UTM/GeoIP v12.6: Unterschied zwischen den Versionen

Aktuelle Version vom 23. Mai 2024, 10:54 Uhr

notempty

Dieser Artikel bezieht sich auf eine nicht mehr aktuelle Version!

notempty

Der Artikel für die neueste Version steht hier

notempty

Zu diesem Artikel gibt es bereits eine neuere Version, die sich allerdings auf eine Reseller-Preview bezieht

| Add a network group for GeoIPs to be given access in the networkgroups section with the Add Group button. }}

Thumbnail for — Anleitung als Kurz-Video

Konfiguration von Zugriffen mittels Geo-IP auf der UTM steuern

Letzte Anpassung zur Version: 12.6.0

Neu:

Aktualisierung zum Redesign des Webinterfaces

notempty

Dieser Artikel bezieht sich auf eine Resellerpreview

12.4 12.3 12.2.3 12.2.2

IP-Adressen können über die zugehörigen IP-Netze und den Organisationen und Institutionen, denen diese zugewiesen sind, einem Land zugeordnet werden.

Für jedes Land existiert in der UTM dafür eine GeoIP, in der diese Zuweisungen gespeichert werden.

Diese Datenbank wird regelmäßig unabhängig von der Firmware aktualisiert.

IPs, die von der Datenbank nicht erfasst werden, werden von den Regeln nicht berücksichtigt. Die UTM prüft wöchentlich (oder per CLI bei Bedarf) , ob eine neue Datenbank vorliegt.

Die GeoIPs werden von der UTM dabei wie Netzwerkobjekte der Zone external behandelt. → weitere Zonen

Der tatsächliche Standort eines Hosts kann von der Zuordnung abweichen oder z.B. durch einen VPN Tunnel nicht ersichtlich sein!

Systemweites Blocking

Unter Firewall Implizite Regeln lassen sich Regionen systemweit als Quelle oder Ziel blockieren

notempty

Diese Einstellungen gelten systemweit in allen Zonen und werden vor den Paketfilter-Regeln angewendet!

Regeln Regeln
Aktiv	Gruppe/Regel	Beschreibung	Implizite Regeln UTMbenutzer@firewall.name.fqdnFirewall Dialog: Implizite Regeln
Ein	GeoIP	Aktiviert die GeoIP Einstellungen sowohl für Quellen, als auch für Ziele
Ein	IPGeoBlockingSrc	Aktiviert die GeoIP Einstellungen für abgelehnte Quellen
Ein	IPGeoBlockingDst	Aktiviert die GeoIP Einstellungen für abgelehnte Ziele

GeoIP Einstellungen GeoIP Einstellungen
Beschriftung	Wert	Beschreibung	Dialog: GeoIP Einstellungen
Systemweit abgelehnte Quellen:	BX (Beliebiges Beispiel)	In der Klickbox können Länder ausgewählt werden, die als Quellen blockiert werden sollen.
Gruppe:	Alle	Auswahl aus voreingestellten Gruppen, welche z.B. alle Länder eines Kontinents auswählt.
	+ Hinzufügen	Fügt die Regionen aus der ausgewählten Gruppe hinzu
	- Entfernen	Entfernt die Regionen aus der ausgewählten Gruppe
Ausnahmen (Quellen):	IP-Adresse	Hier können Ausnahmen für systemweit abgelehnte Quellen definiert werden.
Systemweit abgelehnte Ziele:	BX (Beliebiges Beispiel)	In der Klickbox können Länder ausgewählt werden, die als Ziele blockiert werden sollen. Damit werden Zugriffe über Browser ebenso unterbunden, wie z.B. nachgeladener Schadcode.
Ausnahmen (Ziele):	IP-Adresse	Hier können Ausnahmen für systemweit abgelehnte Ziele definiert werden.

GeoIP-basierte Paketfilter Regeln

Bestimmten Regionen soll der Zugriff auf bestimmte Ports verwehrt werden.
Hier: Keine Mails aus der Antarktis

GeoIPs haben per Default die Zone external

Einrichten weiterer Zonen für GeoIP

Netzwerkobjekt hinzufügen UTMbenutzer@firewall.name.fqdnFirewallNetzwerkobjekte Dialog für Netzwerkobjekt GeoIP

Liegt die Schnittstelle mit dem Internetzugang in einer anderen Zone oder steht an mehreren Schnittstellen mit weiteren Zonen ein Internetzugang bereit, müssen GeoIP-Netzwerkobjekte dort ebenfalls zur Verfügung stehen.

