UTM/GeoIP: Unterschied zwischen den Versionen

Version vom 29. März 2023, 11:51 Uhr

Thumbnail for — Anleitung als Kurz-Video

Konfiguration von Zugriffen mittels Geo-IP auf der UTM steuern

Letzte Anpassung zur Version: 12.3.6

Neu:

Update der Geo-IP Datenbanken per CLI
Mit der Verison 12.3.6 wurde ein Fehler behoben, der zu Problemen beim Update der Geo-IP Datenbanken führen konnte

notempty

Dieser Artikel bezieht sich auf eine Resellerpreview

12.2.3 12.2.2

IP-Adressen können über die zugehörigen IP-Netze und den Organisationen und Institutionen, denen diese zugewiesen sind, einem Land zugeordnet werden.

Für jedes Land existiert in der UTM dafür eine GeoIP, in der diese Zuweisungen gespeichert werden.

Diese Datenbank wird regelmäßig unabhängig von der Firmware aktualisiert.

IPs, die von der Datenbank nicht erfasst werden, werden von den Regeln nicht berücksichtigt. Die UTM prüft wöchentlich (oder per CLI bei Bedarf) , ob eine neue Datenbank vorliegt.

Die GeoIPs werden von der UTM dabei wie Netzwerkobjekte der Zone external behandelt. → weitere Zonen

Der tatsächliche Standort eines Hosts kann von der Zuordnung abweichen oder z.B. durch einen VPN Tunnel nicht ersichtlich sein!

Systemweites Blocking

Unter Firewall Implizite Regeln lassen sich Regionen systemweit als Quelle oder Ziel blockieren

Diese Einstellungen gelten systemweit in allen Zonen und werden vor den Paketfilter-Regeln angewendet!

Regeln Regeln
Aktiv	Gruppe/Regel	Beschreibung	Implizite Regeln UTMbenutzer@firewall.name.fqdnFirewall Dialog: Implizite Regeln
Ein	GeoIP	Aktiviert die GeoIP Einstellungen sowohl für Quellen, als auch für Ziele
Ein	IPGeoBlockingSrc	Aktiviert die GeoIP Einstellungen für abgelehnte Quellen
Ein	IPGeoBlockingDst	Aktiviert die GeoIP Einstellungen für abgelehnte Ziele

GeoIP Einstellungen GeoIP Einstellungen
Beschriftung	Wert	Beschreibung	Dialog: GeoIP Einstellungen
Systemweit abgelehnte Quellen:	×BX (Beliebiges Beispiel)	In der Klickbox können Länder ausgewählt werden, die als Quellen blockiert werden sollen.
Gruppe:	Alle	Auswahl aus voreingestellten Gruppen, welche z.B. alle Länder eines Kontinents auswählt.
	+ Hinzufügen	Fügt die Regionen aus der ausgewählten Gruppe hinzu
	- Entfernen	Entfernt die Regionen aus der ausgewählten Gruppe
Ausnahmen (Quellen):	×IP-Adresse	Hier können Ausnahmen für systemweit abgelehnte Quellen definiert werden.
Systemweit abgelehnte Ziele:	×BX (Beliebiges Beispiel)	In der Klickbox können Länder ausgewählt werden, die als Ziele blockiert werden sollen. Damit werden Zugriffe über Browser ebenso unterbunden, wie z.B. nachgeladener Schadcode.
Ausnahmen (Ziele):	×IP-Adresse	Hier können Ausnahmen für systemweit abgelehnte Ziele definiert werden.

GeoIPs haben per Default die Zone external

Einrichten weiterer Zonen für GeoIP

Dialog für Netzwerkobjekt GeoIP

Liegt die Schnittstelle mit dem Internetzugang in einer anderen Zone oder steht an mehreren Schnittstellen mit weiteren Zonen ein Internetzugang bereit, müssen GeoIP-Netzwerkobjekte dort ebenfalls zur Verfügung stehen.

Unter Firewall Netzwerkobjekte Schaltfläche Objekt hinzufügen kann ein Netzwerkobjekt vom Typ GeoIP hinzugefügt werden.
Dabei muss die Zone angegeben werden, in der diese Objekte liegen sollen.
Ein Präfix ist optional möglich.
Siehe auch Wiki: Paketfilter / Netzwerkobjekte erstellen

Alternativ geschieht dies mit einem CLI-Befehl.

node geoip generate zone <zone> name <prefix>

Der Prefixname ist optional, die Zone muss bereits existieren.

