Hallo,
ich habe im 1906 eine FW Regel mit IP's die ich generell blocke, weil Sie z.B. versucht haben in eines meiner Systeme reinzukommen).
In der Regel finde ich auch genau diese IP's auf diversen RBL Listen (insbesondere nutze ich http://www.uceprotect.net). Diese kann ich auch via WGET oder RSYNC downloaden. Jetzt wäre es doch cool wenn ich die IP's gleich in das FW Stations-Object importieren könnte.
Daher meine Frage:
- Verkraftet der Lancom ein Stations-Object mit 15.000 IP's?
- Ist ein solcher Import machbar (ich denke an ein entsprechende Script was via SSH das Object update)?
Danke, Pauli
RBL import als FW Object
Moderator: Lancom-Systems Moderatoren
Re: RBL import als FW Object
Hi Pauli
Als erstes mußt du das ziemlich gruselig abrollen (vermultich in 5000 Objekte mit je 3 Adressen und einer Referenz auf das ejweuils vorherige - im IPv6 wäre das "einfacher", weil du da "nur" 15000 Objekte mit gleichem Namen und passender Hash-Erweiterung brauchst: blacklist#00000 ... blacklist#15000).
Als nächstes wird der Regelparser da vermutlich Minuten brauchen das auszurollen. Und dann kommt natürlich der Regel-Lookup bei jeder neuen Session, der dann für alles erlaubte erstmal die 15000 Adressen durchspielen muß. Da wird dann sicherlich so alles interaktive extrem zäh....
Sichere daher deine Dienste lieber einzeln ab - am besten mit Zweifaktor-Authentifizierung. Dann brauchst du auch keine Blacklisten... Außerdem steht der nächste Angreifer garantiert nicht auf der Liste...
Gruß
Backslash
da wäre ich vorsichtig...- Verkraftet der Lancom ein Stations-Object mit 15.000 IP's?
Als erstes mußt du das ziemlich gruselig abrollen (vermultich in 5000 Objekte mit je 3 Adressen und einer Referenz auf das ejweuils vorherige - im IPv6 wäre das "einfacher", weil du da "nur" 15000 Objekte mit gleichem Namen und passender Hash-Erweiterung brauchst: blacklist#00000 ... blacklist#15000).
Als nächstes wird der Regelparser da vermutlich Minuten brauchen das auszurollen. Und dann kommt natürlich der Regel-Lookup bei jeder neuen Session, der dann für alles erlaubte erstmal die 15000 Adressen durchspielen muß. Da wird dann sicherlich so alles interaktive extrem zäh....
Sichere daher deine Dienste lieber einzeln ab - am besten mit Zweifaktor-Authentifizierung. Dann brauchst du auch keine Blacklisten... Außerdem steht der nächste Angreifer garantiert nicht auf der Liste...
Gruß
Backslash
Re: RBL import als FW Object
Danke und dies habe ich ja fast befürchtet ...
Allerdings habe ich jetzt auch schon ein Stations-Object mit 50 Adressen oder Adressbereichen was problemlos funktioniert, aber 15.000 sind halt eine andere Nummer.
Dann lasse ich es lieber im Gateway zum Schutz meiner Web bzw. Cloud Services welches nach dem Lancom steht, dort habe ich zusätzlich zum Schutz Country und IP listen als Filter, wäre eben schön gewesen wenn die schon ganz vorne am Lancom rausgeflogen wäre. So was können eben Linux Büchsen einfach besser ...
Danke, Pauli
Allerdings habe ich jetzt auch schon ein Stations-Object mit 50 Adressen oder Adressbereichen was problemlos funktioniert, aber 15.000 sind halt eine andere Nummer.
Dann lasse ich es lieber im Gateway zum Schutz meiner Web bzw. Cloud Services welches nach dem Lancom steht, dort habe ich zusätzlich zum Schutz Country und IP listen als Filter, wäre eben schön gewesen wenn die schon ganz vorne am Lancom rausgeflogen wäre. So was können eben Linux Büchsen einfach besser ...
Danke, Pauli