Unter Firewall Netzwerkobjekte Schaltfläche Objekt hinzufügen kann ein Netzwerkobjekt vom Typ GeoIP hinzugefügt werden.
Dabei muss die Zone angegeben werden, in der diese Objekte liegen sollen.
Ein Präfix ist optional möglich.
Siehe auch Wiki: Paketfilter / Netzwerkobjekte erstellen

Alternativ geschieht dies mit einem CLI-Befehl.

node geoip generate zone <zone> name <prefix>

Der Prefixname ist optional, die Zone muss bereits existieren.

Beispiel: node geoip generate zone external2 name EXT2_

Dieser Befehl erzeugt für jede Region ein zusätzliches Netzwerkobjekt in der Zone external2.
Für Deutschland hieße das dann EXT2_GEOIP:DE

Achtung: Dieser Befehl legt ca. 250 neue Netzwerkobjekte an

Beispiel: Blocking

Bestimmten Regionen soll der Zugriff auf bestimmte Ports verwehrt werden.
Hier: Keine Mails aus der Antarktis

Schritt 1: Anlegen einer Netzwerkgruppe Schritt 1: Anlegen einer Netzwerkgruppe
Beschriftung	Wert	Beschreibung	Netzwerkgruppe hinzufügen UTMbenutzer@firewall.name.fqdnFirewallNetzwerkobjekte Netzwerkgruppe hinzufügen
Hinzufügen einer Netzwerkgruppe für GeoIPs, die blockiert werden sollen im Abschnitt Netzwerkgruppen mit der Schaltfläche Gruppe hinzufügen
Name:	Geo-Blocking-Mail	Aussagekräftiger Name für die Netzwerkgruppe
Netzwerkobjekte:	GEOIP:AQ (Antarktis)	Suchtext für gewünschtes Land
Netzwerkobjekte:	+ Objekt hinzufügen	Öffnet den Dialog um ein Netzwerkobjekt hinzuzufügen
Speichern und schließen		Speichert die Einstellungen und schließt das Fenster

Schritt 2: Übersicht Netzwerkgruppen Schritt 2: Übersicht Netzwerkgruppen
		Öffnet das Bearbeitungsfenster erneut und es können z.B. weitere Regionen hinzugefügt werden.	Netzwerkobjekte UTMbenutzer@firewall.name.fqdnFirewall Regeln aktualisieren Übersicht Netzwerkgruppen
		Löscht die Netzwerkgruppe
Netzwerkobjekte:	GEOIP:AQ	Zeigt das Netzwerkobjekt rechts an inkl. Adresse und Zone.

Schritt 3: Paketfilter Regel hinzufügen Schritt 3: Paketfilter Regel hinzufügen
Neue Paketfilter Regel anlegen unter Firewall Paketfilter Schaltfläche Regel hinzufügen			Regel hinzufügen UTMbenutzer@firewall.name.fqdnFirewallPaketfilter Paketfilter Regel hinzufügen
Quelle:	Geo-Blocking-Mail	Im Dropdown-Menü im Abschnitt GeoIP Netzwerkgruppen die gewünschte Gruppe auswählen
Ziel:	external-interface	Schnittstelle, auf der die zu blockierende Pakete ankommen
Dienst:	smtp	Dienst oder Dienstgruppe, der bzw. die blockiert werden soll
Aktion:	DROP	Verwirft die Pakete
Logging:	SHORT	Gewünschtes Logging wählen
Gruppe	default	Auswahl aus voreingestellten Gruppen, welche z.B. alle Länder eines Kontinents auswählt.
Speichern und schließen		Speichert die Einstellungen und schließt das Fenster

Schritt 4: Regeln aktualisieren Schritt 4: Regeln aktualisieren
Regeln aktualisieren

Beispiel: Zugriff erlauben

Der Zugriff aus dem Ausland soll auf ausgewählte Länder beschränkt werden.
Eine Paketfilter Regel erlaubt den Zugriff aus dem Internet auf das externe Interface mit https.
Hierfür muss unter Firewall Netzwerkobjekte auf die Schaltfläche Gruppe hinzufügen geklickt werden

