Wechseln zu:Navigation, Suche
Wiki
KKeine Bearbeitungszusammenfassung
KKeine Bearbeitungszusammenfassung
Zeile 4: Zeile 4:
{{:UTM/GeoIP.lang}}
{{:UTM/GeoIP.lang}}


</div>{{Select_lang}}{{TOC2|cap={{#ev:vimeo|https://vimeo.com/685607720||| {{#var:Video-Anleitung}} }} }}
</div>{{Select_lang}}{{TOC2|cap={{#ev:vimeo|https://vimeo.com/685607720||| {{#var:Video-Anleitung}} |cover=Video GeoIP.png}} }}
{{Header|12.2.3|
{{Header|12.2.3|
* {{#var:neu--Ausnahmen}}
* {{#var:neu--Ausnahmen}}

Version vom 1. November 2022, 14:58 Uhr





























De.png
En.png
Fr.png








Konfiguration von Zugriffen mittels Geo-IP auf der UTM steuern
Letzte Anpassung zur Version: 12.2.3
Neu:
notempty
Dieser Artikel bezieht sich auf eine Resellerpreview

12.2.2


  • IP-Adressen können über die zugehörigen IP-Netze und den Organisationen und Institutionen, denen diese zugewiesen sind, einem Land zugeordnet werden.

    Für jedes Land existiert in der UTM dafür eine GeoIP, in der diese Zuweisungen gespeichert werden.

    Diese Datenbank wird regelmäßig unabhängig von der Firmware aktualisiert.
    IPs, die von der Datenbank nicht erfasst werden, werden von den Regeln nicht berücksichtigt. Die UTM prüft wöchentlich (oder per CLI bei Bedarf) , ob eine neue Datenbank vorliegt.

    Die GeoIPs werden von der UTM dabei wie Netzwerkobjekte der Zone external behandelt. → weitere Zonen

  • Der tatsächliche Standort eines Hosts kann von der Zuordnung abweichen oder z.B. durch einen VPN Tunnel nicht ersichtlich sein!

  • Systemweites Blocking

    Unter Firewall Implizite Regeln lassen sich Regionen systemweit als Quelle oder Ziel blockieren

    Diese Einstellungen gelten systemweit in allen Zonen und werden vor den Paketfilter-Regeln angewendet!












































    GeoIP

    Beschriftung Wert Beschreibung Implizite Regeln UTMbenutzer@firewall.name.fqdn Firewall UTM v12.7.0 Firewall Implizite Regeln GeoIP Kachel.pngGeoIP
    GeoIP
    AlleEinigeKeine Aktivierungsstatus der Regeln innerhalb der Kachel
    IPGeoBlockingSrc Ein Aktiviert die GeoIP Einstellungen für abgelehnte Quellen
    IPGeoBlockingDst Ein Aktiviert die GeoIP Einstellungen für abgelehnte Ziele
    Quellen
    Systemweit abgelehnte Quellen: BX (Beliebiges Beispiel) In der Klickbox können Länder ausgewählt werden, die als Quellen blockiert werden sollen.
    Gruppe: Alle Auswahl aus voreingestellten Gruppen, welche z.B. alle Länder eines Kontinents auswählt.
    + Hinzufügen Fügt die Regionen aus der ausgewählten Gruppe hinzu
    - Entfernen Entfernt die Regionen aus der ausgewählten Gruppe
    Ausnahmen: IP-Adresse Hier können Ausnahmen für systemweit abgelehnte Quellen definiert werden.
    Ziele
    Systemweit abgelehnte Ziele: BX (Beliebiges Beispiel) In der Klickbox können Länder ausgewählt werden, die als Ziele blockiert werden sollen.
    Damit werden Zugriffe über Browser ebenso unterbunden, wie z.B. nachgeladener Schadcode.
    Ausnahmen: IP-Adresse Hier können Ausnahmen für systemweit abgelehnte Ziele definiert werden.


  • GeoIPs haben per Default die Zone external
  • Einrichten weiterer Zonen für GeoIP

    Dialog für Netzwerkobjekt GeoIP

    Liegt die Schnittstelle mit dem Internetzugang in einer anderen Zone oder steht an mehreren Schnittstellen mit weiteren Zonen ein Internetzugang bereit, müssen GeoIP-Netzwerkobjekte dort ebenfalls zur Verfügung stehen.

    Unter Firewall Netzwerkobjekte  Schaltfläche Objekt hinzufügen kann ein Netzwerkobjekt vom Typ GeoIP hinzugefügt werden.
    Dabei muss die Zone angegeben werden, in der diese Objekte liegen sollen.
    Ein Präfix ist optional möglich.
    Siehe auch Wiki: Paketfilter / Netzwerkobjekte erstellen

    Alternativ geschieht dies mit einem CLI-Befehl.

    node geoip generate zone <zone> name <prefix>

    Der Prefixname ist optional, die Zone muss bereits existieren.

