Countryblock mit der Firewall?
Moderator: Lancom-Systems Moderatoren
Countryblock mit der Firewall?
Hallo,
immer wieder sehe ich Portscans und auch Angriffe auf die Dienste hinter freigegebenen Ports meiner Kunden - und Spam ist natürlich auch immer so eine Geschichte.
Um die ganze Geschichte ein wenig zu entspannen, würde ich gerne in den Lancoms eine Art Countryblock einrichten, wie ich es bei meinen pfsense Installationen habe - so kann ich problemlos China, Russland, Ukraine, Brasilien und den Rest der ganzen Spam- und Portscanländer, mit denen der Kunde keinen geschäftlichen Kontakt hat, einfach so blocken, dass Verbindungen von diesen CIDR grundsätzlich abgelehnt werden.
Muss ich dafür eine Reject-Firewallregel einrichten, in deren Verbindungs-Quelle ich Objekte für die einzelnen Länder mit ihren Subnetzen anlege? Das wäre... anstrengend, denn (siehe .txt im Anhang) manche Länder haben ne Menge Subnetze.
Hat jemand bessere Ideen?
immer wieder sehe ich Portscans und auch Angriffe auf die Dienste hinter freigegebenen Ports meiner Kunden - und Spam ist natürlich auch immer so eine Geschichte.
Um die ganze Geschichte ein wenig zu entspannen, würde ich gerne in den Lancoms eine Art Countryblock einrichten, wie ich es bei meinen pfsense Installationen habe - so kann ich problemlos China, Russland, Ukraine, Brasilien und den Rest der ganzen Spam- und Portscanländer, mit denen der Kunde keinen geschäftlichen Kontakt hat, einfach so blocken, dass Verbindungen von diesen CIDR grundsätzlich abgelehnt werden.
Muss ich dafür eine Reject-Firewallregel einrichten, in deren Verbindungs-Quelle ich Objekte für die einzelnen Länder mit ihren Subnetzen anlege? Das wäre... anstrengend, denn (siehe .txt im Anhang) manche Länder haben ne Menge Subnetze.
Hat jemand bessere Ideen?
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
Hi p0ddie
Aus z.B. 2.56.128.0/19 muß dann "%a2.56.128.0 %m255.255.224.0" werden
Gruß
Backslash
ja...Muss ich dafür eine Reject-Firewallregel einrichten, in deren Verbindungs-Quelle ich Objekte für die einzelnen Länder mit ihren Subnetzen anlege?
ist aber die einzige Möglichkeit... Wenn du programmiererfahrung hast, kannst du dir ggf. ein Script schreiben, das die Netze in der Datei so aufbereitet, daß das LANCOM damit umgehen kann.Das wäre... anstrengend, denn (siehe .txt im Anhang) manche Länder haben ne Menge Subnetze.
Aus z.B. 2.56.128.0/19 muß dann "%a2.56.128.0 %m255.255.224.0" werden
Gruß
Backslash
- terror4tec
- Beiträge: 64
- Registriert: 13 Jun 2005, 09:30
- Wohnort: Absurdistan
MEHR ALS 809 Objekte in der Firewall möglich ?
Liebe Gemeinde,
auch ich wollte China aussperren. Nur...das alleine waren 1608 Netze...
Wenn ich jetzt nix falsch verstanden habe sind das auch 1608 Objekte für die Firewall... Egal, dachte ich mir LCOS wirds schon richten aber denkste: "schon" nach den ersten 809 war ENDE!
Lieber Backslash, was mache ich falsch?
auch ich wollte China aussperren. Nur...das alleine waren 1608 Netze...
Wenn ich jetzt nix falsch verstanden habe sind das auch 1608 Objekte für die Firewall... Egal, dachte ich mir LCOS wirds schon richten aber denkste: "schon" nach den ersten 809 war ENDE!
Lieber Backslash, was mache ich falsch?
...kann man Administratoren eigentlich einen "guten ab-end" wünschen? ...
- terror4tec
- Beiträge: 64
- Registriert: 13 Jun 2005, 09:30
- Wohnort: Absurdistan
Warten auf Godot....
...leider wird es dazu wohl kein statement vor der nächsten Eiszeit geben...
Seit 2009 ist das Problem bekannt. Es gibt wohl keine Lösung, bzw wir treffen mit unseren Fragen einen wunden Punkt.
Und jetzt sind sowieso alle auf der CeBit
LG
Seit 2009 ist das Problem bekannt. Es gibt wohl keine Lösung, bzw wir treffen mit unseren Fragen einen wunden Punkt.
Und jetzt sind sowieso alle auf der CeBit
LG
...kann man Administratoren eigentlich einen "guten ab-end" wünschen? ...
Re: Countryblock mit der Firewall?
*bump*
Hat sich in den 7 Jahren was getan?
Hat sich in den 7 Jahren was getan?
Re: Countryblock mit der Firewall?
