Wechseln zu:Navigation, Suche
Wiki

GeoIPs verwenden

Aus Securepoint Wiki





notempty
Dieser Artikel bezieht sich auf eine nicht mehr aktuelle Version!

notempty
Der Artikel für die neueste Version steht hier

notempty
Zu diesem Artikel gibt es bereits eine neuere Version, die sich allerdings auf eine Reseller-Preview bezieht























































| Add a network group for GeoIPs to be given access in the networkgroups section with the Add Group button. }}







{{var | Einrichten weiterer Zonen für GeoIP-Gui--desc | Unter → Firewall →PortfilterReiter Netzwerkobjekte Schaltfläche Objekt hinzufügen kann ein Netzwerkobjekt vom Typ GeoIP hinzugefügt werden.
Dabei muss die Zone angegeben werden, in der diese Objekte liegen sollen.
Ein Präfix ist optional möglich.
Siehe auch Wiki: Portfilter / Netzwerkobjekte erstellen | Under → Firewall →PortfilterReiter Network Objects Schaltfläche Add Object o new network object of type GeoIP can be added. The zone in which these objects are to be located must be specified.
A prefix is optionally possible.
See also Wiki: Portfilter / Create network objects





















Thumbnail for

Video laden
Vimeo
Anleitung als Kurz-Video






Konfiguration von Zugriffen mittels Geo-IP auf der UTM steuern
Letzte Anpassung zur Version: 12.3.6
Neu:
  • Update der Geo-IP Datenbanken per CLI
  •  Mit der Verison 12.3.6 wurde ein Fehler behoben, der zu Problemen beim Update der Geo-IP Datenbanken führen konnte
notempty
Dieser Artikel bezieht sich auf eine Resellerpreview

12.2.3 12.2.2

Aufruf: UTM-IP:Port oder UTM-URL:Port
Port wie unter Netzwerk / Servereinstellungen / Webserver konfiguriert
Default-Port: 11115
z.B.: https://utm.ttt-point.de:11115
Default: https://192.168.175.1:11115 → Firewall →Portfilter


  • IP-Adressen können über die zugehörigen IP-Netze und den Organisationen und Institutionen, denen diese zugewiesen sind, einem Land zugeordnet werden.

    Für jedes Land existiert in der UTM dafür eine GeoIP, in der diese Zuweisungen gespeichert werden.

    Diese Datenbank wird regelmäßig unabhängig von der Firmware aktualisiert.
    IPs, die von der Datenbank nicht erfasst werden, werden von den Regeln nicht berücksichtigt. Die UTM prüft wöchentlich (oder per CLI bei Bedarf) , ob eine neue Datenbank vorliegt.
      

    Die GeoIPs werden von der UTM dabei wie Netzwerkobjekte der Zone external behandelt. → weitere Zonen

  • Der tatsächliche Standort eines Hosts kann von der Zuordnung abweichen oder z.B. durch einen VPN Tunnel nicht ersichtlich sein!


    • Systemweites Blocking

    Unter → Firewall →Implizite Regeln lassen sich Regionen systemweit als Quelle oder Ziel blockieren

    Diese Einstellungen gelten systemweit in allen Zonen und werden vor den Portfilter-Regeln angewendet!
    Aktiv Gruppe/Regel Beschreibung UTM v12.2.3 Implizite Regeln-GeoIP.png
    Dialog Implizite Regeln
    Ein GeoIP Aktiviert die GeoIP Einstellungen sowohl für Quellen, als auch für Ziele
    Ein DropSource Aktiviert die GeoIP Einstellungen für abgelehnte Quellen
    Ein DropDestination Aktiviert die GeoIP Einstellungen für abgelehnte Ziele

    GeoIP Einstellungen
    Beschriftung Wert Beschreibung
    Systemweit abgelehnte Quellen: ×BX (Beliebiges Beispiel) In der Klickbox können Länder ausgewählt werden, die als Quellen blockiert werden sollen.
    Ausnahmen (Quellen): ×IP-Adresse Hier können Ausnahmen für systemweit abgelehnte Quellen definiert werden.
    Systemweit abgelehnte Ziele: ×BX (Beliebiges Beispiel) In der Klickbox können Länder ausgewählt werden, die als Ziele blockiert werden sollen.
    Damit werden Zugriffe über Browser ebenso unterbunden, wie z.B. nachgeladener Schadcode.
    Ausnahmen (Ziele): ×IP-Adresse Hier können Ausnahmen für systemweit abgelehnte Ziele definiert werden.


