Wechseln zu:Navigation, Suche
Wiki

GeoIPs verwenden

Aus Securepoint Wiki






























































| Add a network group for GeoIPs to be given access in the networkgroups section with the Add Group button. }}
















De.png
En.png
Fr.png


Thumbnail for

Video laden
Vimeo
Anleitung als Kurz-Video









Konfiguration von Zugriffen mittels Geo-IP auf der UTM steuern

Letzte Anpassung zur Version: 14.0.1(01.2025)

Neu:
notempty
Dieser Artikel bezieht sich auf eine Resellerpreview
Aufruf: Firewall Netzwerkobjekte


  • IP-Adressen können über die zugehörigen IP-Netze und den Organisationen und Institutionen, denen diese zugewiesen sind, einem Land zugeordnet werden.

    Für jedes Land existiert in der UTM dafür eine GeoIP, in der diese Zuweisungen gespeichert werden.

    Diese Datenbank wird regelmäßig unabhängig von der Firmware aktualisiert.

    Die GeoIPs werden von der UTM dabei wie Netzwerkobjekte der Zone external behandelt. → weitere Zonen

  • Der tatsächliche Standort eines Hosts kann von der Zuordnung abweichen oder z.B. durch einen VPN Tunnel nicht ersichtlich sein!
























































    • Systemweite Sperrungen

    notempty
    Aufruf Verschoben und Layout aktualisiert zur v14.0.1

    Unter Anwendungen IDS/IPS  Bereich Systemweite Sperrungen lassen sich systemweite Sperrungen von IP-Adressen bewirken.

    Es können einzelne IP-Adressen oder ganze GeoIP Gruppen als Quellen und/oder Ziele blockiert werden.
    notempty
    Diese Einstellungen gelten systemweit in allen Zonen und werden vor den Paketfilter-Regeln angewendet!
    Beschriftung Wert Beschreibung Implizite Regeln UTMbenutzer@firewall.name.fqdnFirewall UTM v14.0.1 IDS IPS Systemweite Sperrungen.pngKonfiguration für Systemweite Sperrungen

    IP-Adressen

    IP-Adressen
    notempty
    Neu ab v14.0.1
    Quell-Adressen systemweit ablehnen: Ja Aktiviert das Ablehnen von IP-Adressen als Quellen
    Ziel-Adressen systemweit ablehnen: Ja Aktiviert das Ablehnen von IP-Adressen als Ziele
    IP-Adressen: »203.0.113.13 IP-Adressen, die systemweit auf allen Schnittstellen blockiert werden
  • Im Log erscheint dazu unter Alle Paketfilter-Meldungen
  • Es können nur einzelne IP-Adressen, keine Range, blockiert werden

    • GeoIP Quellen

    GeoIP Quellen
    GeoIP Quellen systemweit ablehnen: Ein Aktiviert die GeoIP Einstellungen für abgelehnte Quellen
    Systemweit abgelehnte Quellen: »BX (Beliebiges Beispiel) In der Klickbox können Länder ausgewählt werden, die als Quellen blockiert werden sollen.
    Gruppe: Alle Auswahl aus voreingestellten Gruppen, welche z.B. alle Länder eines Kontinents auswählt.
    Hinzufügen Fügt die Regionen aus der ausgewählten Gruppe hinzu
    Entfernen Entfernt die Regionen aus der ausgewählten Gruppe
    Ausnahmen: »IP-Adresse Hier können Ausnahmen für systemweit abgelehnte Quellen definiert werden.

    GeoIP Ziele

    GeoIP Ziele
    GeoIP Ziele systemweit ablehnen: Ein Aktiviert die GeoIP Einstellungen für abgelehnte Ziele
    Systemweit abgelehnte Ziele: BX (Beliebiges Beispiel) In der Klickbox können Länder ausgewählt werden, die als Ziele blockiert werden sollen.
    Damit werden Zugriffe über Browser ebenso unterbunden, wie z.B. nachgeladener Schadcode.
    Gruppe: Alle Auswahl aus voreingestellten Gruppen, welche z.B. alle Länder eines Kontinents auswählt.
    Hinzufügen Fügt die Regionen aus der ausgewählten Gruppe hinzu
    Entfernen Entfernt die Regionen aus der ausgewählten Gruppe
    Ausnahmen: IP-Adresse Hier können Ausnahmen für systemweit abgelehnte Ziele definiert werden.

