KKeine Bearbeitungszusammenfassung |
KKeine Bearbeitungszusammenfassung |
||
(2 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
Zeile 1: | Zeile 1: | ||
{{Archivhinweis|UTM/GeoIP}} | |||
{{Set_lang}} | {{Set_lang}} | ||
{{#vardefine:headerIcon|spicon-utm}} | {{#vardefine:headerIcon|spicon-utm}} | ||
{{:UTM/GeoIP. | |||
{{var | display | |||
| GeoIPs verwenden | |||
| Use GeoIP }} | |||
{{var | head | |||
| Konfiguration von Zugriffen mittels Geo-IP auf der UTM steuern | |||
| Control configuration of access via Geo-IP on the UTM }} | |||
{{var | neu--Funktion | |||
| Neue Funktion {{Hinweis|03.2022|12.3}} | |||
| New feature }} | |||
{{var | Erklärung | |||
| IP-Adressen können über die zugehörigen IP-Netze und den Organisationen und Institutionen, denen diese zugewiesen sind, einem Land zugeordnet werden. | |||
<p>Für jedes Land existiert in der UTM dafür eine GeoIP, in der diese Zuweisungen gespeichert werden.</p> | |||
Diese Datenbank wird regelmäßig unabhängig von der Firmware aktualisiert. | |||
| IP addresses can be assigned to a country via the associated IP networks and the organisations and institutions to which they are assigned. | |||
<p>For each country, a GeoIP exists on the UTM for this purpose, in which these assignments are stored.</p> | |||
This database is regularly updated independently of the firmware. }} | |||
{{var | Erklärung--info | |||
| IPs, die von der Datenbank nicht erfasst werden, werden von den Regeln nicht berücksichtigt. Die Aktualisierung erfolgt wöchentlich. | |||
| IPs that are not covered by the database are not taken into account by the rules. The update takes place weekly. }} | |||
{{var | Erklärung--Netzwerkobjekte | |||
| Die GeoIPs werden von der UTM dabei wie '''Netzwerkobjekte''' der Zone ''external'' behandelt. [[#Einrichten weiterer Zonen für GeoIP | → weitere Zonen]] | |||
| The GeoIPs are treated by the UTM as '''network objects''' in the zone ''external''. [[#Setting up additional zones for GeoIP | → further zones]]}} | |||
{{var | Erklärung--Hinweis | |||
| Der tatsächliche Standort eines Hosts kann von der Zuordnung abweichen oder z.B. durch einen VPN Tunnel nicht ersichtlich sein! | |||
| The actual location of a host may differ from the assignment or may not be visible, e.g. due to a VPN tunnel! }} | |||
{{var | Globale Einstellung | |||
| Systemweites Blocking | |||
| System-wide blocking }} | |||
{{var | Globale Einstellung--desc | |||
| Unter {{Menu|Firewall|Implizite Regeln}} lassen sich Regionen systemweit als Quelle oder Ziel blockieren | |||
| Under {{Menu|Firewall|Implied Rules}} regions can be blocked system-wide as source or destination }} | |||
{{var | Globale Einstellung--Hinweis | |||
| Diese Einstellungen gelten systemweit in '''allen Zonen''' und werden '''vor''' den Portfilter-Regeln angewendet! | |||
| These settings apply system-wide in '''all zones''' and are applied '''before''' the port filter rules! }} | |||
{{var | GeoIP-basierte Portfilter Regeln | |||
| GeoIP-basierte Portfilter Regeln | |||
| GeoIP based port filter rules }} | |||
{{var | GeoIP-basierte Portfilter Regeln--desc | |||
| Auf Portfilter Ebene können GeoIPs blockiert oder zugelassen werden<br>GeoIPs lassen sich dazu auch zu Netzwerkgruppen zusammenfassen. | |||
| GeoIPs can be blocked or allowed at the port filter level<br>GeoIPs can also be combined into network groups for this purpose. }} | |||
{{var | Portfilter basierte Blockade | |||
| Beispiel: Blocking | |||
| Example: Blocking }} | |||
{{var | Portfilter basierte Blockade--desc | |||
| Bestimmten Regionen soll der Zugriff auf bestimmte Ports verwehrt werden.<br>Hier: Keine Mails aus der Antarktis | |||
| Certain regions are to be denied access to certain ports.<br>Here: No mails from Antarctica }} | |||
{{var | GeoIP--Zone | |||