    GeoIP-basierte Portfilter Regeln

    Bestimmten Regionen soll der Zugriff auf bestimmte Ports verwehrt werden.
    Hier: Keine Mails aus der Antarktis

    GeoIPs haben per Default die Zone external

    Einrichten weiterer Zonen für GeoIP

    Dialog für Netzwerkobjekt GeoIP

    Liegt die Schnittstelle mit dem Internetzugang in einer anderen Zone oder steht an mehreren Schnittstellen mit weiteren Zonen ein Internetzugang bereit, müssen GeoIP-Netzwerkobjekte dort ebenfalls zur Verfügung stehen.



    Alternativ geschieht dies mit einem CLI-Befehl.

    node geoip generate zone <zone> name <prefix>

    Der Prefixname ist optional, die Zone muss bereits existieren.

    Beispiel: node geoip generate zone external2 name EXT2_

    Dieser Befehl erzeugt für jede Region ein zusätzliches Netzwerkobjekt in der Zone external2.
    Für Deutschland hieße das dann EXT2_GEOIP:DE

  • Achtung: Dieser Befehl legt ca. 250 neue Netzwerkobjekte an



    • Beispiel: Blocking

    Bestimmten Regionen soll der Zugriff auf bestimmte Ports verwehrt werden.
    Hier: Keine Mails aus der Antarktis

    Schritt 1: Anlegen einer Netzwerkgruppe
    Schritt 1: Anlegen einer Netzwerkgruppe
    Beschriftung Wert Beschreibung UTM v12.2.2 Netzwerkobjekte Gruppe hinzufügen.png
    Hinzufügen einer Netzwerkgruppe für GeoIPs, die blockiert werden sollen im Abschnitt Netzwerkgruppen mit der Schaltfläche Gruppe hinzufügen
    Name: Geo-Blocking-Mail Aussagekräftiger Name für die Netzwerkgruppe
    Speichern
    Schritt 2: GeoIPs hinzufügen
    Schritt 2: GeoIPs hinzufügen
    Geo-Blocking-Mail Zeigt die Netzwerkobjekte in der Gruppe an. UTM v12.2.2 Netzwerkobjekte GeoIP.png
    Netzwerkobjekte ant Suchtext für gewünschtes Land
    Zu Gruppe hinzufügen Map-marked-alt.svg GEOIP:XY Fügt die Region der Gruppe hinzu
    Hovern über dem Icon zeigt den vollständigen Namen an
    Schritt 3: Portfilter Regel hinzufügen
    Schritt 3: Portfilter Regel hinzufügen
    Neue Portfilter Regel anlegen unter → Firewall →PortfilterReiter Portfilter mit der Schaltfläche Regel hinzufügen UTM v12.2.2 Portfilteregel Block.png
    Quelle: Map-marked-alt-custom-multiple.svg Geo-Blocking-Mail Im Dropdown-Menü im Abschnitt GeoIP Netzwerkgruppen die gewünschte Gruppe auswählen
    Ziel: Interface.svg external-interface Schnittstelle, auf der die zu blockierende Pakete ankommen
    Dienst: Tcp.svg smtp Dienst oder Dienstgruppe, der bzw. die blockiert werden soll
    Aktion: DROP Verwirft die Pakete
    Logging: SHORT Gewünschtes Logging wählen
    Gruppe: default Gewünschte Gruppe wählen
    Hinzufügen und schließen
    Schritt 4: Regeln aktualisieren
    Schritt 4: Regeln aktualisieren
    Regeln aktualisieren


    Beispiel: Zugriff erlauben

    Der Zugriff aus dem Ausland soll auf ausgewählte Länder beschränkt werden.
    Eine Portfilter Regel erlaubt den Zugriff aus dem Internet auf das externe Interface mit https.
    Hierfür muss unter → Firewall →PortfilterReiter Netzwerkobjekte auf die Schaltfläche Gruppe hinzufügen geklickt werden