Beispiel: node geoip generate zone external2 name EXT2_

Dieser Befehl erzeugt für jede Region ein zusätzliches Netzwerkobjekt in der Zone external2.
Für Deutschland hieße das dann EXT2_GEOIP:DE

Achtung: Dieser Befehl legt ca. 250 neue Netzwerkobjekte an

Schritt 1: Anlegen einer Netzwerkgruppe Schritt 1: Anlegen einer Netzwerkgruppe
Beschriftung	Wert	Beschreibung
Hinzufügen einer Netzwerkgruppe für GeoIPs, die blockiert werden sollen im Abschnitt Netzwerkgruppen mit der Schaltfläche Gruppe hinzufügen
Name:		Aussagekräftiger Name für die Netzwerkgruppe
Speichern

Schritt 2: Übersicht Netzwerkgruppen Schritt 2: Übersicht Netzwerkgruppen
→
Netzwerkobjekte	ant	Suchtext für gewünschtes Land
	GEOIP:XY

Schritt 3: Paketfilter Regel hinzufügen Schritt 3: Paketfilter Regel hinzufügen
Neue Paketfilter Regel anlegen unter Firewall Paketfilter Schaltfläche Regel hinzufügen
Quelle:	Geo-Blocking-Mail	Im Dropdown-Menü im Abschnitt GeoIP Netzwerkgruppen die gewünschte Gruppe auswählen
Ziel:	external-interface	Schnittstelle, auf der die zu blockierende Pakete ankommen
Dienst:	smtp	Dienst oder Dienstgruppe, der bzw. die blockiert werden soll
Aktion:	DROP	Verwirft die Pakete
Logging:	SHORT	Gewünschtes Logging wählen
Gruppe	default	Auswahl aus voreingestellten Gruppen, welche z.B. alle Länder eines Kontinents auswählt.
Hinzufügen und schließen
Schritt 4: Regeln aktualisieren Schritt 4: Regeln aktualisieren
Regeln aktualisieren

Beispiel: Zugriff erlauben

Der Zugriff aus dem Ausland soll auf ausgewählte Länder beschränkt werden.
Eine Paketfilter Regel erlaubt den Zugriff aus dem Internet auf das externe Interface mit https.
Hierfür muss unter Firewall Netzwerkobjekte auf die Schaltfläche Gruppe hinzufügen geklickt werden

Schritt 1: Anlegen einer Netzwerkgruppe Schritt 1: Anlegen einer Netzwerkgruppe
Beschriftung	Wert	Beschreibung
Name:	GeoIP-Test	Aussagekräftiger Name für die Netzwerkgruppe
Netzwerkobjekte:	GEOIP:AT GEOIP:DE	GeoIPs können nun schon ausgewählt werden. Alternativ können die GeoIPs auch im folgenden Schritt hinzugefügt werden.
Speichern		Speichert die Einstellungen

Schritt 2: Übersicht Netzwerkgruppen Schritt 2: Übersicht Netzwerkgruppen
→
Netzwerkobjekte		Suchtext für gewünschtes Land
	GEOIP:XY
Soll die Outlook-App für iOS oder Android von Microsoft verwendet werden, muss hier ggf. zusätzlich der Zugriff aus weiteren Quellen (z.Zt.:USA) erlaubt werden. Die Outlook-App von Microsoft baut keine direkte Verbindung auf, sondern leitet den gesamten Verkehr über Microsoft-Server. Deren Standort ist (Stand 08.2022) in den USA. Dort werden auch die Zugangsdaten gespeichert! Siehe auch https://www.heise.de/mac-and-i/meldung/Microsofts-Outlook-App-schleust-E-Mails-ueber-Fremd-Server-2533240.html
Schritt 3: Bestehende Regel bearbeiten Schritt 3: Bestehende Regel bearbeiten
Unter Firewall Paketfilter Schaltfläche Regel hinzufügen eine neue Regel anlegen oder eine bestehende bearbeiten
Quelle:	GeoIP-Test	Im Dropdown-Menü im Abschnitt GeoIP Netzwerkgruppen die gewünschte Gruppe auswählen
Ziel:	external-interface	Schnittstelle, auf der die zu erlaubenden Pakete ankommen
Dienst:	https	Dienst oder Dienstgruppe, der bzw. die erlaubt werden soll
Aktion:	ACCEPT	Lässt die Pakete durch
Logging:	SHORT	Gewünschtes Logging wählen
Gruppe	default	Auswahl aus voreingestellten Gruppen, welche z.B. alle Länder eines Kontinents auswählt.
Speichern
Schritt 4: Regeln aktualisieren Schritt 4: Regeln aktualisieren
Regeln aktualisieren