| GeoIPs haben per Default die Zone ''external'' | |||
| GeoIPs have the zone ''external'' by default }} | |||
{{var | GeoIP Schritt 1 | |||
| Schritt 1: Anlegen einer Netzwerkgruppe | |||
| Step 1: Create a network group }} | |||
{{var | Gruppe hinzufügen--desc | |||
| Hinzufügen einer Netzwerkgruppe für GeoIPs, die blockiert werden sollen im Abschnitt {{Kasten|Netzwerkgruppen|grau}} mit der Schaltfläche {{Button|Gruppe hinzufügen|addfolder}} | |||
| Add a network group for GeoIPs to be blocked in the {{Kasten|Network Groups|grau}} section with the {{Button|Add Group|addfolder}} button. }} | |||
{{var | Gruppe hinzufügen--Bild | |||
| UTM v12.2.2 Netzwerkobjekte Gruppe hinzufügen.png | |||
| UTM v12.2.2 Netzwerkobjekte Gruppe hinzufügen-en.png }} | |||
{{var | Gruppe hinzufügen--cap | |||
| | |||
| }} | |||
{{var | Geo-Blocking-Mail | |||
| Geo-Blocking-Mail | |||
| Geo-Blocking-Mail }} | |||
{{var | Name | |||
| Name: | |||
| Name: }} | |||
{{var | GeoIP-Netzwerkgruppen-Name--desc | |||
| Aussagekräftiger Name für die Netzwerkgruppe | |||
| Meaningful name for the network group }} | |||
{{var | Speichern | |||
| Speichern | |||
| Save }} | |||
{{var | Speichern--Netzwerkgruppe-GeoIP--desc | |||
| Speichern der Netzwerkgruppe | |||
| Saving the network group }} | |||
{{var | GeoIP Schritt 2 | |||
| Schritt 2: GeoIPs hinzufügen | |||
| Step 2: Add GeoIP }} | |||
{{var | Netzwerkgruppe öffnen--desc | |||
| Soeben angelegte Netzwerkgruppe durch Anklicken öffnen | |||
| Open the network group you have just created by clicking on it. }} | |||
{{var | GeoIP Schritt 2--Bild | |||
| UTM v12.2.2 Netzwerkobjekte GeoIP.png | |||
| UTM v12.2.2 Netzwerkobjekte GeoIP-en.png }} | |||
{{var | GeoIP Schritt 2--cap | |||
| | |||
| }} | |||
{{var | Netzwerkobjekte | |||
| Netzwerkobjekte | |||
| Network Objects }} | |||
{{var | Netzwerkobjekte--val | |||
| ant | |||
| ant }} | |||
{{var | Netzwerkobjekte--desc | |||
| Suchtext für gewünschtes Land | |||
| Search text for desired country }} | |||
{{var | Zu Gruppe hinzufügen | |||
| Zu Gruppe hinzufügen | |||
| Add to group }} | |||
{{var | Zu Gruppe hinzufügen--desc | |||
| Fügt die Region der Gruppe hinzu<br>Hovern über dem Icon zeigt den vollständigen Namen an | |||
| Adds the region to the group<br>Hovering over the icon shows the full name }} | |||
{{var | GeoIP Schritt 3 | |||
| Schritt 3: Portfilter Regel hinzufügen | |||
| Step 3: Add portfilter rules }} | |||
{{var | GeoIP Schritt 3--desc | |||
| Neue Portfilter Regel anlegen unter {{Menu|Firewall|Portfilter|Portfilter|Regel hinzufügen|+|mit=true}} | |||
| Create a new port filter rule under {{Menu|Firewall|Portfilter|Portfilter|Add rule|+|mit=true}} }} | |||
{{var | GeoIP Schritt 3--Bild | |||
| UTM v12.2.2 Portfilteregel Block.png | |||
| UTM v12.2.2 Portfilteregel Block-en.png }} | |||
{{var | GeoIP Schritt 3--cap | |||
| | |||
| }} | |||
{{var | Quelle | |||
| Quelle: | |||
| Source: }} | |||
{{var | GeoIP-Quelle | |||
| Geo-Blocking-Mail | |||
| Geo-Blocking-Mail }} | |||
{{var | 1=GeoIP-Quelle--desc | |||
| 2=Im Dropdown-Menü im Abschnitt <span class="small bold">GeoIP Netzwerkgruppen</span> die gewünschte Gruppe auswählen | |||
| 3=Select the desired group in the drop-down menu in the <span class="small bold">GeoIP network objects</span> section }} | |||
{{var | Ziel | |||
| Ziel: | |||
| Destination: }} | |||
{{var | Ziel--desc | |||
| Schnittstelle, auf der die zu blockierende Pakete ankommen | |||
| Interface on which the packets to be blocked arrive }} | |||
{{var | Dienst | |||
| Dienst: | |||
| Service: }} | |||
{{var | Dienst--desc | |||
| Dienst oder Dienstgruppe, der bzw. die blockiert werden soll | |||
| Service or service group to be blocked }} | |||
{{var | Aktion | |||
| Aktion: | |||
| Action: }} | |||
{{var | Aktion--desc | |||
