Lancom Firewall Geo-Blocking auf Länderbasis

[Astrofreak85]

Hallo Lncom-Gemeinde,

mehrere unserer Kunden wünschen ein blocken von IPs (in/out) aus den Bereichen China, Russland, Belarus, Ukraine etc.
(Kritische Infrastruktur)
Ist das mit den Lancom-Routern möglich? bzw. implementierbar?

MfG Astro

[plumpsack]

Lancom Firewall Geo-Blocking auf Länderbasis

Finde den Fehler:

A) Kritische Infrastruktur
B) Internet
C) 2022
D) Geo-Blocking auf Länderbasis

hmmm ... ich glaub ich nehm den Publikumsjoker ...

--> Antwort Publikum: A und B

[Obi-wahn]

Hallo zusammen,

ich verstehe die Ironie echt nicht ganz Was ist an Geoblocking falsch?
Wir suchen genauso eine Funktion. Offenbar gibt der 1781EF+ das nicht her oder?

Alternativ wäre ein Massenimport von geblockten IP-Adressbereichen hilfreich, leider finde ich auch dazu nichts.
Habe jetzt mal einige russische und chinesische IP-Adressbereiche manuell über die Stationsobjekte geblockt, aber bei tausenden von Einträgen pflegt man sich manuell einen Wolf

Gibts da echt nichts automatisches?

Gruß
Obi

[rotwang]

ich verstehe die Ironie echt nicht ganz Was ist an Geoblocking falsch?

Nun ja: Daß viele Teilnehmer in diesem Forum (und auch die meisten Entwickler bei LANCOM) Blocking "nach Landkarte" für eine unsinnige Idee halten. Wenn man Traffic sperren will, dann sollte man das anhand der eingehenden Pakete bzw. Verbindungsversuche machen, nicht anhand der Adresse, wo sie herkommen (die ohnehin gefälscht sein kann...). Von Botnetzen infizierte PCs und böse Hacker gibt es in westlichen Ländern mindestens genauso viele wie in vermeintlichen Schurkenstaaten, und selbst wenn der böse Bube irgendwo in Russland oder China sitzt, dann verbindet er sich halt erst mal auf irgendeinen gekaperten Rechner in USA oder Europa und fährt von da den Angriff auf Deinen Rechner - ein Geoblocking nützt Dir dann genau gar nichts. Im Gegenteil, Du sperrst als "Kollateralschaden" jede Menge Unschuldige aus solchen Ländern aus.

Geoblocking als Security-Massnahme ist eine Schwarz/Weiss-Betrachtungsmethode für Manager und Politiker , die die Arbeitsweise des Internet nicht verstehen (wollen?) und einfache Antworten auf komplizierte Probleme verlangen (die es dummerweise nicht gibt). Oder die glauben. daß das mit dem Rückverfolgen so wie in Agentenfilmen funktioniert. Ich hoffe ja, die Admins, die solche kritischen Infrastrukturen betreuen, machen neben Geoblocking (wenn es Ihnen von Ihren Chefs aufgenötigt wird...) noch sinnvolle Maßnahmen: Backdoors schließen, nur genau die Dienste hereinlassen, die man haben will, nur verschlüsselte Zugänge etc. pp. Und wenn man das alles gemacht hat, dann kann man sich so ein Geoblocking eigentlich auch wieder sparen. Bei wirklich "kritischen" Infrastrukturen, wo man professionelle Hacker oder sogar Geheimdienste anderer Länder als Gegner hat, nutzt es ziemlich genau gar nichts.

[mabe]

Selbst die UF gibt das nicht her, der LCOS Router natürlich erst recht nicht.
Ich sehe durchaus einen Sinn in einem Country Filter, natürlich abseits von professioneller Industriespionage und gezielten Attacken.

[plumpsack]

ich verstehe die Ironie echt nicht ganz Was ist an Geoblocking falsch?

Z.B. Niederländische IP-Adresse registriert auf den Seychellen gehören Russen ... etc.

Da gibt es zig Beispiele: Deutsche IP-Adressen in den USA ... - guck dir dein Syslog an oder gleich auf einen Anbieter der dir die ganze Kette anzeigt ... z.B. ipinfo.io und Co.

Alternativ wäre ein Massenimport von geblockten IP-Adressbereichen hilfreich, ...

Gerne, siehe Anlage, aber guck dir die Liste mit Bedacht an, nicht das du dich selbst aussperrst
Lösche die Einträge die du nicht willst!

Gibts da echt nichts automatisches?

Mir nicht bekannt, evtl. eine Whitelist?

[Obi-wahn]

ok vielen Dank für die Infos über Geoblocking.
Schon klar, dass die IP nicht unbedingt dort sitzen muss wo es scheint, aber wenn ich mir halt die tausenden von Loginversuchen auf unseren diversen Systemen, insbesondere auf den Mailserver, anschaue, dann sind es halt zu 90% chinesische und russische IPs. D.h. wenn ich die aussperre, dann hab ich 90% weniger Angriffsversuche.

