UTM/GeoIP v12.6: Unterschied zwischen den Versionen

Version vom 25. August 2022, 11:19 Uhr

Anleitung als Kurz-Video

Konfiguration von Zugriffen mittels Geo-IP auf der UTM steuern

Neuer Artikel zur Version: 12.2.3

Neu:

notempty

Dieser Artikel bezieht sich auf eine Resellerpreview

12.2.2

IP-Adressen können über die zugehörigen IP-Netze und den Organisationen und Institutionen, denen diese zugewiesen sind, einem Land zugeordnet werden.

Für jedes Land existiert in der UTM dafür eine GeoIP, in der diese Zuweisungen gespeichert werden.

Diese Datenbank wird regelmäßig unabhängig von der Firmware aktualisiert.

IPs, die von der Datenbank nicht erfasst werden, werden von den Regeln nicht berücksichtigt. Die UTM prüft wöchentlich (oder per CLI bei Bedarf) , ob eine neue Datenbank vorliegt.

Die GeoIPs werden von der UTM dabei wie Netzwerkobjekte der Zone external behandelt. → weitere Zonen

Der tatsächliche Standort eines Hosts kann von der Zuordnung abweichen oder z.B. durch einen VPN Tunnel nicht ersichtlich sein!

Systemweites Blocking

Unter Firewall Implizite Regeln lassen sich Regionen systemweit als Quelle oder Ziel blockieren

Diese Einstellungen gelten systemweit in allen Zonen und werden vor den Paketfilter-Regeln angewendet!

GeoIP
Beschriftung	Wert	Beschreibung	Implizite Regeln UTMbenutzer@firewall.name.fqdn Firewall GeoIP
GeoIP	AlleEinigeKeine	Aktivierungsstatus der Regeln innerhalb der Kachel
IPGeoBlockingSrc	Ein	Aktiviert die GeoIP Einstellungen für abgelehnte Quellen
IPGeoBlockingDst	Ein	Aktiviert die GeoIP Einstellungen für abgelehnte Ziele
Quellen
Systemweit abgelehnte Quellen:	BX (Beliebiges Beispiel)	In der Klickbox können Länder ausgewählt werden, die als Quellen blockiert werden sollen.
Gruppe:	Alle	Auswahl aus voreingestellten Gruppen, welche z.B. alle Länder eines Kontinents auswählt.
	+ Hinzufügen	Fügt die Regionen aus der ausgewählten Gruppe hinzu
	- Entfernen	Entfernt die Regionen aus der ausgewählten Gruppe
Ausnahmen:	IP-Adresse	Hier können Ausnahmen für systemweit abgelehnte Quellen definiert werden.
Ziele
Systemweit abgelehnte Ziele:	BX (Beliebiges Beispiel)	In der Klickbox können Länder ausgewählt werden, die als Ziele blockiert werden sollen. Damit werden Zugriffe über Browser ebenso unterbunden, wie z.B. nachgeladener Schadcode.
Ausnahmen:	IP-Adresse	Hier können Ausnahmen für systemweit abgelehnte Ziele definiert werden.

GeoIPs haben per Default die Zone external

Einrichten weiterer Zonen für GeoIP

Dialog für Netzwerkobjekt GeoIP

Liegt die Schnittstelle mit dem Internetzugang in einer anderen Zone oder steht an mehreren Schnittstellen mit weiteren Zonen ein Internetzugang bereit, müssen GeoIP-Netzwerkobjekte dort ebenfalls zur Verfügung stehen.

Unter Firewall Netzwerkobjekte Schaltfläche Objekt hinzufügen kann ein Netzwerkobjekt vom Typ GeoIP hinzugefügt werden.
Dabei muss die Zone angegeben werden, in der diese Objekte liegen sollen.
Ein Präfix ist optional möglich.
Siehe auch Wiki: Paketfilter / Netzwerkobjekte erstellen

Alternativ geschieht dies mit einem CLI-Befehl.

node geoip generate zone <zone> name <prefix>

Der Prefixname ist optional, die Zone muss bereits existieren.