Hi p0ddie
nein... wozu auch? "Angriffe" wie Portscans sind aus allen Regionen des Internets *üblich*. Und so eine Sperr-Liste mag ja die eigene Paranoia beruhigen, nutzt am Ende aber rein gar nichts - weil der nächste Angriff dann aus Rußland, USA oder Deutschland kommt.
Da mußt du schon deine Server absichern, z.B. mit guten Paßwörtern - alles andere ist so wirksam wie Homöopathie.
BTW: Deinen Servern kannst du ja gerne diese Liste unterjubeln, so daß sie bei jeder einkommenden Anfrage diese erstmal abarbeiten - beschwer dich dann aber nicht, daß es sich anfühlt, als währen sie einem dauerhaften DOS-Angriff ausgesetzt...
Gruß
Backslash
nein... wozu auch? "Angriffe" wie Portscans sind aus allen Regionen des Internets *üblich*. Und so eine Sperr-Liste mag ja die eigene Paranoia beruhigen, nutzt am Ende aber rein gar nichts - weil der nächste Angriff dann aus Rußland, USA oder Deutschland kommt.
Da mußt du schon deine Server absichern, z.B. mit guten Paßwörtern - alles andere ist so wirksam wie Homöopathie.
BTW: Deinen Servern kannst du ja gerne diese Liste unterjubeln, so daß sie bei jeder einkommenden Anfrage diese erstmal abarbeiten - beschwer dich dann aber nicht, daß es sich anfühlt, als währen sie einem dauerhaften DOS-Angriff ausgesetzt...
Gruß
Backslash
Re: Countryblock mit der Firewall?
Ich kenne die Lancom Geräte nicht aber müsste der Router nicht ne Funktion haben wo man die IP sperren kann wenn die zu oft geschlossene Ports erreichen will?
Re: Countryblock mit der Firewall?
Hi Boy2006,
ja, sowas gibt es auch im LANCOM... Das ist aber nur drin, weil selbsternannte Experten diverser Homeuser-Computer-Zeitschriften der Meinung sind, sowas würde die Sicherheit erhöhen. Das Gegenteil ist der Fall! Durch solche Sperren werden DoS-Angriffe im schlimmsten Fall erst erfolgreich (stell dir dazu einfach mal vor, ein Angreifer fälscht die IP-Adresse des DNS-Servers deines Providers und der Router sperrt sie darauf hin)...
Also: Finger weg von (dynamischen) Adreßsperren jedweder Art... Abgesehehen davon sind Portscans als solche noch lange kein Angriff und hinter einem Router der nur Traffic von innen nach aussen zuläßt auch kein Problem. Wenn man Portforwardings einrichtet, dann muß man den Server an den weitergeleitet wird, mit einem guten Paßwort absichern und nicht vermeindlich "böse" Chinesen oder Russen im Router vorher ausfiltern - denn das hilft nichts, wenn der Angriff von der "guten" NSA kommt...
Desweiteren ist sind auch Ping-Blocking und Stealth-Mode keine Sicherheitsfeatures, denn anders als die oben erwähnten selbsternannten Experten immer wieder ertzählen, deutet keine Antwort nicht darauf hin, daß dort niemend ist, sondern sowas ist vielmehr ein roter blinkender Pfeil auf ein möglicherweise interressantes Ziel... Denn wäre da wirklich niemand, dann würde der Router einen Hop vorher schon sagen "destination unreachable"... da er das aber nicht macht, weiß jeder Angreifer sofort, daß sicht hinter der nicht antwortenden Adresse doch jemand ist...
Gruß
Backslash
ja, sowas gibt es auch im LANCOM... Das ist aber nur drin, weil selbsternannte Experten diverser Homeuser-Computer-Zeitschriften der Meinung sind, sowas würde die Sicherheit erhöhen. Das Gegenteil ist der Fall! Durch solche Sperren werden DoS-Angriffe im schlimmsten Fall erst erfolgreich (stell dir dazu einfach mal vor, ein Angreifer fälscht die IP-Adresse des DNS-Servers deines Providers und der Router sperrt sie darauf hin)...
Also: Finger weg von (dynamischen) Adreßsperren jedweder Art... Abgesehehen davon sind Portscans als solche noch lange kein Angriff und hinter einem Router der nur Traffic von innen nach aussen zuläßt auch kein Problem. Wenn man Portforwardings einrichtet, dann muß man den Server an den weitergeleitet wird, mit einem guten Paßwort absichern und nicht vermeindlich "böse" Chinesen oder Russen im Router vorher ausfiltern - denn das hilft nichts, wenn der Angriff von der "guten" NSA kommt...
