Countryblock mit der Firewall?

Forum zum Thema Firewall

Moderator: Lancom-Systems Moderatoren

Antworten
p0ddie
Beiträge: 178
Registriert: 02 Mär 2009, 13:40

Countryblock mit der Firewall?

Beitrag von p0ddie »

Hallo,

immer wieder sehe ich Portscans und auch Angriffe auf die Dienste hinter freigegebenen Ports meiner Kunden - und Spam ist natürlich auch immer so eine Geschichte.

Um die ganze Geschichte ein wenig zu entspannen, würde ich gerne in den Lancoms eine Art Countryblock einrichten, wie ich es bei meinen pfsense Installationen habe - so kann ich problemlos China, Russland, Ukraine, Brasilien und den Rest der ganzen Spam- und Portscanländer, mit denen der Kunde keinen geschäftlichen Kontakt hat, einfach so blocken, dass Verbindungen von diesen CIDR grundsätzlich abgelehnt werden.

Muss ich dafür eine Reject-Firewallregel einrichten, in deren Verbindungs-Quelle ich Objekte für die einzelnen Länder mit ihren Subnetzen anlege? Das wäre... anstrengend, denn (siehe .txt im Anhang) manche Länder haben ne Menge Subnetze.

Hat jemand bessere Ideen?
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Beitrag von backslash »

Hi p0ddie
Muss ich dafür eine Reject-Firewallregel einrichten, in deren Verbindungs-Quelle ich Objekte für die einzelnen Länder mit ihren Subnetzen anlege?
ja...
Das wäre... anstrengend, denn (siehe .txt im Anhang) manche Länder haben ne Menge Subnetze.
ist aber die einzige Möglichkeit... Wenn du programmiererfahrung hast, kannst du dir ggf. ein Script schreiben, das die Netze in der Datei so aufbereitet, daß das LANCOM damit umgehen kann.

Aus z.B. 2.56.128.0/19 muß dann "%a2.56.128.0 %m255.255.224.0" werden

Gruß
Backslash
p0ddie
Beiträge: 178
Registriert: 02 Mär 2009, 13:40

Beitrag von p0ddie »

Hi,

danke für die Antwort, ich habe es befürchtet ;-)
Benutzeravatar
terror4tec
Beiträge: 64
Registriert: 13 Jun 2005, 09:30
Wohnort: Absurdistan

MEHR ALS 809 Objekte in der Firewall möglich ?

Beitrag von terror4tec »

Liebe Gemeinde,
auch ich wollte China aussperren. Nur...das alleine waren 1608 Netze... :shock:

Wenn ich jetzt nix falsch verstanden habe sind das auch 1608 Objekte für die Firewall... Egal, dachte ich mir LCOS wirds schon richten aber denkste: "schon" nach den ersten 809 war ENDE!

Lieber Backslash, was mache ich falsch?
...kann man Administratoren eigentlich einen "guten ab-end" wünschen? ...
supr3m3
Beiträge: 26
Registriert: 03 Mär 2012, 01:54

Beitrag von supr3m3 »

um antwort wird gebeten...
Benutzeravatar
terror4tec
Beiträge: 64
Registriert: 13 Jun 2005, 09:30
Wohnort: Absurdistan

Warten auf Godot....

Beitrag von terror4tec »

...leider wird es dazu wohl kein statement vor der nächsten Eiszeit geben...
Seit 2009 ist das Problem bekannt. Es gibt wohl keine Lösung, bzw wir treffen mit unseren Fragen einen wunden Punkt.

Und jetzt sind sowieso alle auf der CeBit ;-)
LG
...kann man Administratoren eigentlich einen "guten ab-end" wünschen? ...
p0ddie
Beiträge: 178
Registriert: 02 Mär 2009, 13:40

Re: Countryblock mit der Firewall?

Beitrag von p0ddie »

*bump*

Hat sich in den 7 Jahren was getan?
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Countryblock mit der Firewall?

Beitrag von backslash »

Hi p0ddie

nein... wozu auch? "Angriffe" wie Portscans sind aus allen Regionen des Internets *üblich*. Und so eine Sperr-Liste mag ja die eigene Paranoia beruhigen, nutzt am Ende aber rein gar nichts - weil der nächste Angriff dann aus Rußland, USA oder Deutschland kommt.

Da mußt du schon deine Server absichern, z.B. mit guten Paßwörtern - alles andere ist so wirksam wie Homöopathie.

BTW: Deinen Servern kannst du ja gerne diese Liste unterjubeln, so daß sie bei jeder einkommenden Anfrage diese erstmal abarbeiten - beschwer dich dann aber nicht, daß es sich anfühlt, als währen sie einem dauerhaften DOS-Angriff ausgesetzt...

Gruß
Backslash
Boy2006
Beiträge: 37
Registriert: 14 Jan 2008, 16:38

Re: Countryblock mit der Firewall?

Beitrag von Boy2006 »

Ich kenne die Lancom Geräte nicht aber müsste der Router nicht ne Funktion haben wo man die IP sperren kann wenn die zu oft geschlossene Ports erreichen will?
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Countryblock mit der Firewall?

Beitrag von backslash »

Hi Boy2006,

ja, sowas gibt es auch im LANCOM... Das ist aber nur drin, weil selbsternannte Experten diverser Homeuser-Computer-Zeitschriften der Meinung sind, sowas würde die Sicherheit erhöhen. Das Gegenteil ist der Fall! Durch solche Sperren werden DoS-Angriffe im schlimmsten Fall erst erfolgreich (stell dir dazu einfach mal vor, ein Angreifer fälscht die IP-Adresse des DNS-Servers deines Providers und der Router sperrt sie darauf hin)...