Beispiel: node geoip generate zone external2 name EXT2_

Dieser Befehl erzeugt für jede Region ein zusätzliches Netzwerkobjekt in der Zone external2.
Für Deutschland hieße das dann EXT2_GEOIP:DE

Achtung: Dieser Befehl legt ca. 250 neue Netzwerkobjekte an

Schritt 1: Anlegen einer Netzwerkgruppe Schritt 1: Anlegen einer Netzwerkgruppe
Beschriftung	Wert	Beschreibung
Hinzufügen einer Netzwerkgruppe für GeoIPs, die blockiert werden sollen im Abschnitt Netzwerkgruppen mit der Schaltfläche Gruppe hinzufügen
Name:		Aussagekräftiger Name für die Netzwerkgruppe
Speichern

Schritt 2: Übersicht Netzwerkgruppen Schritt 2: Übersicht Netzwerkgruppen
→
Netzwerkobjekte		Suchtext für gewünschtes Land
	GEOIP:XY

Schritt 3: Paketfilter Regel hinzufügen Schritt 3: Paketfilter Regel hinzufügen
Neue Paketfilter Regel anlegen unter Firewall Paketfilter Schaltfläche Regel hinzufügen
Quelle:	Geo-Blocking-Mail	Im Dropdown-Menü im Abschnitt GeoIP Netzwerkgruppen die gewünschte Gruppe auswählen
Ziel:	external-interface	Schnittstelle, auf der die zu blockierende Pakete ankommen
Dienst:	smtp	Dienst oder Dienstgruppe, der bzw. die blockiert werden soll
Aktion:	DROP	Verwirft die Pakete
Logging:	SHORT	Gewünschtes Logging wählen
Gruppe	default	Auswahl aus voreingestellten Gruppen, welche z.B. alle Länder eines Kontinents auswählt.
Hinzufügen und schließen
Schritt 4: Regeln aktualisieren Schritt 4: Regeln aktualisieren
Regeln aktualisieren

Beispiel: Zugriff erlauben

Der Zugriff aus dem Ausland soll auf ausgewählte Länder beschränkt werden.
Eine Paketfilter Regel erlaubt den Zugriff aus dem Internet auf das externe Interface mit https.
Hierfür muss unter auf die Schaltfläche Gruppe hinzufügen geklickt werden

Schritt 1: Anlegen einer Netzwerkgruppe Schritt 1: Anlegen einer Netzwerkgruppe
Beschriftung	Wert	Beschreibung

Name:		Aussagekräftiger Name für die Netzwerkgruppe
Speichern

Schritt 2: Übersicht Netzwerkgruppen Schritt 2: Übersicht Netzwerkgruppen
→
Netzwerkobjekte		Suchtext für gewünschtes Land
	GEOIP:XY
Soll die Outlook-App für iOS oder Android von Microsoft verwendet werden, muss hier ggf. zusätzlich der Zugriff aus weiteren Quellen (z.Zt.:USA) erlaubt werden. Die Outlook-App von Microsoft baut keine direkte Verbindung auf, sondern leitet den gesamten Verkehr über Microsoft-Server. Deren Standort ist (Stand 08.2022) in den USA. Dort werden auch die Zugangsdaten gespeichert! Siehe auch https://www.heise.de/mac-and-i/meldung/Microsofts-Outlook-App-schleust-E-Mails-ueber-Fremd-Server-2533240.html
Schritt 3: Bestehende Regel bearbeiten Schritt 3: Bestehende Regel bearbeiten
Unter Firewall Paketfilter Schaltfläche Regel hinzufügen eine neue Regel anlegen oder eine bestehende bearbeiten
Quelle:		Im Dropdown-Menü im Abschnitt GeoIP Netzwerkgruppen die gewünschte Gruppe auswählen
Ziel:	external-interface	Schnittstelle, auf der die zu erlaubenden Pakete ankommen
Dienst:	https	Dienst oder Dienstgruppe, der bzw. die erlaubt werden soll
Aktion:	ACCEPT	Lässt die Pakete durch
Logging:	SHORT	Gewünschtes Logging wählen
Gruppe	default	Auswahl aus voreingestellten Gruppen, welche z.B. alle Länder eines Kontinents auswählt.
Speichern
Schritt 4: Regeln aktualisieren Schritt 4: Regeln aktualisieren
Regeln aktualisieren

Potentiell gefährliche IPs sperren

Unabhängig von der geographischen Zuordnung einer IP können über die Cyber Defence Cloud IPs gesperrt werden, die als potentiell bedrohlich erkannt wurden:
Aktivierung unter Anwendungen IDS/IPS Bereich Cyber Defence Cloud Schaltfläche Verbindung protokollieren und blockieren: Ja

Diese Einstellung ist per Default nicht aktiviert, da die UTM keine Sperrungen durchführt, die nicht ausdrücklich gewollt sind!