| Verwirft die Pakete | |||
| Discards the packages }} | |||
{{var | Logging | |||
| Logging: | |||
| Logging: }} | |||
{{var | Logging--desc | |||
| Gewünschtes Logging wählen | |||
| Select desired logging }} | |||
{{var | Gruppe | |||
| Gruppe: | |||
| Group: }} | |||
{{var | Gruppe--desc | |||
| Gewünschte Gruppe wählen | |||
| Select desired group }} | |||
{{var | Hinzufügen und schließen | |||
| Hinzufügen und schließen | |||
| Add and close }} | |||
{{var | Regeln aktualisieren | |||
| Regeln aktualisieren | |||
| Update Rules }} | |||
{{var | GeoIP Schritt 4 | |||
| Schritt 4: Regeln aktualisieren | |||
| Step 4: Update Rules }} | |||
{{var | Beispiel Allow | |||
| Beispiel: Zugriff erlauben | |||
| Example: Allow access }} | |||
{{var | Beispiel Allow--desc | |||
| Der Zugriff auf die OWA-Schnittstelle eines Exchange-Servers soll nur aus Deutschland, Österreich und der Schweiz möglich sein.<br>Gegeben ist eine Konfiguration wie im [[UTM/APP/Reverse_Proxy-Exchange | Wiki-Artikel]] dazu beschrieben.<br>Eine Portfilter Regel erlaubt den Zugriff aus dem Internet auf das externe Interface mit https | |||
| Access to the OWA interface of an Exchange server should only be possible from Germany, Austria and Switzerland.<br>Given is a configuration as described in the [[UTM/APP/Reverse_Proxy-Exchange | Wiki-Article]] on this.<br>A port filter rule allows access from the Internet to the external interface with https }} | |||
{{var | Gruppe hinzufügen-allow--desc | |||
| Hinzufügen einer Netzwerkgruppe für GeoIPs, die Zugriff erhalten sollen im Abschnitt {{Kasten|Netzwerkgruppen|grau}} mit der Schaltfläche {{Button|Gruppe hinzufügen|addfolder}} | |||
| Add a network group for GeoIPs to be given access in the {{Kasten|networkgroups|grau}} section with the {{Button|Add Group|addfolder}} button. }} | |||
{{var | Gruppe hinzufügen-allow--Bild | |||
| UTM v12.2.2 Netzwerkobjekte GeoIP OWA.png | |||
| UTM v12.2.2 Netzwerkobjekte GeoIP OWA-en.png }} | |||
{{var | Geo-allow | |||
| GeoIP-OWA | |||
| GeoIP-OWA }} | |||
{{var | GeoIP-allow Schritt 2--Bild | |||
| UTM v12.2.2 Netzwerkobjekte GeoIP allow.png | |||
| UTM v12.2.2 Netzwerkobjekte GeoIP allow-en.png }} | |||
{{var | Netzwerkobjekte-allow--val | |||
| schw | |||
| sw }} | |||
{{var | GeoIP-allow Schritt 3 | |||
| Schritt 3: Bestehende Regel bearbeiten | |||
| Step 3: Edit existing rules }} | |||
{{var | GeoIP-allow Schritt 3--desc | |||
| Bestehende Portfilter Regel bearbeiten unter {{Menu|Firewall|Portfilter|Portfilter||w|mit=true}} | |||
| Edit existing port filter rule under {{Menu|Firewall|Portfilter|Portfilter||w|mit=true}} }} | |||
{{var | GeoIP-allow Schritt 3--Bild | |||
| UTM v12.2.2 Portfilteregel allow.png | |||
| UTM v12.2.2 Portfilteregel allow-en.png }} | |||
{{var | Aktion-allow--desc | |||
| Lässt die Pakete durch | |||
| Lets the packets pass through }} | |||
{{var | Einrichten weiterer Zonen für GeoIP | |||
| Einrichten weiterer Zonen für GeoIP | |||
| Setting up additional zones for GeoIP }} | |||
{{var | Einrichten weitere Zonen für GeoIP--desc | |||
| <p>Liegt die Schnittstelle mit dem Internetzugang in einer anderen Zone oder steht an mehreren Schnittstellen mit weiteren Zonen ein Internetzugang bereit, müssen GeoIP-Netzwerkobjekte dort ebenfalls zur Verfügung stehen.</p>Dies geschieht mit einem CLI-Befehl. | |||
| <p>If the interface with the Internet access is located in another zone or if Internet access is available at several interfaces with further zones, GeoIP network objects must also be available there.</p>This is done with a CLI command. }} | |||
{{var | CLI-Befehl anzeigen | |||
| CLI-Befehl anzeigen | |||
| Show CLI command }} | |||
{{var | CLI-Befehl anzeigen--desc | |||
| {{code|node geoip generate zone <zone> name <prefix>}} | |||
