Blocklisten mit ASN (Autonomous System Numbers) erstellen - geht das?

[plumpsack]

Beispiel: AS4134

Wie blockiert man die Kommunikation von/zu diesem Knotenpunkt?


Danke schon einmal für die Infos vorab.

[ua]

Moin,

Einfach, wenn Du Provider bist: Den Peer im BGP per ACL sperren.

Aufwändiger, wenn Du einen „normalen“ Anschluss hast:
Die dem AS zugeordneten IP-Netze suchen ( Whois oder Looking-Glas, oder bei den LIRs) und ein FW-Objekt nebst Regel Schreiben.

VG
Udo

[plumpsack]

Hallo und danke für deine Antwort.

Ich "dachte" man könnte das evtl. über BGP "vereinfachen".

Zum Thema "looking glass", ist das nicht ein bisschen wie mit Kanonen auf Spatzen schießen?

Ein einfaches

Code: Alles auswählen

whob -A ABCD

(ABCD ist die AS-Nummer)

tut es doch auch.

whob findet man u.A. im Paket "lft" (layer four traceroute).

Da ich die Netzwerke schon über die Routingtabelle, in beide Richtungen, sperre suchte ich eine Vereinfachung.

Frohes Fest und schöne Feiertage

[plumpsack]

Nachtrag:
Guckt mal hier:

https://www.heise.de/newsticker/meldung ... 47808.html

Das ist eigentlich was ich meinte.

Leider gibt es dazu keine Meinungen von euch.

[plumpsack]

ASN_IPFire_Script

https://notabug.org/maloe/ASN_IPFire_Script

Warum ist so etwas in der Art nicht bei Routern von Lancom möglich?

Oder habe ich da etwas übersehen?

[5624]

Warum ist so etwas in der Art nicht bei Routern von Lancom möglich?

1. Weil es keine ernsthaft sinnvolle Technik ist
2. Weil ein Router in erster Linie ein Router ist und keine Firewall. Die Aufgabe eines Routers ist Netzwerke zu verbinden. Eventuelle Firewallfunktionen sind nachrangig. Erkennt man auch am Verhalten. Ein Router (eine eventuelle, abweichende Werkskonfiguration außen vorgelassen) lässt grundsätzlich alles durch. Eine Firewall (eine eventuelle, abweichende Werkskonfiguration außen vorgelassen) blockiert alles.
3. ASN gehören zu den Metadaten und sind nicht im Datenpaket enthalten, daher wäre eine solche Prüfung extrem ineffizient. Ähnlich wie FQDN-Angaben in Firewallregeln.

Was du machen kannst, ist dir ein solches Script selbst zu bauen, es auf einem externen Gerät laufen zu lassen, welches dir dann per Managementzugang die entsprechenden Sperrrouten in den LANCOM drückt.

[plumpsack]

Warum ist so etwas in der Art nicht bei Routern von Lancom möglich?

1. Weil es keine ernsthaft sinnvolle Technik ist
2. Weil ein Router in erster Linie ein Router ist und keine Firewall.

Zu 1. warum nicht?

Zu 2.:

Router kommt von

Die Route
Die Strecke
Der Weg
Die Verbindung
Der Verlauf

und nur, nur der/die Administrator/en/innen, nicht irgendeine Plaste-Dosen, bestimmt/bestimmen das.

Firewall sagt, böse IP, böses Netzwerk - z.B. intrusion detection.

Administrator-xyz (gegendert) sagt, "nix, ich hau dich mal w-e-c-h und route alles aus dem Syslog/Firewall-Log mit "Einbruchsversuch*" gegen 0.0.0.0!"

Was ist daran falsch?

Die "Pappenheimer" sind doch meistens schon bekannt.

Firewall und ASN sprechen doch nicht unbedingt gegeneinander, sie müssten sogar kooperieren.

Das Internet ist total kaputt, es ist ein einziger Flickenteppich!

IP-Adressen/Netzwerke sind schon lange nicht mehr nur einzelnen Ländern/Kontinenten zuordnen.
Schöne alte Zeit ...

Aber man kann immer noch das Gros ausfiltern!


* - Erklärung
intruder detection
intrusion detection
DoS protection
denial of service attack
connection refused