@@ Zeile 6: / Zeile 6: @@
 </div>{{Select_lang}}{{TOC2|cap={{#ev:vimeo|https://vimeo.com/685607720||| {{#var:Video-Anleitung}} }} }}
 {{Header|12.2.3|
+* {{#var:neu--Ausnahmen}}
 * {{#var:neu--Netzwerkobjekte per GUI}}
+* {{#var:neu--Hinweis Outlook-App}}
 |[[UTM/GeoIP_v12.2.2|12.2.2]]
 |new=true}}
@@ Zeile 27: / Zeile 29: @@
 === {{#var:GeoIP-basierte Portfilter Regeln}} ===
+<div class="Einrücken">
 {{#var:Portfilter basierte Blockade--desc}}
 <li class="list--element__alert list--element__hint">{{#var:GeoIP--Zone}}</li>
@@ Zeile 32: / Zeile 35: @@
 ==== {{#var:Einrichten weiterer Zonen für GeoIP}} ====
 <div class="Einrücken">
+{{pt3| {{#var:Einrichten weiterer Zonen für GeoIP--Bild}} | {{#var:Einrichten weiterer Zonen für GeoIP--cap}} }}
 {{#var:Einrichten weitere Zonen für GeoIP--desc}}
@@ Zeile 42: / Zeile 46: @@
 <li class="list--element__alert list--element__warning">{{#var:CLI-Befehl anzeigen--Warnung}}</li>
 </div></span></div></div>
+<br clear=all>
 ==== {{#var:Portfilter basierte Blockade}} ====
@@ Zeile 130: / Zeile 135: @@
 | class=mw13 | {{Button||+}} <span class=Hover>{{#var:Zu Gruppe hinzufügen}}</span>|| {{ic|GEOIP:''XY''|icon={{spc|geoip|o|-}}|class=available }} || {{#var:Zu Gruppe hinzufügen--desc}}
 |- class="Leerzeile"
-|
+| colspan="3" |  <li class="list--element__alert list--element__warning">{{#var:Hinweis Outlook-App über USA}}{{info|{{#var:Hinweis Outlook-App über USA--info}} }}</li>
 |- class="Leerzeile"
 | colspan="3" | {{h5| {{#var:GeoIP-allow Schritt 3}} | {{#var:GeoIP-allow Schritt 3}} }}
@@ Zeile 139: / Zeile 144: @@
 | {{b|{{#var:Quelle}} }} || {{ic|{{#var:Geo-allow}}|dr|icon={{spc|geoips|o|-}}|iconborder=none|class=max-content }} || {{#var:GeoIP-Quelle--desc}}
 |-
-| {{b|{{#var:Ziel}} }} || {{ic|external-interface|dr|icon={{spc|interface|o|-}} |iconborder=none|class=available}} || {{#var:Ziel--desc}}
+| {{b|{{#var:Ziel}} }} || {{ic|external-interface|dr|icon={{spc|interface|o|-}} |iconborder=none|class=available}} || {{#var:Ziel--allow--desc}}
 |-
-| {{b|{{#var:Dienst}} }} || {{ic|https|dr|icon={{spc|tcp|o|-}}|iconborder=none |class=mw12}} || {{#var:Dienst--desc}}
+| {{b|{{#var:Dienst}} }} || {{ic|https|dr|icon={{spc|tcp|o|-}}|iconborder=none |class=mw12}} || {{#var:Dienst--allow--desc}}
 |-
 | {{b|{{#var:Aktion}} }} || {{Button|ACCEPT|dr|class=available}} || {{#var:Aktion-allow--desc}}
@@ Zeile 158: / Zeile 163: @@
 |
 |}
+</div>
 === {{#var:Potentiell gefährliche IPs sperren}} ===

Version vom 25. August 2022, 11:19 Uhr

Systemweites Blocking

GeoIP

Einrichten weiterer Zonen für GeoIP

Schritt 1: Anlegen einer Netzwerkgruppe

Schritt 2: Übersicht Netzwerkgruppen

Schritt 3: Paketfilter Regel hinzufügen

Schritt 4: Regeln aktualisieren

Beispiel: Zugriff erlauben

Schritt 1: Anlegen einer Netzwerkgruppe

Schritt 2: Übersicht Netzwerkgruppen

Schritt 3: Bestehende Regel bearbeiten

Schritt 4: Regeln aktualisieren

Potentiell gefährliche IPs sperren