Schritt 1: Anlegen einer Netzwerkgruppe Schritt 1: Anlegen einer Netzwerkgruppe
Beschriftung	Wert	Beschreibung	Netzwerkgruppe hinzufügen UTMbenutzer@firewall.name.fqdnFirewallNetzwerkobjekte Netzwerkgruppe hinzufügen
Name:	GeoIP-Test	Aussagekräftiger Name für die Netzwerkgruppe
Netzwerkobjekte:	GEOIP:AT (Österreich) GEOIP:DE (Deutschland)	GeoIPs können nun schon ausgewählt werden. Alternativ können die GeoIPs auch im folgenden Schritt hinzugefügt werden.
Netzwerkobjekte:	+ Objekt hinzufügen	Öffnet den Dialog um ein Netzwerkobjekt hinzuzufügen
Speichern und schließen		Speichert die Einstellungen und schließt das Fenster

Schritt 2: Übersicht Netzwerkgruppen Schritt 2: Übersicht Netzwerkgruppen
		Öffnet das Bearbeitungsfenster erneut und es können z.B. weitere Regionen hinzugefügt werden.	Netzwerkobjekte UTMbenutzer@firewall.name.fqdnFirewall Regeln aktualisieren Übersicht Netzwerkgruppen
		Löscht die Netzwerkgruppe
Netzwerkobjekte:	GEOIP:AT GEOIP:DE	Zeigt das Netzwerkobjekt rechts an inkl. Adresse und Zone.
Soll die Outlook-App für iOS oder Android von Microsoft verwendet werden, muss hier ggf. zusätzlich der Zugriff aus weiteren Quellen (z.Zt.:USA) erlaubt werden. Die Outlook-App von Microsoft baut keine direkte Verbindung auf, sondern leitet den gesamten Verkehr über Microsoft-Server. Deren Standort ist (Stand 08.2022) in den USA. Dort werden auch die Zugangsdaten gespeichert! Siehe auch https://www.heise.de/mac-and-i/meldung/Microsofts-Outlook-App-schleust-E-Mails-ueber-Fremd-Server-2533240.html

Schritt 3: Bestehende Regel bearbeiten Schritt 3: Bestehende Regel bearbeiten
Unter Firewall Paketfilter Schaltfläche Regel hinzufügen eine neue Regel anlegen oder eine bestehende bearbeiten			Regel hinzufügen UTMbenutzer@firewall.name.fqdnFirewallPaketfilter Paketfilter Regel hinzufügen
Quelle:	GeoIP-Test	Im Dropdown-Menü im Abschnitt GeoIP Netzwerkgruppen die gewünschte Gruppe auswählen
Ziel:	external-interface	Schnittstelle, auf der die zu erlaubenden Pakete ankommen
Dienst:	https	Dienst oder Dienstgruppe, der bzw. die erlaubt werden soll
Aktion:	ACCEPT	Lässt die Pakete durch
Logging:	SHORT	Gewünschtes Logging wählen
Gruppe	default	Auswahl aus voreingestellten Gruppen, welche z.B. alle Länder eines Kontinents auswählt.
Speichern und schließen		Speichert die Einstellungen und schließt das Fenster
Schritt 4: Regeln aktualisieren Schritt 4: Regeln aktualisieren
Regeln aktualisieren

Datenbank-Update per CLI

Das System aktualisiert regelmäßig die Geo-IP Datenbanken automatisch.

Der Status der Datenbank kann abgefragt werden mit dem Befehl:
geolocation info

cli> geolocation info
attribute          |value
-------------------+-----
IP4 Database Status|need update
IP4 Last Update    |2023-02-14 09:36:22.060000000 +0100
IP6 Database Status|need update
IP6 Last Update    |2023-02-14 09:36:22.700000000 +0100

Die Meldung need update erscheint, wenn es ein Update zur Verfügung steht.