Datenbank-Update per CLI

Das System aktualisiert regelmäßig die Geo-IP Datenbanken automatisch.

Mit der Verison 12.3.6 wurde ein Fehler behoben, der zu Problemen beim Update der Geo-IP Datenbanken führen konnte

Der Status der Datenbank kann abgefragt werden mit dem Befehl:
geolocation info

cli> geolocation info
attribute          |value
-------------------+-----
IP4 Database Status|need update
IP4 Last Update    |2023-02-14 09:36:22.060000000 +0100
IP6 Database Status|need update
IP6 Last Update    |2023-02-14 09:36:22.700000000 +0100

Die Meldung need update erscheint, wenn es ein Update zur Verfügung steht.

Ein Update der Datenbank erfolgt mit dem CLI-Befehl:
geolocation update Achtung: Die Statusmeldung erfolgt mit einer kleinen Verzögerung von wenigen Sekunden.

cli> geolocation update
OK
cli> geolocation info
attribute          |value
-------------------+-----
IP4 Database Status|ok   
IP4 Last Update    |2023-03-26 07:54:29.339700632 +0200
IP6 Database Status|ok   
IP6 Last Update    |2023-03-26 07:54:29.899700632 +0200

Potentiell gefährliche IPs sperren

Unabhängig von der geographischen Zuordnung einer IP können über die Cyber Defence Cloud IPs gesperrt werden, die als potentiell bedrohlich erkannt wurden:
Aktivierung unter Anwendungen IDS/IPS Bereich Cyber Defence Cloud Schaltfläche Verbindung protokollieren und blockieren: Ja

Diese Einstellung ist per Default nicht aktiviert, da die UTM keine Sperrungen durchführt, die nicht ausdrücklich gewollt sind!