Desweiteren ist sind auch Ping-Blocking und Stealth-Mode keine Sicherheitsfeatures, denn anders als die oben erwähnten selbsternannten Experten immer wieder ertzählen, deutet keine Antwort nicht darauf hin, daß dort niemend ist, sondern sowas ist vielmehr ein roter blinkender Pfeil auf ein möglicherweise interressantes Ziel... Denn wäre da wirklich niemand, dann würde der Router einen Hop vorher schon sagen "destination unreachable"... da er das aber nicht macht, weiß jeder Angreifer sofort, daß sicht hinter der nicht antwortenden Adresse doch jemand ist...
Gruß
Backslash
Re: Countryblock mit der Firewall?
Dafür gibts doch (bei meinen zumindest) ne Whiteliste.(stell dir dazu einfach mal vor, ein Angreifer fälscht die IP-Adresse des DNS-Servers deines Providers und der Router sperrt sie darauf hin)...
Ich leite auch paar Ports nach aussen weiter und die anderen kommen von einer Dynamischen IP Adresse. Der Service dahinter ist naja nicht besonders ausgefuchst. Natürlich mache Ich mir gedanken wie Ich mein Setup besser absichern kann.Wenn man Portforwardings einrichtet, dann muß man den Server an den weitergeleitet wird, mit einem guten Paßwort absichern und nicht vermeindlich "böse" Chinesen oder Russen im Router vorher ausfiltern - denn das hilft nichts, wenn der Angriff von der "guten" NSA kommt...
Naja davon muss man immer ausgehen?weiß jeder Angreifer sofort, daß sicht hinter der nicht antwortenden Adresse doch jemand ist...
Das geilste ist wenn Drucker oder APs mit den Default Pw laufen. Macht besonders spass.
Wenn euch mal ein AP mit einer ordinären SSID begegnet...
Re: Countryblock mit der Firewall?
Hey Boy2006,
es macht keinen Sinn da weiter zu diskutieren, schon gar nicht mit deinen Vorredner...
Du wirst solche Features dbzgl. nicht bei LANCOM finden oder erwarten können, denn das kann ja jetzt R&S für LANCOM übernehmen ^^
Auch finde ich es sehr anmaßend vom Vorredner dir einreden zu wollen es bringt alles nichts. Wenn du dich sicherer fühlst, sei es drum ob es funzt oder nicht, ist das deine Sache...
Bau die ne pfSense auf und gut ist ^^ pfBlockerNG und du kannst richtig spielen (aber ich denke das kennst du ja) ^^
ICH wecke damit auch noch mal meinen Aufruf
FREE CONTENT-FILTER!!!!! MACHT ENDLICH die Lizenzen weg ^^
Grüße
es macht keinen Sinn da weiter zu diskutieren, schon gar nicht mit deinen Vorredner...
Du wirst solche Features dbzgl. nicht bei LANCOM finden oder erwarten können, denn das kann ja jetzt R&S für LANCOM übernehmen ^^
Auch finde ich es sehr anmaßend vom Vorredner dir einreden zu wollen es bringt alles nichts. Wenn du dich sicherer fühlst, sei es drum ob es funzt oder nicht, ist das deine Sache...
Bau die ne pfSense auf und gut ist ^^ pfBlockerNG und du kannst richtig spielen (aber ich denke das kennst du ja) ^^
ICH wecke damit auch noch mal meinen Aufruf
FREE CONTENT-FILTER!!!!! MACHT ENDLICH die Lizenzen weg ^^
Grüße
MÜHSAM ERNÄHRT SICH DAS EICHHÖRNCHEN
Re: Countryblock mit der Firewall?
Squid als Reverse Proxy und dort über IP Tables die blocken.
Re: Countryblock mit der Firewall?
Squid tut es natürlich auch, ist aber sehr mächtig und macht für mich nur in großen Umgebungen wirklich richtigen Sinn, bis dahin reicht pfBlockerNg, das man dann seine Blocklisten über Github pflegen kann und automatisch auf der Sense aktualisiert werden, macht es doch recht einfach IP/DNS mäßíg ein wenig "sicherheit" rein zu bringen ^^
grüße
ecox
MÜHSAM ERNÄHRT SICH DAS EICHHÖRNCHEN
Re: Countryblock mit der Firewall?
Na klar, dafür gibt es die Routing-Tablle:p0ddie hat geschrieben: ↑18 Nov 2011, 17:58 Um die ganze Geschichte ein wenig zu entspannen, würde ich gerne in den Lancoms eine Art Countryblock einrichten, wie ich es bei meinen pfsense Installationen habe - so kann ich problemlos China, Russland, Ukraine, Brasilien und den Rest der ganzen Spam- und Portscanländer, mit denen der Kunde keinen geschäftlichen Kontakt hat, einfach so blocken, dass Verbindungen von diesen CIDR grundsätzlich abgelehnt werden.
...
Hat jemand bessere Ideen?
z.B. hier
Code: Alles auswählen
https://www.lancom-forum.de/download/file.php?id=3644
Code: Alles auswählen
https://www.lancom-forum.de/aktuelle-lancom-router-serie-f41/r883vaw-intruder-detection-nach-neuverbindung-muss-t17574.html#p99882