Sophos Firewall FQDN Objekt Import Generator

Dieser Beitrag ist auch verfügbar auf: English (Englisch)

Wir freuen uns eine weitere ITW Entwicklung vorstellen zu dürfen. Einen Sophos Firewall FQDN Objekt Import Generator. Aus Listen von FQDNs können blitzschnell XML Imports für Host Objekte, URL Gruppen und Web Ausnahmen erstellt werden.

getestet mit SFOS 19.5.x bis 20.0.x

Einleitung

Bis heute tun sich viele (und auch ich) mit der API schwer. Ich möchte die API nicht schlecht reden. Sie ist wichtig und auch praktisch, aber nicht immer der einfacherer Weg, wenn es um die Erstellung von mehreren Objekten geht. API aktivieren, Berechtigungen setzen, Zugang erlauben, Skript raus suchen, Authentifizieren, … und so weiter.

Ich bin daher ein Freund von fertigen Konfigurationsschnipseln die sich in der GUI über die Import Funktion blitzschnell, ohne groß was tun zu müssen, importieren lassen.

So ist dieser Generator entstanden. Ihr könnt eine Liste von FQDNs eingeben, auswählen, welche Objekte erstellt werden sollen und fertig ist die Import Datei. Dabei habe ich versucht ein Maximum an Komfort einzubauen. Schaut ihn euch an und probiert in einfach mal aus! 😀

Was kann erstellt werden?

Folgend erhaltet Ihr eine Übersicht, welche Konfigurationen Ihr über den Generator erstellen lassen könnt.

  • FQDN Host
    Objekte unter “Host und Dienste -> FQDN-Host”. Dazu gehören natürlich der FQDN selber, aber auch teilweise der Anzeigename. Man kann dem Namen einen Präfix zufügen. Wird kein Präfix gesetzt, wird der FQDN genommen. Aufgrund der Längenbeschränkung wird der Name ggf. von vorne weg gekürzt. Andere Namensoptionen sind nicht möglich.
  • FQDN Hostgruppe
    Die Hostgruppe “Host und Dienste -> FQDN Hostgruppe” ist von der Anlage der einzelnen Host abhängig. Ist die Option gesetzt, werden alle angegebenen FQDN Hosts zusätzlich in eine FQDN Hostgruppe gepackt. Der Name der Gruppe ist frei definierbar.
  • URL Gruppe im Proxy
    Unter “Internet -> URL Gruppe” kann eine neue Liste befüllt werden mit den angegebenen FQDN. Der Name der Gruppe ist frei definierbar. Wildcards (*.) werden entfernt.
  • URL Ausnahmen im Proxy
    Es können Ausnahmen unter “Internet -> Web Ausnahmen” angelegt werden. Hier wird allerdings immer nur das URL Feld befüllt. Die Optionen der Ausnahme sind alle aktiviert, können aber nach dem Import angepasst werden. Der Name der Ausnahme ist frei definierbar.

Bedienungshilfe

Ist der Generator intuitiv? Na ich wills mal hoffen. 😉
Aber die Realität sieht oft anders aus. Schon allein weil das Verständnis und der Wissensstand bei jedem anders ist. Daher hier ein paar Hinweise.

Generelle Hinweise

  • Wildcard Domains
    Wildcards werden unterstützt. Gebt den FQDN einfach mit “*.domain.de” ein. Bei der URL Gruppe wird eine eventuell vorhandene Wildcard entfernt.
  • Namen
    Bis auf die Benennung der FQDN Hosts (hier geht ja nur ein Präfix), könnt Ihr die Namen der Konfiguration selber frei wählen. Die Auswahl der möglichen Zeichen wurden mit Absicht begrenzt. Soll ein anderes Zeichen rein, müsst Ihr das nach dem Import selber noch anpassen. Mögliche Zeichen: a-z A-Z 0-9 - _ + # ! = * + $ / deutsche Umlaute und natürlich das Leerzeichen.
  • Mehrfacheinsendung für eine XML
    In einer XML können am Ende unterschiedliche Konfigurationen sein. Beim ersten Abschicken des Formulars könnt Ihr zum Beispiel nur FQDN Host haben, beim zweiten Mal nur eine URL Gruppe und beim dritten Mal alle vier Optionen. Die Kombination ist Euch überlassen. Beim Import werden die Daten gemeinsam importiert, aber nicht zusammengefügt!
  • Prüfung von FQDN
    Beim Einsenden von Listen werden die FQDN geprüft auf Plausibilität. Die meisten Fehlerfälle sollten abgedeckt sein. Fehler werden im Detail angezeigt.
    Vorher bereits Daten eingesendet? Keine Angst, die bleiben erhalten bis zum Ende.
  • IDN Domains
    IDN (Internationale Domain Namen) Domains werden unterstützt. Ihr könnt müller.de, oder auch xn--mller-kva.de eingeben. Beides funktioniert. Beim Erstellen der XML werden alle Domains die eine Konvertierung benötigen in Punycode konvertiert. Hier braucht Ihr Euch nicht drum kümmern.