Ein Update der Datenbank erfolgt mit dem CLI-Befehl:
geolocation update Achtung: Die Statusmeldung erfolgt mit einer kleinen Verzögerung von wenigen Sekunden.

cli> geolocation update
OK
cli> geolocation info
attribute          |value
-------------------+-----
IP4 Database Status|ok   
IP4 Last Update    |2023-03-26 07:54:29.339700632 +0200
IP6 Database Status|ok   
IP6 Last Update    |2023-03-26 07:54:29.899700632 +0200

Potentiell gefährliche IPs sperren

Unabhängig von der geographischen Zuordnung einer IP können über die Cyber Defence Cloud IPs gesperrt werden, die als potentiell bedrohlich erkannt wurden:
Aktivierung unter Anwendungen IDS/IPS Bereich Cyber Defence Cloud Schaltfläche Verbindung protokollieren und blockieren: Ja

notempty

Diese Einstellung ist per Default nicht aktiviert, da die UTM keine Sperrungen durchführt, die nicht ausdrücklich gewollt sind!

@@ Zeile 1: / Zeile 1: @@
-{{Archivhinweis|UTM/GeoIP|pre=12.6.0}}
+{{Archivhinweis|UTM/GeoIP|pre=12.7.0}}{{Set_lang}}
-{{Set_lang}}
 {{#vardefine:headerIcon|spicon-utm}}
@@ Zeile 7: / Zeile 6: @@
 		| GeoIPs verwenden
 		| Use GeoIP }}
-{{var3	| head
+{{var	| head
 		| Konfiguration von Zugriffen mittels Geo-IP auf der UTM steuern
 		| Control configuration of access via Geo-IP on the UTM }}
 {{var	| Netzwerkobjekte
 		| Netzwerkobjekte
-		| Network objects }}
+		|  }}
 {{var	| Erklärung
 		| IP-Adressen können über die zugehörigen IP-Netze und den Organisationen und Institutionen, denen diese zugewiesen sind, einem Land zugeordnet werden. <p>Für jedes Land existiert in der UTM dafür eine GeoIP, in der diese Zuweisungen gespeichert werden.</p>
@@ Zeile 38: / Zeile 37: @@
 {{var	| GeoIP-basierte Paketfilter Regeln
 		| GeoIP-basierte Paketfilter Regeln
-		| GeoIP based packet filter rules }}
+		| GeoIP based port filter rules }}
 {{var	| GeoIP-basierte Paketfilter Regeln--desc
 		| Auf Paketfilter Ebene können GeoIPs blockiert oder zugelassen werden<br> GeoIPs lassen sich dazu auch zu Netzwerkgruppen zusammenfassen.
@@ Zeile 47: / Zeile 46: @@
 {{var	| Einrichten weiterer Zonen für GeoIP-Gui--desc
 		| Unter {{Menu-UTM|Firewall|Netzwerkobjekte||Objekt hinzufügen|+}} kann ein Netzwerkobjekt vom Typ {{Button|GeoIP|dr}} hinzugefügt werden.<br>Dabei muss die Zone angegeben werden, in der diese Objekte liegen sollen. <br>Ein Präfix ist optional möglich. <br>Siehe auch [[UTM/RULE/Paketfilter#Netzwerkobjekte_erstellen | Wiki: Paketfilter / Netzwerkobjekte erstellen]]
-		| Under {{Menu-UTM|Firewall|Network Objects||Add Object|+}} o new network object of type {{Button|GeoIP|dr}} can be added. The zone in which these objects are to be located must be specified.<br>A prefix is optionally possible. <br>See also [{{#var:host}}UTM/RULE/Paketfilter#Create_network_objects  Wiki: Packet filter/ Create network objects] }}
+		| Under {{Menu-UTM|Firewall|Network Objects||Add Object|+}} o new network object of type {{Button|GeoIP|dr}} can be added. The zone in which these objects are to be located must be specified.<br>A prefix is optionally possible. <br>See also [{{#var:host}}UTM/RULE/Paketfilter#Create_network_objects  Wiki: Paketfilter/ Create network objects] }}
 {{var	| Einrichten weitere Zonen für GeoIP-cli--desc