    GeoIP-basierte Paketfilter Regeln

    Bestimmten Regionen soll der Zugriff auf bestimmte Ports verwehrt werden.
    Hier: Keine Mails aus der Antarktis

    GeoIPs haben per Default die Zone external

    Einrichten weiterer Zonen für GeoIP

    Netzwerkobjekt hinzufügen UTMbenutzer@firewall.name.fqdnFirewallNetzwerkobjekte UTM v12.6 GeoIP Netzwerkobjekt hinzufuegen.png Dialog für Netzwerkobjekt GeoIP

    Liegt die Schnittstelle mit dem Internetzugang in einer anderen Zone oder steht an mehreren Schnittstellen mit weiteren Zonen ein Internetzugang bereit, müssen GeoIP-Netzwerkobjekte dort ebenfalls zur Verfügung stehen.


    Unter Firewall Netzwerkobjekte  Schaltfläche Objekt hinzufügen kann ein Netzwerkobjekt vom Typ GeoIP hinzugefügt werden.
    Dabei muss die Zone angegeben werden, in der diese Objekte liegen sollen.
    Ein Präfix ist optional möglich.
    Siehe auch Wiki: Paketfilter / Netzwerkobjekte erstellen

    Alternativ geschieht dies mit einem CLI-Befehl.



    Beispiel: Blocking

    Bestimmten Regionen soll der Zugriff auf bestimmte Ports verwehrt werden.
    Hier: Keine Mails aus der Antarktis

    Schritt 1: Anlegen einer Netzwerkgruppe
    Schritt 1: Anlegen einer Netzwerkgruppe
    Beschriftung Wert Beschreibung Netzwerkgruppe hinzufügen UTMbenutzer@firewall.name.fqdnFirewallNetzwerkobjekte UTM v12.6 GeoIP Netzwerkobjekte Gruppe hinzufügen Geo-Mail-Blocking.pngNetzwerkgruppe hinzufügen
    Hinzufügen einer Netzwerkgruppe für GeoIPs, die blockiert werden sollen im Abschnitt Netzwerkgruppen mit der Schaltfläche Gruppe hinzufügen
    Name: Geo-Blocking-Mail Aussagekräftiger Name für die Netzwerkgruppe
    Netzwerkobjekte: Map-marked-alt.svgGEOIP:AQ (Antarktis) Suchtext für gewünschtes Land
    + Objekt hinzufügen Öffnet den Dialog um ein Netzwerkobjekt hinzuzufügen
    Speichern und schließen
    		 Speichert die Einstellungen und schließt das Fenster
    Schritt 2: Übersicht Netzwerkgruppen
    Schritt 2: Übersicht Netzwerkgruppen
    Öffnet das Bearbeitungsfenster erneut und es können z.B. weitere Regionen hinzugefügt werden. Netzwerkobjekte UTMbenutzer@firewall.name.fqdnFirewall Regeln aktualisieren UTM v12.6 GeoIP Netzwerkobjekte AQ angezeigt.pngÜbersicht Netzwerkgruppen
    Löscht die Netzwerkgruppe
    Netzwerkobjekte: GEOIP:AQ Zeigt das Netzwerkobjekt rechts an inkl. Adresse und Zone.
    Schritt 3: Paketfilter Regel hinzufügen
    Schritt 3: Paketfilter Regel hinzufügen
    Neue Paketfilter Regel anlegen unter Firewall Paketfilter  Schaltfläche Regel hinzufügen Regel hinzufügen UTMbenutzer@firewall.name.fqdnFirewallPaketfilter UTM v12.6 GeoIP Paketfilterregel Block.pngPaketfilter Regel hinzufügen
    Quelle: Map-marked-alt-custom-multiple.svg Geo-Blocking-Mail Im Dropdown-Menü im Abschnitt GeoIP Netzwerkgruppen die gewünschte Gruppe auswählen
    Ziel: Interface.svg external-interface Schnittstelle, auf der die zu blockierende Pakete ankommen
    Dienst: Tcp.svg smtp Dienst oder Dienstgruppe, der bzw. die blockiert werden soll
    Aktion: DROP Verwirft die Pakete
    Logging: SHORT Gewünschtes Logging wählen
    Gruppe default Auswahl aus voreingestellten Gruppen, welche z.B. alle Länder eines Kontinents auswählt.
    Speichern und schließen
    		 Speichert die Einstellungen und schließt das Fenster
    Schritt 4: Regeln aktualisieren
    Schritt 4: Regeln aktualisieren
    Regeln aktualisieren


    Beispiel: Zugriff erlauben

    Der Zugriff aus dem Ausland soll auf ausgewählte Länder beschränkt werden.
    Eine Paketfilter Regel erlaubt den Zugriff aus dem Internet auf das externe Interface mit https.
    Hierfür muss unter Firewall Netzwerkobjekte auf die Schaltfläche Gruppe hinzufügen geklickt werden

