IP-Adressen können über die zugehörigen IP-Netze und den Organisationen und Institutionen, denen diese zugewiesen sind, einem Land zugeordnet werden.
Für jedes Land existiert in der UTM dafür eine GeoIP, in der diese Zuweisungen gespeichert werden.
Diese Datenbank wird regelmäßig unabhängig von der Firmware aktualisiert.
IPs, die von der Datenbank nicht erfasst werden, werden von den Regeln nicht berücksichtigt. Die UTM prüft wöchentlich (oder per CLI bei Bedarf) , ob eine neue Datenbank vorliegt.
Die GeoIPs werden von der UTM dabei wie Netzwerkobjekte der Zone external behandelt. → weitere Zonen
Der tatsächliche Standort eines Hosts kann von der Zuordnung abweichen oder z.B. durch einen VPN Tunnel nicht ersichtlich sein!
Systemweites Blocking
Unter Firewall Implizite Regeln lassen sich Regionen systemweit als Quelle oder Ziel blockieren
Diese Einstellungen gelten systemweit in allen Zonen und werden vor den Paketfilter-Regeln angewendet!
Aktivierungsstatus der Regeln innerhalb der Kachel
IPGeoBlockingSrc
Ein
Aktiviert die GeoIP Einstellungen für abgelehnte Quellen
IPGeoBlockingDst
Ein
Aktiviert die GeoIP Einstellungen für abgelehnte Ziele
Quellen
Systemweit abgelehnte Quellen:
BX (Beliebiges Beispiel)
In der Klickbox können Länder ausgewählt werden, die als Quellen blockiert werden sollen.
Gruppe:
Alle
Auswahl aus voreingestellten Gruppen, welche z.B. alle Länder eines Kontinents auswählt.
+Hinzufügen
Fügt die Regionen aus der ausgewählten Gruppe hinzu
-Entfernen
Entfernt die Regionen aus der ausgewählten Gruppe
Ausnahmen:
IP-Adresse
Hier können Ausnahmen für systemweit abgelehnte Quellen definiert werden.
Ziele
Systemweit abgelehnte Ziele:
BX (Beliebiges Beispiel)
In der Klickbox können Länder ausgewählt werden, die als Ziele blockiert werden sollen. Damit werden Zugriffe über Browser ebenso unterbunden, wie z.B. nachgeladener Schadcode.
Ausnahmen:
IP-Adresse
Hier können Ausnahmen für systemweit abgelehnte Ziele definiert werden.
GeoIPs haben per Default die Zone external
Einrichten weiterer Zonen für GeoIP
Liegt die Schnittstelle mit dem Internetzugang in einer anderen Zone oder steht an mehreren Schnittstellen mit weiteren Zonen ein Internetzugang bereit, müssen GeoIP-Netzwerkobjekte dort ebenfalls zur Verfügung stehen.
Unter Firewall Netzwerkobjekte Schaltfläche Objekt hinzufügen kann ein Netzwerkobjekt vom Typ GeoIP hinzugefügt werden. Dabei muss die Zone angegeben werden, in der diese Objekte liegen sollen. Ein Präfix ist optional möglich. Siehe auch Wiki: Paketfilter / Netzwerkobjekte erstellen
Alternativ geschieht dies mit einem CLI-Befehl.
node geoip generate zone <zone> name <prefix>
Der Prefixname ist optional, die Zone muss bereits existieren.
Beispiel: node geoip generate zone external2 name EXT2_
Dieser Befehl erzeugt für jede Region ein zusätzliches Netzwerkobjekt in der Zone external2. Für Deutschland hieße das dann EXT2_GEOIP:DE
Achtung: Dieser Befehl legt ca. 250 neue Netzwerkobjekte an
Schritt 1: Anlegen einer Netzwerkgruppe
Schritt 1: Anlegen einer Netzwerkgruppe
Beschriftung
Wert
Beschreibung
Hinzufügen einer Netzwerkgruppe für GeoIPs, die blockiert werden sollen im Abschnitt Netzwerkgruppen mit der Schaltfläche Gruppe hinzufügen
Name:
Aussagekräftiger Name für die Netzwerkgruppe
Speichern
Schritt 2: Übersicht Netzwerkgruppen
Schritt 2: Übersicht Netzwerkgruppen
→
Netzwerkobjekte
Suchtext für gewünschtes Land
GEOIP:XY
Schritt 3: Paketfilter Regel hinzufügen
Schritt 3: Paketfilter Regel hinzufügen
Neue Paketfilter Regel anlegen unter Firewall Paketfilter Schaltfläche Regel hinzufügen
Quelle:
Geo-Blocking-Mail
Im Dropdown-Menü im Abschnitt GeoIP Netzwerkgruppen die gewünschte Gruppe auswählen
Ziel:
external-interface
Schnittstelle, auf der die zu blockierende Pakete ankommen
Dienst:
smtp
Dienst oder Dienstgruppe, der bzw. die blockiert werden soll
Aktion:
DROP
Verwirft die Pakete
Logging:
SHORT
Gewünschtes Logging wählen
Gruppe
default
Auswahl aus voreingestellten Gruppen, welche z.B. alle Länder eines Kontinents auswählt.
Hinzufügen und schließen
Schritt 4: Regeln aktualisieren
Schritt 4: Regeln aktualisieren
Regeln aktualisieren
Beispiel: Zugriff erlauben
Der Zugriff aus dem Ausland soll auf ausgewählte Länder beschränkt werden. Eine Paketfilter Regel erlaubt den Zugriff aus dem Internet auf das externe Interface mit https. Hierfür muss unter Firewall Netzwerkobjekte auf die Schaltfläche Gruppe hinzufügen geklickt werden
Schritt 1: Anlegen einer Netzwerkgruppe
Schritt 1: Anlegen einer Netzwerkgruppe
Beschriftung
Wert
Beschreibung
Name:
Aussagekräftiger Name für die Netzwerkgruppe
Speichern
Schritt 2: Übersicht Netzwerkgruppen
Schritt 2: Übersicht Netzwerkgruppen
→
Netzwerkobjekte
Suchtext für gewünschtes Land
GEOIP:XY
Schritt 3: Bestehende Regel bearbeiten
Schritt 3: Bestehende Regel bearbeiten
Unter Firewall Paketfilter Schaltfläche Regel hinzufügen eine neue Regel anlegen oder eine bestehende bearbeiten
Quelle:
Im Dropdown-Menü im Abschnitt GeoIP Netzwerkgruppen die gewünschte Gruppe auswählen
Ziel:
external-interface
Schnittstelle, auf der die zu blockierende Pakete ankommen
Dienst:
https
Dienst oder Dienstgruppe, der bzw. die blockiert werden soll
Aktion:
ACCEPT
Lässt die Pakete durch
Logging:
SHORT
Gewünschtes Logging wählen
Gruppe
default
Auswahl aus voreingestellten Gruppen, welche z.B. alle Länder eines Kontinents auswählt.
Speichern
Schritt 4: Regeln aktualisieren
Schritt 4: Regeln aktualisieren
Regeln aktualisieren
Potentiell gefährliche IPs sperren
Unabhängig von der geographischen Zuordnung einer IP können über die Cyber Defence Cloud IPs gesperrt werden, die als potentiell bedrohlich erkannt wurden: Aktivierung unter Anwendungen IDS/IPS Bereich Cyber Defence Cloud Schaltfläche Verbindung protokollieren und blockieren: Ja
Diese Einstellung ist per Default nicht aktiviert, da die UTM keine Sperrungen durchführt, die nicht ausdrücklich gewollt sind!