@@ Zeile 4: / Zeile 4: @@
 {{:UTM/GeoIP.lang}}
-</div>{{Select_lang}}{{TOC2|cap={{#ev:vimeo|https://vimeo.com/685607720||| {{#var:Video-Anleitung}} |cover=Video GeoIP.png}} }}
+{{var	| neu--CLI
-{{Header|12.2.3|
+		| [[#Datenbank-Update_per_CLI | Update der Geo-IP Datenbanken per CLI]]
-* {{#var:neu--Ausnahmen}}
+		| [[#Database update via CLI | Update of the Geo-IP databases by CLI]] }}
-* {{#var:neu--Netzwerkobjekte per GUI}}
+{{var	| neu--Bugfix
-* {{#var:neu--Hinweis Outlook-App}}
+		| Mit der Verison 12.3.6 wurde ein Fehler behoben, der zu Problemen beim Update der Geo-IP Datenbanken führen konnte
-|[[UTM/GeoIP_v12.2.2|12.2.2]]
+		| With version 12.3.6 a bug was fixed that could lead to problems when updating the Geo-IP databases }}
+</div>{{Select_lang}}{{TOC2|cap={{#ev:vimeo|https://vimeo.com/685607720||| {{#var:Video-Anleitung}} |cover=Video GeoIP.png  }} }}
+{{Header|12.3.6|
+* {{#var:neu--CLI}}
+* {{Hinweis-neu|!}} {{#var:neu--Bugfix}}
+|[[UTM/GeoIP_v12.2.3|12.2.3]]
+[[UTM/GeoIP_v12.2.2|12.2.2]]
+|{{Menu|Firewall|Portfilter}}
 }}
 <li class="list--element__alert list--element__positiv">{{#var:Erklärung}}{{info|{{#var:Erklärung--info}} }}<p>{{#var:Erklärung--Netzwerkobjekte}}</p>
+<p><li class="list--element__alert list--element__warning">{{#var:Erklärung--Hinweis}}</li></p>
-<p>
+----
-<li class="list--element__alert list--element__warning">{{#var:Erklärung--Hinweis}}</li>
-</p>
 === {{#var:Globale Einstellung}} ===
+<div class="Einrücken">
 {{#var:Globale Einstellung--desc}}
+{{Hinweis-neu|! {{#var:Globale Einstellung--Hinweis}} }}
-{{Hinweis-neu| ! {{#var:Globale Einstellung--Hinweis}} }}
+<br clear=all></div>
 {{:UTM/RULE/Implizite_Regeln-GeoIP}}
@@ Zeile 31: / Zeile 38: @@
 <div class="Einrücken">
 {{#var:Portfilter basierte Blockade--desc}}
-<li class="list--element__alert list--element__hint">{{#var:GeoIP--Zone}}</li>
+{{Hinweis-neu|!|g}} {{#var:GeoIP--Zone}}
+</div>
 ==== {{#var:Einrichten weiterer Zonen für GeoIP}} ====
@@ Zeile 37: / Zeile 45: @@
 {{pt3| {{#var:Einrichten weiterer Zonen für GeoIP--Bild}} | {{#var:Einrichten weiterer Zonen für GeoIP--cap}} }}
 {{#var:Einrichten weitere Zonen für GeoIP--desc}}
+<br>
+{{#var:Einrichten weiterer Zonen für GeoIP-Gui--desc}}
-<p>{{Hinweis-neu|{{#var:Neu ab v.12.2.3}}|12.2.3|status=neu}}</p>
-<div class="Einrücken">
-{{#var:Einrichten weiterer Zonen für GeoIP-Gui--desc}}
-</div>
 {{#var:Einrichten weitere Zonen für GeoIP-cli--desc}}{{Einblenden|{{#var:CLI-Befehl anzeigen}}|{{#var:hide}}|true|dezent}}
 {{#var:CLI-Befehl anzeigen--desc}}<br>
@@ Zeile 47: / Zeile 53: @@
 </div></span></div></div>
 <br clear=all>
 ==== {{#var:Portfilter basierte Blockade}} ====
+<div class="Einrücken">
 {{#var:Portfilter basierte Blockade--desc}}
+</div>
 {| class="sptable2 pd5 zh1 Einrücken"
@@ Zeile 56: / Zeile 65: @@
 |-
 ! {{#var:cap}} !! {{#var:val}} !! {{#var:desc}}
-| class="Bild" rowspan="5" | {{Bild |  {{#var:Gruppe hinzufügen--Bild}}|{{#var:Gruppe hinzufügen--cap}} }}
+| class="Bild" rowspan="5" | {{Bild|{{#var:Gruppe hinzufügen--Bild}} }}
 |-
 | colspan="3" |  {{#var:Gruppe hinzufügen--desc}}
@@ Zeile 70: / Zeile 79: @@
 | {{Button||glyph|glyph-class=folder-closed}} → {{Button||glyph|glyph-class=folder-open}}