    Schritt 1: Anlegen einer Netzwerkgruppe
    Schritt 1: Anlegen einer Netzwerkgruppe
    Beschriftung Wert Beschreibung Netzwerkgruppe hinzufügen UTMbenutzer@firewall.name.fqdnFirewallNetzwerkobjekte UTM v12.6 GeoIP Netzwerkobjekte Gruppe hinzufügen GeoIP-Test.pngNetzwerkgruppe hinzufügen
    Name: GeoIP-Test Aussagekräftiger Name für die Netzwerkgruppe
    Netzwerkobjekte: Map-marked-alt.svgGEOIP:AT (Österreich)
    Map-marked-alt.svgGEOIP:DE (Deutschland)    		 GeoIPs können nun schon ausgewählt werden. Alternativ können die GeoIPs auch im folgenden Schritt hinzugefügt werden.
    + Objekt hinzufügen Öffnet den Dialog um ein Netzwerkobjekt hinzuzufügen
    Speichern und schließen
    		 Speichert die Einstellungen und schließt das Fenster
    Schritt 2: Übersicht Netzwerkgruppen
    Schritt 2: Übersicht Netzwerkgruppen
    Öffnet das Bearbeitungsfenster erneut und es können z.B. weitere Regionen hinzugefügt werden. Netzwerkobjekte UTMbenutzer@firewall.name.fqdnFirewall Regeln aktualisieren UTM v12.6 GeoIP Netzwerkobjekte AT angezeigt.pngÜbersicht Netzwerkgruppen
    Netzwerkobjekte: GEOIP:AT GEOIP:DE Zeigt das Netzwerkobjekt rechts an inkl. Adresse und Zone.
  • Soll die Outlook-App für iOS oder Android von Microsoft verwendet werden, muss hier ggf. zusätzlich der Zugriff aus weiteren Quellen (z.Zt.:USA) erlaubt werden.
    • Schritt 3: Bestehende Regel bearbeiten
    Schritt 3: Bestehende Regel bearbeiten
    Unter Firewall Paketfilter  Schaltfläche Regel hinzufügen eine neue Regel anlegen oder eine bestehende bearbeiten Regel hinzufügen UTMbenutzer@firewall.name.fqdnFirewallPaketfilter UTM v12.6 GeoIP Paketfilterregel Accept.pngPaketfilter Regel hinzufügen
    Quelle: Map-marked-alt-custom-multiple.svg GeoIP-Test Im Dropdown-Menü im Abschnitt GeoIP Netzwerkgruppen die gewünschte Gruppe auswählen
    Ziel: Interface.svg external-interface Schnittstelle, auf der die zu erlaubenden Pakete ankommen
    Dienst: Tcp.svg https Dienst oder Dienstgruppe, der bzw. die erlaubt werden soll
    Aktion: ACCEPT Lässt die Pakete durch
    Logging: SHORT Gewünschtes Logging wählen
    Gruppe default Auswahl aus voreingestellten Gruppen, welche z.B. alle Länder eines Kontinents auswählt.
    Speichern und schließen
    		 Speichert die Einstellungen und schließt das Fenster
    Schritt 4: Regeln aktualisieren
    Schritt 4: Regeln aktualisieren
    Regeln aktualisieren


    Datenbank-Update per CLI

  • Das System aktualisiert regelmäßig die Geo-IP Datenbanken automatisch.

    • Der Status der Datenbank kann abgefragt werden mit dem Befehl:
    geolocation info 

    cli> geolocation info
attribute          |value
-------------------+-----
IP4 Database Status|need update
IP4 Last Update    |2023-02-14 09:36:22.060000000 +0100
IP6 Database Status|need update
IP6 Last Update    |2023-02-14 09:36:22.700000000 +0100

    Die Meldung need update erscheint, wenn es ein Update zur Verfügung steht.

    Ein Update der Datenbank erfolgt mit dem CLI-Befehl:
    geolocation update Achtung: Die Statusmeldung erfolgt mit einer kleinen Verzögerung von wenigen Sekunden. 

    cli> geolocation update
OK
cli> geolocation info
attribute          |value
-------------------+-----
IP4 Database Status|ok   
IP4 Last Update    |2023-03-26 07:54:29.339700632 +0200
IP6 Database Status|ok   
IP6 Last Update    |2023-03-26 07:54:29.899700632 +0200

    Potentiell gefährliche IPs sperren

    Unabhängig von der geographischen Zuordnung einer IP können über die Cyber Defence Cloud IPs gesperrt werden, die als potentiell bedrohlich erkannt wurden:
    Aktivierung unter Anwendungen IDS/IPS  Bereich Cyber Defence Cloud Schaltfläche Verbindung protokollieren und blockieren: Ja

    notempty
    Diese Einstellung ist per Default nicht aktiviert, da die UTM keine Sperrungen durchführt, die nicht ausdrücklich gewollt sind!
    Abgerufen von „https://wiki.securepoint.de/index.php?title=UTM/GeoIP&oldid=94474