Also: Finger weg von (dynamischen) Adreßsperren jedweder Art... Abgesehehen davon sind Portscans als solche noch lange kein Angriff und hinter einem Router der nur Traffic von innen nach aussen zuläßt auch kein Problem. Wenn man Portforwardings einrichtet, dann muß man den Server an den weitergeleitet wird, mit einem guten Paßwort absichern und nicht vermeindlich "böse" Chinesen oder Russen im Router vorher ausfiltern - denn das hilft nichts, wenn der Angriff von der "guten" NSA kommt...

Desweiteren ist sind auch Ping-Blocking und Stealth-Mode keine Sicherheitsfeatures, denn anders als die oben erwähnten selbsternannten Experten immer wieder ertzählen, deutet keine Antwort nicht darauf hin, daß dort niemend ist, sondern sowas ist vielmehr ein roter blinkender Pfeil auf ein möglicherweise interressantes Ziel... Denn wäre da wirklich niemand, dann würde der Router einen Hop vorher schon sagen "destination unreachable"... da er das aber nicht macht, weiß jeder Angreifer sofort, daß sicht hinter der nicht antwortenden Adresse doch jemand ist...

Gruß
Backslash
Boy2006
Beiträge: 37
Registriert: 14 Jan 2008, 16:38

Re: Countryblock mit der Firewall?

Beitrag von Boy2006 »

(stell dir dazu einfach mal vor, ein Angreifer fälscht die IP-Adresse des DNS-Servers deines Providers und der Router sperrt sie darauf hin)...
Dafür gibts doch (bei meinen zumindest) ne Whiteliste. :wink:
Wenn man Portforwardings einrichtet, dann muß man den Server an den weitergeleitet wird, mit einem guten Paßwort absichern und nicht vermeindlich "böse" Chinesen oder Russen im Router vorher ausfiltern - denn das hilft nichts, wenn der Angriff von der "guten" NSA kommt...
Ich leite auch paar Ports nach aussen weiter und die anderen kommen von einer Dynamischen IP Adresse. Der Service dahinter ist naja nicht besonders ausgefuchst. Natürlich mache Ich mir gedanken wie Ich mein Setup besser absichern kann.
weiß jeder Angreifer sofort, daß sicht hinter der nicht antwortenden Adresse doch jemand ist...
Naja davon muss man immer ausgehen? :G)
Das geilste ist wenn Drucker oder APs mit den Default Pw laufen. Macht besonders spass.
Wenn euch mal ein AP mit einer ordinären SSID begegnet... :lol:
Benutzeravatar
ecox
Beiträge: 697
Registriert: 28 Jan 2015, 17:25

Re: Countryblock mit der Firewall?

Beitrag von ecox »

Hey Boy2006,

es macht keinen Sinn da weiter zu diskutieren, schon gar nicht mit deinen Vorredner...
Du wirst solche Features dbzgl. nicht bei LANCOM finden oder erwarten können, denn das kann ja jetzt R&S für LANCOM übernehmen ^^
Auch finde ich es sehr anmaßend vom Vorredner dir einreden zu wollen es bringt alles nichts. Wenn du dich sicherer fühlst, sei es drum ob es funzt oder nicht, ist das deine Sache... :)

Bau die ne pfSense auf und gut ist ^^ pfBlockerNG und du kannst richtig spielen (aber ich denke das kennst du ja) ^^

ICH wecke damit auch noch mal meinen Aufruf
FREE CONTENT-FILTER!!!!! MACHT ENDLICH die Lizenzen weg ^^

Grüße
MÜHSAM ERNÄHRT SICH DAS EICHHÖRNCHEN
Boy2006
Beiträge: 37
Registriert: 14 Jan 2008, 16:38

Re: Countryblock mit der Firewall?

Beitrag von Boy2006 »

Squid als Reverse Proxy und dort über IP Tables die blocken. :lol:
Benutzeravatar
ecox
Beiträge: 697
Registriert: 28 Jan 2015, 17:25

Re: Countryblock mit der Firewall?

Beitrag von ecox »

Boy2006 hat geschrieben: 04 Jun 2019, 22:38 Squid als Reverse Proxy und dort über IP Tables die blocken. :lol:
Squid tut es natürlich auch, ist aber sehr mächtig und macht für mich nur in großen Umgebungen wirklich richtigen Sinn, bis dahin reicht pfBlockerNg, das man dann seine Blocklisten über Github pflegen kann und automatisch auf der Sense aktualisiert werden, macht es doch recht einfach IP/DNS mäßíg ein wenig "sicherheit" rein zu bringen ^^

grüße
ecox
MÜHSAM ERNÄHRT SICH DAS EICHHÖRNCHEN
plumpsack
Beiträge: 569
Registriert: 15 Feb 2018, 20:23

Re: Countryblock mit der Firewall?

Beitrag von plumpsack »

p0ddie hat geschrieben: 18 Nov 2011, 17:58 Um die ganze Geschichte ein wenig zu entspannen, würde ich gerne in den Lancoms eine Art Countryblock einrichten, wie ich es bei meinen pfsense Installationen habe - so kann ich problemlos China, Russland, Ukraine, Brasilien und den Rest der ganzen Spam- und Portscanländer, mit denen der Kunde keinen geschäftlichen Kontakt hat, einfach so blocken, dass Verbindungen von diesen CIDR grundsätzlich abgelehnt werden.
...
Hat jemand bessere Ideen?
Na klar, dafür gibt es die Routing-Tablle:

z.B. hier

Code: Alles auswählen

https://www.lancom-forum.de/download/file.php?id=3644
aus

Code: Alles auswählen

https://www.lancom-forum.de/aktuelle-lancom-router-serie-f41/r883vaw-intruder-detection-nach-neuverbindung-muss-t17574.html#p99882
Antworten