 | {{Button|{{#var:Geo-Blocking-Mail}}|blau}} || {{#var:Netzwerkgruppe öffnen--desc}}
-| class="Bild" rowspan="4" | {{Bild |  {{#var:GeoIP Schritt 2--Bild}}|{{#var:GeoIP Schritt 2--cap}} }}
+| class="Bild" rowspan="4" | {{Bild|{{#var:GeoIP Schritt 2--Bild}} }}
 |-
-| {{Kasten|{{#var:Netzwerkobjekte}}|grau}} || {{ic| {{#var:Netzwerkobjekte--val}}|rechts|icon={{spc|fa|o|-|class=glyphicons glyphicons-search glyphicons-size-14}}|iconborder=none|class=available}} || {{#var:Netzwerkobjekte--desc}}
+| {{Kasten|{{#var:Netzwerkobjekte}}|grau}} || {{ic|ant|rechts|icon={{spc|fa|o|-|class=glyphicons glyphicons-search glyphicons-size-14}}|iconborder=none|class=available}} || {{#var:Netzwerkobjekte--desc}}
 |-
 | class=mw13 | {{Button||+}} <span class=Hover>{{#var:Zu Gruppe hinzufügen}}</span>|| {{ic|GEOIP:''XY''|icon=geoip|class=available }} || {{#var:Zu Gruppe hinzufügen--desc}}
@@ Zeile 81: / Zeile 90: @@
 |-
 | colspan="3" | {{#var:GeoIP Schritt 3--desc}}
-| class="Bild" rowspan="11" | {{Bild |  {{#var:GeoIP Schritt 3--Bild}}|{{#var:GeoIP Schritt 3--cap}} }}
+| class="Bild" rowspan="11" | {{Bild|{{#var:GeoIP Schritt 3--Bild}} }}
 |-
 | {{b|{{#var:Quelle}} }} || {{ic|{{#var:GeoIP-Quelle}}|dr|icon=geoips|iconborder=none|class=max-content }} || {{#var:GeoIP-Quelle--desc}}
@@ Zeile 104: / Zeile 113: @@
 |
 |}
 ==== {{#var:Beispiel Allow}} ====
-<div class="Einrücken">{{#var:Beispiel Allow--desc}}
+<div class="Einrücken">
+{{#var:Beispiel Allow--desc}}
 </div>
@@ Zeile 115: / Zeile 125: @@
 |-
 ! {{#var:cap}} !! {{#var:val}} !! {{#var:desc}}
-| class="Bild" rowspan="5" | {{Bild |  {{#var:Gruppe hinzufügen-allow--Bild}}|{{#var:Gruppe hinzufügen--cap}} }}
+| class="Bild" rowspan="5" | {{Bild| {{#var:Gruppe hinzufügen-allow--Bild}} |{{#var:Gruppe hinzufügen--cap}} }}
 |-
-| colspan="3" |  {{#var:Gruppe hinzufügen-allow--desc}}
+| {{b|{{#var:Name}} }} || {{ic|GeoIP-Test|class=available}} || {{#var:GeoIP-Netzwerkgruppen-Name--desc}}
 |-
-| {{b|{{#var:Name}} }} || {{ic|{{#var:Geo-allow}} }} || {{#var:GeoIP-Netzwerkgruppen-Name--desc}}
+| {{b|{{#var:Netzwerkobjekte}}:}} || {{ic|GEOIP:''AT''|icon={{spc|geoip|o|-}}|class=available }}<br> {{ic|GEOIP:''DE''|icon={{spc|geoip|o|-}}|class=available }} || {{#var:GeoIPs auswählen}}
 |- class="Leerzeile"
-| colspan="3" | {{button|{{#var:Speichern}} }}
+| colspan="2" | {{Button|{{#var:Speichern}} }} || {{#var:Speichern--desc}}
 |- class="Leerzeile"
 |
 |- class="Leerzeile"
-| colspan="3" | {{h5|{{#var:GeoIP Schritt 2}}|{{#var:GeoIP Schritt 2}} }}
+| colspan="3" | {{h5| {{#var:GeoIP Schritt 2}} | {{#var:GeoIP Schritt 2}} }}
 |-
 | {{Button||glyph|glyph-class=folder-closed}} → {{Button||glyph|glyph-class=folder-open}}
 | {{Button|{{#var:Geo-allow}}|blau}} || {{#var:Netzwerkgruppe öffnen--desc}}
-| class="Bild" rowspan="4" | {{Bild |  {{#var:GeoIP-allow Schritt 2--Bild}}|{{#var:GeoIP Schritt 2--cap}} }}
+| class="Bild" rowspan="4" | {{Bild| {{#var:GeoIP-allow Schritt 2--Bild}} |{{#var:GeoIP Schritt 2--cap}} }}
 |-
 | {{Kasten|{{#var:Netzwerkobjekte}}|grau}} || {{ic| {{#var:Netzwerkobjekte-allow--val}}|rechts|icon={{spc|fa|o|-|class=glyphicons glyphicons-search glyphicons-size-14}}|iconborder=none|class=available}} || {{#var:Netzwerkobjekte--desc}}
 |-
