCM, CCC, KC In Planung: BIS
SG 125 FullGuard (Bundle)
Full Guard Bundle, das komplette Bundle zum günstigen Preis. Das Full Guard Bundle umfasst sämtliche UTM Subscriptions (E-Mail Protection, Network Protection, Web Protection, Webserver Protection und Wireless Protection) und gibt Ihnen die vollständige Sicherheit der UTM zu einem wesentlich günstigeren Preis als die Einzelsubscriptionen. Bereits ab drei notwendigen Subscriptions, ist das Full Guard Bundle i.d.R. preiswerter als die Einzelpreise und Sie haben die volle Leistungsfähigkeit gewährleistet.
2.015,00 €*
Sophos SG 310 TotalProtect (SG310)
Das TotalProtect Bundle ist die günstige "All-in-One" Option von Sophos. Sie erhalten die SG Series 310 Appliance und dazu den vollen Full Guard Schutz für Ihr Unternehmen. Hierbei haben Sie die Option, das Bundle für ein, zwei oder drei Jahre zu wählen. Je länger die Laufzeit, umso günstiger wird der spezifische Preis für die Appliance.
Sophos Security Appliance SG 310
Die Modelle Sophos SG 310 und SG 330 sind skalierbare Appliances, die sich für Organisationen mit vielen Standorten und mittelgroße Unternehmen eignen. Mit SSDs für On-Box-Reporting, Protokolle und Spam-Quarantäne sind sie äußerst reaktionsstark – selbst in Umgebungen mit einem hohen Datenverkehrsaufkommmen. Jedes Modell ist mit 8 GbE-Kupferports, 2 GbE-SFP-Glasfaserports sowie einem FleXi-Port-Steckplatz zur Konfiguration mit einem optionalen Modul ausgestattet. Sie bieten optimale Performance und Flexibilität.
Achtung: SG310 Modelle mit Hardware Revision 2 - diese sind nicht für einen HA-Verbund mit anderen Revisionen geeignet. Ebenso sind zugehörige FleXi - Portmodule nur mit der jeweiligen Revision kombinierbar. (Gilt nicht für SG1xx und XG1xx mit Revisionen 1 und 2.) Sollten Sie für einen HA-Verbund noch Hardware Appliances mit Revision 1 (SG210/ XG210 Revision 2) benötigen, dann fragen Sie bitte vor dem Kauf an, ob diese noch verfügbar sind.
Technische Spezifikationen
Vorderansicht
Rückansicht
Umgebung
Leistungsaufnahme
32 W, 109 BTU/h (Leerlauf)49 W, 167 BTU/h (Volllast)
Betriebstemperatur
0–40°C (Betrieb)-20–+80°C (Lagerung)
Luftfeuchtigkeit
10%-90%, nicht kondensierend
Produktzertifizierungen
Zertifizierungen
CB, UL, CE, FCC Class A, ISED, VCCI, RCM, CCC BIS (geplant), MSIP/KCC (geplant)
LeistungSG 310 Rev. 2
Firewall-Durchsatz
19 GBit/s
VPN-Durchsatz
3 GBit/s
IPS-Durchsatz
5 GBit/s
Antivirus-Durchsatz (Proxy)
1,2 GBit/s
Gleichzeitige Verbindungen
6.000.000
Neue Verbindungen/Sek
100.000
Maximal lizenzsierte Nutzer
unbegrenzt
Physische Schnittstellen
Speicher
integrierte SSD
Prozessor
Intel Core i3 Dual Core 6100 @ 3.7 Ghz
RAM
12 GB DDR4
Festplatte
180 GB SSD
Ethernet-Schnittstellen (fest)
8 GE Kupfer (einschl. 2 Bypass-Paaren)2 GE SFP2 10 GE SPF+
Anzahl FleXi-Port-Steckplätze
1
FleXi-Port-Module (optional)
8-Port GE Kupfer8-Port GE SFP2-Port 10 GE SFP+4-Port 10 GE SFP+2-Port 40 GE QSFP+4-Port GE PoE8-Port GE PoE
I/O-Ports
2 x USB 3.0 (vorne)1 x Mikro-USB (vorne)1 x USB 3.0 (hinten)1 x COM (RJ45) (vorne)1 x HDMI (hinten)
Anzeige
Multifunktions-LCD-Modul
Stromversorgung
intern, automatische Bereichseinstellung 90–264 VAC, 50–60 HzOptional zusätzliche Stromversorgung (extern)
Physische Spezifikationen
Montage
1U rackmontierbar(2 Rackmontage-Winkel inbegriffen)
Abmessungen Breite x Tiefe x Höhe
438 x 405,5 x 44 mm
Gewicht
5,8 kg (ohne Verpackung)8,1 kg (mit Verpackung)
SG 310 FullGuard (Bundle)
Full Guard Bundle, das komplette Bundle zum günstigen Preis. Das Full Guard Bundle umfasst sämtliche UTM Subscriptions (E-Mail Protection, Network Protection, Web Protection, Webserver Protection und Wireless Protection) und gibt Ihnen die vollständige Sicherheit der UTM zu einem wesentlich günstigeren Preis als die Einzelsubscriptionen. Bereits ab drei notwendigen Subscriptions, ist das Full Guard Bundle i.d.R. preiswerter als die Einzelpreise und Sie haben die volle Leistungsfähigkeit gewährleistet.
9.853,50 €*