    Beispiel: node geoip generate zone external2 name EXT2_

    Dieser Befehl erzeugt für jede Region ein zusätzliches Netzwerkobjekt in der Zone external2.
    Für Deutschland hieße das dann EXT2_GEOIP:DE

  • Achtung: Dieser Befehl legt ca. 250 neue Netzwerkobjekte an

  • Schritt 1: Anlegen einer Netzwerkgruppe
    Schritt 1: Anlegen einer Netzwerkgruppe
    Beschriftung Wert Beschreibung UTM v12.6 GeoIP Netzwerkobjekte Gruppe hinzufügen Geo-Mail-Blocking.png
    Hinzufügen einer Netzwerkgruppe für GeoIPs, die blockiert werden sollen im Abschnitt Netzwerkgruppen mit der Schaltfläche Gruppe hinzufügen
    Name:     Aussagekräftiger Name für die Netzwerkgruppe
    Speichern
    Schritt 2: Übersicht Netzwerkgruppen
    Schritt 2: Übersicht Netzwerkgruppen
    UTM v12.6 GeoIP Netzwerkobjekte AQ angezeigt.png
    Netzwerkobjekte     Suchtext für gewünschtes Land
    Map-marked-alt.svg GEOIP:XY
    Schritt 3: Paketfilter Regel hinzufügen
    Schritt 3: Paketfilter Regel hinzufügen
    Neue Paketfilter Regel anlegen unter Firewall Paketfilter  Schaltfläche Regel hinzufügen UTM v12.6 GeoIP Paketfilterregel Block.png
    Quelle: Map-marked-alt-custom-multiple.svg Geo-Blocking-Mail Im Dropdown-Menü im Abschnitt GeoIP Netzwerkgruppen die gewünschte Gruppe auswählen
    Ziel: Interface.svg external-interface Schnittstelle, auf der die zu blockierende Pakete ankommen
    Dienst: Tcp.svg smtp Dienst oder Dienstgruppe, der bzw. die blockiert werden soll
    Aktion: DROP Verwirft die Pakete
    Logging: SHORT Gewünschtes Logging wählen
    Gruppe default Auswahl aus voreingestellten Gruppen, welche z.B. alle Länder eines Kontinents auswählt.
    Hinzufügen und schließen
    Schritt 4: Regeln aktualisieren
    Schritt 4: Regeln aktualisieren
    Regeln aktualisieren

    Beispiel: Zugriff erlauben

    Der Zugriff aus dem Ausland soll auf ausgewählte Länder beschränkt werden.
    Eine Paketfilter Regel erlaubt den Zugriff aus dem Internet auf das externe Interface mit https.
    Hierfür muss unter Firewall Netzwerkobjekte auf die Schaltfläche Gruppe hinzufügen geklickt werden
    Schritt 1: Anlegen einer Netzwerkgruppe
    Schritt 1: Anlegen einer Netzwerkgruppe
    Beschriftung Wert Beschreibung UTM v12.6 GeoIP Netzwerkobjekte Gruppe hinzufügen GeoIP-Test.png
    Name:     Aussagekräftiger Name für die Netzwerkgruppe
    Speichern
    Schritt 2: Übersicht Netzwerkgruppen
    Schritt 2: Übersicht Netzwerkgruppen
    UTM v12.6 GeoIP Netzwerkobjekte AT angezeigt.png
    Netzwerkobjekte     Suchtext für gewünschtes Land
    Map-marked-alt.svg GEOIP:XY
  • Soll die Outlook-App für iOS oder Android von Microsoft verwendet werden, muss hier ggf. zusätzlich der Zugriff aus weiteren Quellen (z.Zt.:USA) erlaubt werden.
    Die Outlook-App von Microsoft baut keine direkte Verbindung auf, sondern leitet den gesamten Verkehr über Microsoft-Server. Deren Standort ist (Stand 08.2022) in den USA.
    Dort werden auch die Zugangsdaten gespeichert!
    Siehe auch https://www.heise.de/mac-and-i/meldung/Microsofts-Outlook-App-schleust-E-Mails-ueber-Fremd-Server-2533240.html
  • Schritt 3: Bestehende Regel bearbeiten
    Schritt 3: Bestehende Regel bearbeiten
    Unter Firewall Paketfilter  Schaltfläche Regel hinzufügen eine neue Regel anlegen oder eine bestehende bearbeiten UTM v12.6 GeoIP Paketfilterregel Accept.png
    Quelle: Map-marked-alt-custom-multiple.svg     Im Dropdown-Menü im Abschnitt GeoIP Netzwerkgruppen die gewünschte Gruppe auswählen
    Ziel: Interface.svg external-interface Schnittstelle, auf der die zu erlaubenden Pakete ankommen
    Dienst: Tcp.svg https Dienst oder Dienstgruppe, der bzw. die erlaubt werden soll
    Aktion: ACCEPT Lässt die Pakete durch
    Logging: SHORT Gewünschtes Logging wählen
    Gruppe default Auswahl aus voreingestellten Gruppen, welche z.B. alle Länder eines Kontinents auswählt.
    Speichern
    Schritt 4: Regeln aktualisieren
    Schritt 4: Regeln aktualisieren
    Regeln aktualisieren

    Potentiell gefährliche IPs sperren

    Unabhängig von der geographischen Zuordnung einer IP können über die Cyber Defence Cloud IPs gesperrt werden, die als potentiell bedrohlich erkannt wurden:
    Aktivierung unter Anwendungen IDS/IPS  Bereich Cyber Defence Cloud Schaltfläche Verbindung protokollieren und blockieren: Ja

  • Diese Einstellung ist per Default nicht aktiviert, da die UTM keine Sperrungen durchführt, die nicht ausdrücklich gewollt sind!