Eingabe von Daten

  1. FQDN Liste eingeben (max. 100 Einträge / Zeilen pro Forumularabsendung)
  2. Optionen in beliebiger Kombination auswählen
  3. Daten senden (max. 20 Einsendungen pro XML)
  4. von vorne beginnen oder XML erstellen lassen

Achtung

Die Benutzung der erstellten XML Imports erfolgt auf eigene Gefahr. Wir übernehmen keine Garantie bei möglichen Schäden oder Fehlverhalten. Wie immer gilt, dass der Import vorher in einem Testsystem getestet werden sollte.
Dennoch möchten wir darauf hinweisen, dass das Risiko solcher Fehler aufgrund der importierten Daten nach unserem Verständnis gegen null läuft.

Generator

Schritt 1: FQDNs eingeben  

Allgemein:
Gib hier die Liste der FQDN ein.

Bedingungen:
  • Pro Zeile nur ein FQDN
  • Max Zeichen pro FQDN: 253
  • IDN (Internationale Domain Namen) sind erlaubt
  • IDN werden automatisch konvertiert
  • Zu konvertierende IDN Domains werden erst bei der Erstellung der XML Datei konvertiert
  • Pro Einsendung sind max. 100 Zeilen erlaubt


Schritt 2: Eine oder mehr Optionen aufwählen

Allgemein:

Mit dieser Option werden unter dem Konfigurationspunkt "Host und Dienste -> FQDN Host" FQDN Objekte angelegt.
Ist die Option "Gruppe" auch aktiviert, wird eine FQDN Host Gruppe für die angegebenen FQDN angelegt.

Bedingungen zum Namen:
  • Präfix leer bedeutet Objekt Name gleich dem FQDN
  • Hinter einen Präfix wird immer automatisch Unterstrich gesetzt
  • Gesetzter Präfix bedeutet Name gleich Präfix_sub.domain.de
  • Gesamtlänge inkl Präfix: 60. Ist der Name aus Präfix und FQDN länger, wird von FQDN vorne der Text weggeschnitten
  • Max Zeichen Präfix: 20
  • Erlaubte Zeichen: a-zA-Z0-9_+-#!=* äüöÄÜÖß und Leerzeichen

Bedingungen zur Gruppe:
  • optional
  • ist die Option aktiviert, werden automatisch die einzelnen Opjekte auch angelegt. Ein evtl gesetzter Präfix wird berücksichtigt.
  • Name muss gesezt sein
  • max Zeichen: 60
  • Erlaubte Zeichen: a-zA-Z0-9_+-#!=* äüöÄÜÖß und Leerzeichen


Allgemein:

Mit dieser Option wird unter dem Konfigurationspunkt "Internet -> URL-Gruppen" eine URL Gruppe angelegt.

Bedingungen zum Namen:
  • Pflicht bei aktivierter Option
  • max Zeichen: 50
  • Erlaubte Zeichen: a-zA-Z0-9_+-#!=* äüöÄÜÖß und Leerzeichen


Allgemein:

Mit dieser Option wird unter dem Konfigurationspunkt "Internet -> Ausnahmen" eine Ausnahme für URLs angelegt.

Die Ausnahmen werden nach folgendem Schema angelegt:
  • *.domain.de wird umgewandelt in
    ^([A-Za-z0-9.-]*\.)?teamviewer\.com/?
  • anderedomain.de wird 1:1 übernommen
Bedingungen zum Namen:
  • Pflicht bei aktivierter Option
  • max Zeichen: 60
  • Erlaubte Zeichen: a-zA-Z0-9_+-#!=* äüöÄÜÖß und Leerzeichen

Alle bisher eingesendeten Daten verwerfen und neu starten?


