Micrtosoft IP pooly a limitovaný přístup k nim

Medo77

  • ****
  • 288
    • Zobrazit profil
    • E-mail
Micrtosoft IP pooly a limitovaný přístup k nim
« kdy: 02. 04. 2022, 09:47:39 »
Cest praci a rukam pokoj.

V nejakom clanku (tu na roote, cim skladam poklonu za odvedenu pracu), som si vsimol, ze rozne Ransomware udelatka zacinaju hostovat v Azure. Povedal som si, to bude masaker, rozumne zakazat MS sa neda. (ak chcete pouzivat len windows update, tak ano, ak mate Power-BI a ine srac.ky, tak nie).

No a uz je to tu. Nejaky zakaznik nahrava cez remote-app exe, ktory modifikuje origo aplikaciu.
Cuduj sa svete, Defender zareaguje, ze to je malware a tipne ho. Vtip je v tom, ze mame na routeri kompletne zakazanu komunikaciu in/out okrem vybranych sites/pools.
Bohuzial, zrovna kvoli power-bi sme museli narobir riadne vynimky, aj v ramci dna to meni ipcky z ineho poolu.
Samozrejme, v pooloch je bordel, a taky Azure hostuje napriec poolmi.

Ta vec ma priamo v sebe zadratovanu ipcku z MS. Dumam, ako tomu nejak rozumne zabranit.
Pokusime sa osekat userov na nevyhnutnu skupinu uploaderov, ale nedavam tomu velku sancu.

Jedine co ma napadlo, je izolovat power-bi od zvysku infry, dovolit mu komunikovat s kym v MS chce,  a zvysok infry teda este viac izolovat od nezelanej komunikacie. (tym padom az na MS update sa to zamkne).

Ak niekoho zaujima, co tam je, tak mikrotik. Odvadza dobru pracu, nie je dovod to menit. S tym co popisujem by asi tak ci tak (opravte ma, ak sa mylim) bol problem aj na lubovolnej inej platforme.

Za pripadne postrehy dakujem. (su to sice asi primarne linuxaci, ale aj taki co sa musia trapit s MS, ako ja :-)

« Poslední změna: 04. 04. 2022, 08:04:57 od Petr Krčmář »


Re:Micrtosoft ip pooly a limitovany pristup k nim.
« Odpověď #1 kdy: 02. 04. 2022, 19:49:29 »
pro komunikaci s Power BI používáme u klientů Azure Private Link a s tím jejich private endpoints, je to pak transparentně namapované do interní sítě.

Re:Micrtosoft IP pooly a limitovaný přístup k nim
« Odpověď #2 kdy: 07. 04. 2022, 15:24:03 »
presne jako _Tomáš_ - do azure si vyrobte IPSec VPN a reste to jako interni prostredky v DMZ. Externi endpointy pozakazovat, omezit, zariznout.

Medo77

  • ****
  • 288
    • Zobrazit profil
    • E-mail
Re:Micrtosoft IP pooly a limitovaný přístup k nim
« Odpověď #3 kdy: 07. 04. 2022, 18:50:04 »
Bud nechapem ja, alebo Vy.
My si prevadzkujeme PB kvazi lokalne (aj ked v hostingu). Bohuzial ta blbost si vynucuje mrte domen a ip adries. Je tam fw v nasej sprave. Politika hovori, ze co nie je dovolene, je zakazane. Nez som pochytal celu potrebnu komunikaciu, chvilu to trvalo. Neviem, preco to prevadzkujeme u seba, mozno kvoli cene, netusim. On si chodi von pre mapy a rozne ine veci, vratane roznych overovacich serverov, rozne office servere atd. Mam spraveny pekny zoznam ak niekto chce. :-)

Re:Micrtosoft IP pooly a limitovaný přístup k nim
« Odpověď #4 kdy: 07. 04. 2022, 20:03:53 »
Pre O365 sluzby existuje oficialny zoznam IP rozsahov a pouzitych portov, ktory je mesacne updatovany https://docs.microsoft.com/en-us/microsoft-365/enterprise/urls-and-ip-address-ranges?view=o365-worldwide. Je tam k tomu aj RSS kanal, kde sa daju sledovat zmeny. Okrem toho je tam aj JSON, ktory je detailnejsi ako tabulka uvedena priamo na strankach. Inac tento zoznam zvykne byt u niektorych vyrobcov FW uz priamo implementovany a aj aktualizovany.

No a pre Azure zase existuje nieco taketo https://docs.microsoft.com/en-us/microsoft-365/enterprise/urls-and-ip-address-ranges?view=o365-worldwide