    Schritt 1: Anlegen einer Netzwerkgruppe
    Schritt 1: Anlegen einer Netzwerkgruppe
    Beschriftung Wert Beschreibung UTM v12.3.5 Firewall Portfilter Netzwerkgruppe hinzufügen GeoIP.png
    Name: GeoIP-Test Aussagekräftiger Name für die Netzwerkgruppe
    Netzwerkobjekte: Map-marked-alt.svg GEOIP:AT
    Map-marked-alt.svg GEOIP:DE    		 GeoIPs können nun schon ausgewählt werden. Alternativ können die GeoIPs auch im folgenden Schritt hinzugefügt werden.
    Speichern Speichert die Einstellungen
    Schritt 2: GeoIPs hinzufügen
    Schritt 2: GeoIPs hinzufügen
    Zeigt die Netzwerkobjekte in der Gruppe an. UTM v12.3.5 Firewall Portfilter Netzwerkobjekte schw.png
    Netzwerkobjekte schw Suchtext für gewünschtes Land
    Zu Gruppe hinzufügen Map-marked-alt.svg GEOIP:XY Fügt die Region der Gruppe hinzu
    Hovern über dem Icon zeigt den vollständigen Namen an
    Soll die Outlook-App für iOS oder Android von Microsoft verwendet werden, muss hier ggf. zusätzlich der Zugriff aus weiteren Quellen (z.Zt.:USA) erlaubt werden.
    Die Outlook-App von Microsoft baut keine direkte Verbindung auf, sondern leitet den gesamten Verkehr über Microsoft-Server. Deren Standort ist (Stand 08.2022) in den USA.
    Dort werden auch die Zugangsdaten gespeichert!
    Siehe auch https://www.heise.de/mac-and-i/meldung/Microsofts-Outlook-App-schleust-E-Mails-ueber-Fremd-Server-2533240.html
      
    Schritt 3: Bestehende Regel bearbeiten
    Schritt 3: Bestehende Regel bearbeiten
    Unter → Firewall →PortfilterReiter Portfilter mit der Schaltfläche Regel hinzufügen eine neue Regel anlegen oder eine bestehende bearbeiten UTM v12.3.5 Firewall Portfilterregel hinzufügen GeoIP.png
    Quelle: Map-marked-alt-custom-multiple.svg GeoIP-Test Im Dropdown-Menü im Abschnitt GeoIP Netzwerkgruppen die gewünschte Gruppe auswählen
    Ziel: Interface.svg external-interface Schnittstelle, auf der die zu erlaubenden Pakete ankommen
    Dienst: Tcp.svg https Dienst oder Dienstgruppe, der bzw. die erlaubt werden soll
    Aktion: ACCEPT Lässt die Pakete durch
    Logging: SHORT Gewünschtes Logging wählen
    Gruppe: default Gewünschte Gruppe wählen
    Speichern
    Schritt 4: Regeln aktualisieren
    Schritt 4: Regeln aktualisieren
    Regeln aktualisieren


    Datenbank-Update per CLI

  • Das System aktualisiert regelmäßig die Geo-IP Datenbanken automatisch.

    • Mit der Verison 12.3.6 wurde ein Fehler behoben, der zu Problemen beim Update der Geo-IP Datenbanken führen konnte

    Der Status der Datenbank kann abgefragt werden mit dem Befehl:
    geolocation info 

    cli> geolocation info
attribute          |value
-------------------+-----
IP4 Database Status|need update
IP4 Last Update    |2023-02-14 09:36:22.060000000 +0100
IP6 Database Status|need update
IP6 Last Update    |2023-02-14 09:36:22.700000000 +0100

    Die Meldung need update erscheint, wenn es ein Update zur Verfügung steht.

    Ein Update der Datenbank erfolgt mit dem CLI-Befehl:
    geolocation update Achtung: Die Statusmeldung erfolgt mit einer kleinen Verzögerung von wenigen Sekunden. 

    cli> geolocation update
OK
cli> geolocation info
attribute          |value
-------------------+-----
IP4 Database Status|ok   
IP4 Last Update    |2023-03-26 07:54:29.339700632 +0200
IP6 Database Status|ok   
IP6 Last Update    |2023-03-26 07:54:29.899700632 +0200

    Potentiell gefährliche IPs sperren

    Unabhängig von der geographischen Zuordnung einer IP können über die Cyber Defence Cloud IPs gesperrt werden, die als potentiell bedrohlich erkannt wurden:
    Aktivierung unter → Anwendungen →IDS/IPSReiter Cyber Defence Cloud Schaltfläche Verbindungen protokollieren und blockieren

    Diese Einstellung ist per Default nicht aktiviert, da die UTM keine Sperrungen durchführt, die nicht ausdrücklich gewollt sind!
    Abgerufen von „https://wiki.securepoint.de/index.php?title=UTM/GeoIP_v12.3&oldid=85851