 		| Alternativ geschieht dies mit einem CLI-Befehl.
@@ Zeile 77: / Zeile 76: @@
 {{var	| Netzwerkgruppe hinzufügen
 		| Netzwerkgruppe hinzufügen
-		| Add network group }}
+		|  }}
 {{var	| Gruppe hinzufügen--desc
 		| Hinzufügen einer Netzwerkgruppe für GeoIPs, die blockiert werden sollen im Abschnitt {{Kasten|Netzwerkgruppen|grau}} mit der Schaltfläche {{Button|Gruppe hinzufügen|addfolder}}
@@ Zeile 107: / Zeile 106: @@
 {{var	| Speichern und schließen
 		| Speichern und schließen
-		| Save and close }}
+		|  }}
 {{var	| SpeichernSchließen--desc
 		| Speichert die Einstellungen und schließt das Fenster
-		| Saves the settings and closes the window }}
+		|  }}
 {{var	| GeoIP Schritt 2
 		| Schritt 2: Übersicht Netzwerkgruppen
@@ Zeile 122: / Zeile 121: @@
 {{var	| Übersicht Netzwerkgruppen
 		| Übersicht Netzwerkgruppen
-		| Overview network groups }}
+		|  }}
 {{var	| Regeln aktualisieren
 		| Regeln aktualisieren
-		| Update rules }}
+		|  }}
-{{var	| Papierkorb--desc
+{{var	| Mültonne--desc
 		| Löscht die Netzwerkgruppe
 		| Deletes the network group }}
@@ Zeile 134: / Zeile 133: @@
 {{var	| GeoIP Schritt 3
 		| Schritt 3: Paketfilter Regel hinzufügen
-		| Step 3: Add Packet filter rules }}
+		| Step 3: Add Paketfilter rules }}
 {{var	| GeoIP Schritt 3--desc
 		| Neue Paketfilter Regel anlegen unter {{Menu-UTM|Firewall|Paketfilter||Regel hinzufügen|+|mit=true}}
-		| Create a new packet filter rule under {{Menu-UTM|Firewall|Packet filter||Add rule|+|mit=true}} }}
+		| Create a new port filter rule under {{Menu-UTM|Firewall|Packetfilter||Add rule|+|mit=true}} }}
 {{var	| GeoIP Schritt 3--Bild
 		| UTM v12.6 GeoIP Paketfilterregel Block.png
@@ Zeile 143: / Zeile 142: @@
 {{var	| Paketfilter Regel hinzufügen
 		| Paketfilter Regel hinzufügen
-		| Add packet filter rule }}
+		|  }}
 {{var	| Paketfilter
 		| Paketfilter
-		| Packet filter }}
+		| Packetfilter }}
 {{var	| Regel hinzufügen
 		| Regel hinzufügen
-		| Add rule }}
+		|  }}
 {{var	| Quelle
 		| Quelle:
@@ Zeile 225: / Zeile 224: @@
 {{var	| Netzwerkobjekt hinzufügen
 		| Netzwerkobjekt hinzufügen
-		| Add network object }}
+		|  }}
 {{var	| Netzwerkobjekte
 		| Netzwerkobjekte
-		| network object }}
+		|  }}
 {{var	| Aktion-allow--desc
   		| Lässt die Pakete durch
@@ Zeile 285: / Zeile 284: @@
 		| Das System aktualisiert regelmäßig die Geo-IP Datenbanken automatisch.
 		| The system regularly updates the Geo-IP databases automatically. }}
 {{var	| neu-Eigener Reiter
@@ Zeile 314: / Zeile 314: @@
 {{Hinweis-box|{{#var:Globale Einstellung--Hinweis}} }}
 <br clear=all></div>
-{{:UTM/RULE/Implizite_Regeln-GeoIP}}
+{{:UTM/RULE/Implizite_Regeln-GeoIP_v12.6}}

Aktuelle Version vom 23. Mai 2024, 10:54 Uhr

Systemweites Blocking

Regeln

GeoIP Einstellungen

GeoIP-basierte Paketfilter Regeln

Einrichten weiterer Zonen für GeoIP

Beispiel: Blocking

Schritt 1: Anlegen einer Netzwerkgruppe

Schritt 2: Übersicht Netzwerkgruppen

Schritt 3: Paketfilter Regel hinzufügen

Schritt 4: Regeln aktualisieren

Beispiel: Zugriff erlauben

Schritt 1: Anlegen einer Netzwerkgruppe

Schritt 2: Übersicht Netzwerkgruppen

Schritt 3: Bestehende Regel bearbeiten

Schritt 4: Regeln aktualisieren

Datenbank-Update per CLI

Potentiell gefährliche IPs sperren