Schritt 3 (optional): Eingesendete Daten prüfen

Hier klicken um die bisher eingesendeten Daten einzusehen (JSON Format)
Allgemein:

Mit dieser Option wird unter dem Konfigurationspunkt "Internet -> Ausnahmen" eine Ausnahme für URLs angelegt.

Die Ausnahmen werden nach folgendem Schema angelegt:
  • *.domain.de wird umgewandelt in
    ^([A-Za-z0-9.-]*\.)?teamviewer\.com/?
  • anderedomain.de wird 1:1 übernommen
Bedingungen zum Namen:
  • Pflicht bei aktivierter Option
  • max Zeichen: 60
  • Erlaubte Zeichen: a-zA-Z0-9_+-#!=* äüöÄÜÖß und Leerzeichen

Es wurden noch keine Daten eingegeben

Schritt 4: Aktion wälen

Anzahl der noch möglichen Einsendungen bis die XML erstellt werden muss: 20/20

Versionshistorie

25.04.2024 – Initiales Release

15.05.2024 – Kleinere Anpassungen am Text

FAQ

Werden die erstellten Daten auf dem Server gespeichert?

Ja, sobald die TAR Datei für den Import erstellt wird (Button “XML …“). Solange nur Daten eingegeben werden, sind keine Daten auf dem Server gespeichert. Nach dem Erstellen der XML liegt die Datei nur für 30 Minuten auf unserem Server. Danach wird sie gelöscht. Über den Content Blocker gebt Ihr Euer Einverständnis dazu.

Was ist Punycode?

Punycode ist eine spezielle Kodierung für die Umwandlung von Unicode-Zeichen in ASCII, einen kleineren, eingeschränkten Zeichensatz. Punycode wird zur Kodierung von internationalisierten Domänennamen (IDN) verwendet, damit das auf ASCII basierende DNS System mit den Domains klar kommt. Ohne Punycode also keine Umlaute, Akzente, oder andere nicht ASCII Zeichen.

Was sind Labels und TLD?

Sehr kurz und knapp erklärt, besteht eine Domain aus mindestens einem Label und einer TLD. Es können aber auch mehrere Labels vorkommen. Alles wird immer mit einem Punkt getrennt. Beispiele: domain.de (domain=Label, de=TLD) oder auch test.domain.de (test=Label, domain=Label, de=TLD).
Mehr auf Wikipedia oder der Wissensquelle Deines Vertrauens.

Ich habe einen Fehler gefunden

Prima, du hast das Easteregg gefunden 🥳
Nein, Spaß beiseite… Fehler sind nicht auszuschließen aufgrund der Menge an möglichen Testszenarios. Hast du einen Fehler gefunden, schreibe uns gerne über das Kontaktformular, oder in den Kommentaren, welche Daten zu dem Fehler führen und wir schauen, dass wir den Bug zeitnah beheben.

Fehlt was?

Fehlt Euch was im Generator, schreibt uns gerne über das Kontaktformular, oder über die Kommentare. Mal sehen ob Dein Featurewunsch es rein schafft 😊

Wo und wie wird die XML importiert?

Die erstellte Datei (.tar) bitte so wie sie ist unter “Sicherung & Firmware -> Import/Export” hochladen und importieren. Nach der Meldung, dass der Vorgang erfolgreich war, sind die gewünschten Objekte angelegt.

FQDN Objekt Import Generator Import XML -

Wie kann sichergestellt werden, dass der Import keine Backdoor oder anderes einbaut?

Entpackt einfach die TAR-Datei und öffnet die enthaltene XML Datei im Editor. Du wirst hier nur die von Dir eingesendeten Daten finden.

Andere Interessante Beiträge

! in Arbeit ! IP Objekt Generator

3 Kommentare

  1. Thanks for that great work! It saved a lot of time for me! Looking forward to a IP object generator

  2. Hi,
    this is also a great piece of work from you. Thank you very much!
    Miles

Kommentare sind geschlossen.

WordPress Cookie Plugin von Real Cookie Banner