Vielen Dank für die Liste, ich versuche mal einige Einträge mit Bedacht zu importieren

Gruß

Obi

[Gigabernie]

Hallo zusammen,

ich habe auch nach einer Lösung für Lancom gesucht. Die können das offensichtlich noch nicht.
Das wird hoffentlich bei Lancom noch kommen, da ich 2 Firmen mit Lancom übernommen habe.

Securepoint Router können das seit ca. 1 Jahr. Das funktioniert mittlerweile hervorragend.
Das macht mein Leben viel einfacher...

Ob die Russen in den NL registriert sind ist egal.
Bei GeoIp wird der Endpunkt über das Routing identifiziert, nicht der RIPE-Eintrag für den IP-Bereich

@plumpsack: Nomen est Omen

VG Bernie

[plumpsack]

Ob die Russen in den NL registriert sind ist egal.
Bei GeoIp wird der Endpunkt über das Routing identifiziert, nicht der RIPE-Eintrag für den IP-Bereich

Schnall ich nicht was du damit sagen willst ...


RU hostet in BG ... und läuft über NL ...

RU hostet in CY und läuft über TR oder NL ... wie/wo auch immer.

Was willst du sagen?

Wird der ASN weggekippst?

[XJ8]

Die Infos, die GeoIP liefert sind auch nicht so wie ich das erwarten würde.
Wenn ich dort meine IP abfrage dann müsste ich lt der Antwort in Berlin sitzen.
Tatsächlich wohne ich aber ca 200 KM westlich von Berlin

[dMatschek]

Geoblocking als Security-Massnahme ist eine Schwarz/Weiss-Betrachtungsmethode für Manager und Politiker

In meinen Augen ist Deine Antwort eine Schwarz/Weiss-Betrachtung der Fragestellung. Geo-Blocking ist ein möglicher und in der Praxis gut funktionierender Baustein eines Gesamtkonzepts. Ein Beispiel einer m.E. nach guten Implementierung sind die Conditional Access Policies im Microsoft Entra (ehem. Azure AD). Dort kann ich bspw. sagen, dass von außerhalb Deutschland (oder der EU...) andere Authentifizierungsstandards gelten. Damit sperre ich niemanden direkt aus, hänge die Messlatte für einen erfolgreichen Angriff aber gleich deutlich höher.

Wenn ich dort meine IP abfrage dann müsste ich lt der Antwort in Berlin sitzen.
Tatsächlich wohne ich aber ca 200 KM westlich von Berlin

1980 wäre das evtl. bedeutsam gewesen, ob Ost- oder West-Berlin Heute wäre das beides Deutschland und im Sinne der Geozuordnung gleichermaßen zu gebrauchen

VG,
Matschek

[backslash]

Hi dMatschek

Dort kann ich bspw. sagen, dass von außerhalb Deutschland (oder der EU...) andere Authentifizierungsstandards gelten. Damit sperre ich niemanden direkt aus, hänge die Messlatte für einen erfolgreichen Angriff aber gleich deutlich höher.

warum hängst du die Latte nicht für alle so hoch? Zu glauben in Deutschland (oder der EU) sind die Guten und die Bösen sind in Rußland (oder China oder sonstwo) ist Makulartur...
Genau das meinte Rotwang mit seinem Kommentar...

Gruß
Backslash

[dMatschek]

Hi Backslash,

Vieles im Security-Bereich muss man mit Wahrscheinlichkeiten und Verhältnissmäigkeiten von Angriffsmöglichkeiten zu Abwehraufwand abschätzten. Betreibt das 1-Mann Handwerker ein aktives IDS, wertet Logs aus, stattet die Weboberfläche seiner Geräte mit eigenen Zertifikaten aus etc.? Nein - er müsste es aber eigentlich genau so machen, wie jedes andere größere Unternehmen.

Wenn ich 95% der Angriffsversuche von vornherein ausschließen kann, weil ich gewisse Adressbereiche aus dem Internet gar nicht erst reinlasse, sinkt rein rechnerisch meine Opferwahrscheinlichkeit, wenn eine andere nachgelagerte Lücke, ein Konfig-Fehler oder was auch immer das nächste Security-Level durchbechen könnte. Ich ziele nicht darauf ab, dass die bösen Jungs aus dem Osten kommen und in DE alle lieb sind, sondern dass ich einfach einen prozentual wesentlichen Teil komlett ausschalte. Es hindert den gezielten Angriffsweg via VPN oder einen gekarperten Server überhaupt nicht, da sind wir uns einig. Aber durch das grobe Netz, was für die Hacking/Spam/Ransomware-Kampagne XY ausgeworfen wird, bleibe ich nur noch bei 5% der Fälle als zu begutachtende potentielle Beute hängen.

VG,
Matschek