-| class=mw13 | {{Button||+}} <span class=Hover>{{#var:Zu Gruppe hinzufügen}}</span>|| {{ic|GEOIP:''XY''|icon={{spc|geoip|o|-}}|class=available }} || {{#var:Zu Gruppe hinzufügen--desc}}
+| class=mw13 | {{Button||+}} <span class=Hover>{{#var:Zu Gruppe hinzufügen}}</span> || {{ic|GEOIP:''XY''|icon={{spc|geoip|o|-}}|class=available }} || {{#var:Zu Gruppe hinzufügen--desc}}
 |- class="Leerzeile"
-| colspan="3" |  <li class="list--element__alert list--element__warning">{{#var:Hinweis Outlook-App über USA}}{{info|{{#var:Hinweis Outlook-App über USA--info}} }}</li>
+| colspan="3" | {{Hinweis-neu|!|r}} {{#var:Hinweis Outlook-App über USA}} {{info|{{#var:Hinweis Outlook-App über USA--info}} }}
 |- class="Leerzeile"
 | colspan="3" | {{h5| {{#var:GeoIP-allow Schritt 3}} | {{#var:GeoIP-allow Schritt 3}} }}
 |-
 | colspan="3" | {{#var:GeoIP-allow Schritt 3--desc}}
-| class="Bild" rowspan="11" | {{Bild |  {{#var:GeoIP-allow Schritt 3--Bild}}|{{#var:GeoIP Schritt 3--cap}} }}
+| class="Bild" rowspan="11" | {{Bild| {{#var:GeoIP-allow Schritt 3--Bild}} |{{#var:GeoIP Schritt 3--cap}} }}
 |-
-| {{b|{{#var:Quelle}} }} || {{ic|{{#var:Geo-allow}}|dr|icon={{spc|geoips|o|-}}|iconborder=none|class=max-content }} || {{#var:GeoIP-Quelle--desc}}
+| {{b|{{#var:Quelle}} }} || {{ic|GeoIP-Test|dr|icon={{spc|geoips|o|-}}|iconborder=none|class=max-content }} || {{#var:GeoIP-Quelle--desc}}
 |-
 | {{b|{{#var:Ziel}} }} || {{ic|external-interface|dr|icon={{spc|interface|o|-}} |iconborder=none|class=available}} || {{#var:Ziel--allow--desc}}
@@ Zeile 153: / Zeile 163: @@
 |-
 | {{b|{{#var:Gruppe}} }} || {{Button| default|dr|class=available}} || {{#var:Gruppe--desc}}
 |- class="noborder"
 | colspan="3" | {{Button|{{#var:Speichern}} }}
@@ Zeile 164: / Zeile 173: @@
 |}
+=== {{#var:Datenbank-Update per CLI}} ===
+<div class="Einrücken">
+<li class="list--element__alert list--element__positiv">{{#var:Datenbank-Update--Hinweis}}</li>
+<p>{{Hinweis-neu| {{#var:neu--Bugfix}} | 12.4|r|status=update}}</p>
+<p>{{#var:Datenbank-Status per CLI--desc}}
+<pre>
+cli> geolocation info
+attribute          |value
+-------------------+-----
+IP4 Database Status|need update
+IP4 Last Update    |2023-02-14 09:36:22.060000000 +0100
+IP6 Database Status|need update
+IP6 Last Update    |2023-02-14 09:36:22.700000000 +0100
+</pre></p>
+<p>{{#var:Datenbank-Update per CLI--desc}}
+<pre>
+cli> geolocation update
+OK
+cli> geolocation info
+attribute          |value
+-------------------+-----
+IP4 Database Status|ok
+IP4 Last Update    |2023-03-26 07:54:29.339700632 +0200
+IP6 Database Status|ok
+IP6 Last Update    |2023-03-26 07:54:29.899700632 +0200
+</pre></p>
 </div>
 === {{#var:Potentiell gefährliche IPs sperren}} ===
 <div class="Einrücken">
-{{#var:Potentiell gefährliche IPs sperren--desc}}
+{{#var:Potentiell gefährliche IPs sperren--desc}}<br>
-<li class="list--element__alert list--element__warning em2">{{#var:CDC-Default--Hinweis}}</li>
+{{Hinweis-neu|!! {{#var:CDC-Default--Hinweis}} }}
 </div>

Version vom 29. März 2023, 11:51 Uhr

Systemweites Blocking

Regeln

GeoIP Einstellungen

Einrichten weiterer Zonen für GeoIP

Schritt 1: Anlegen einer Netzwerkgruppe

Schritt 2: Übersicht Netzwerkgruppen

Schritt 3: Paketfilter Regel hinzufügen

Schritt 4: Regeln aktualisieren