<p>Der Prefixname ist optional, die Zone muss bereits existieren.</p> | |||
<p>Beispiel: {{code|node geoip generate zone external2 name EXT2_}}</p> | |||
Dieser Befehl erzeugt für jede Region ein zusätzliches Netzwerkobjekt in der Zone external2. <br>Für Deutschland hieße das dann ''EXT2_GEOIP:DE'' | |||
| {{code|node geoip generate zone <zone> name <prefix>}} </p> | |||
The prefix name is optional, the zone must already exist. | |||
<p>Example: {{code|node geoip generate zone external2 name EXT2_}}</p> | |||
This command creates an additional network object in the external2 zone for each region. <br>For Germany, this would then be called ''EXT2_GEOIP:DE'' }} | |||
{{var | CLI-Befehl anzeigen--Warnung | |||
| Achtung: Dieser Befehl legt ca. 250 neue Netzwerkobjekte an | |||
| Attention: This command creates approx. 250 new network objects }} | |||
{{var | Potentiell gefährliche IPs sperren | |||
| Potentiell gefährliche IPs sperren | |||
| Block potentially dangerous IPs }} | |||
{{var | Potentiell gefährliche IPs sperren--desc | |||
| Unabhängig von der geographischen Zuordnung einer IP können über die [[UTM/APP/IDS-IPS#Cyber_Defence_Cloud | Cyber Defence Cloud]] IPs gesperrt werden, die als potentiell bedrohlich erkannt wurden:<br>Aktivierung unter {{Menu|Anwendungen|IDS/IPS|Cyber Defence Cloud|Verbindungen protokollieren und blockieren}} | |||
| Regardless of the geographical assignment of an IP, IPs that have been identified as potentially threatening can be blocked via the [[UTM/APP/IDS-IPS#Cyber_Defence_Cloud | Cyber Defence Cloud]]: Activate under {{Menu|Application|IDS/IPS|Cyber Defence Cloud|Log and drop connections}} }} | |||
{{var | CDC-Default--Hinweis | |||
| Diese Einstellung ist per Default '''nicht''' aktiviert, da die UTM keine Sperrungen durchführt, die nicht ausdrücklich gewollt sind! | |||
| This setting is '''not''' activated by default, as the UTM does not perform any blocking that is not explicitly wanted! }} | |||
{{var | Video-Anleitung | |||
| Anleitung als Kurz-Video | |||
| Instructions as a short video }} | |||
</div>{{TOC2|cap={{#ev:vimeo|https://vimeo.com/685607720||| {{#var:Video-Anleitung}} }} }}{{Header|12.2.2| | </div>{{TOC2|cap={{#ev:vimeo|https://vimeo.com/685607720||| {{#var:Video-Anleitung}} }} }}{{Header|12.2.2| | ||
Zeile 21: | Zeile 262: | ||
{{Hinweis| ! {{#var:Globale Einstellung--Hinweis}} }} | {{Hinweis| ! {{#var:Globale Einstellung--Hinweis}} }} | ||
{{:UTM/RULE/Implizite_Regeln- | {{:UTM/RULE/Implizite_Regeln-GeoIP_v12.2.2}} | ||
Aktuelle Version vom 22. Juli 2022, 11:49 Uhr
notempty
- Neue Funktion 03.2022
Für jedes Land existiert in der UTM dafür eine GeoIP, in der diese Zuweisungen gespeichert werden.
Diese Datenbank wird regelmäßig unabhängig von der Firmware aktualisiert.Die GeoIPs werden von der UTM dabei wie Netzwerkobjekte der Zone external behandelt. → weitere Zonen
Systemweites Blocking
Unter
lassen sich Regionen systemweit als Quelle oder Ziel blockierenDiese Einstellungen gelten systemweit in allen Zonen und werden vor den Portfilter-Regeln angewendet!
GeoIP-basierte Portfilter Regeln
Bestimmten Regionen soll der Zugriff auf bestimmte Ports verwehrt werden.
Hier: Keine Mails aus der Antarktis
Einrichten weiterer Zonen für GeoIP
Liegt die Schnittstelle mit dem Internetzugang in einer anderen Zone oder steht an mehreren Schnittstellen mit weiteren Zonen ein Internetzugang bereit, müssen GeoIP-Netzwerkobjekte dort ebenfalls zur Verfügung stehen.
Dies geschieht mit einem CLI-Befehl.node geoip generate zone <zone> name <prefix>
Der Prefixname ist optional, die Zone muss bereits existieren.
Beispiel: node geoip generate zone external2 name EXT2_
Dieser Befehl erzeugt für jede Region ein zusätzliches Netzwerkobjekt in der Zone external2.
Für Deutschland hieße das dann EXT2_GEOIP:DE
Achtung: Dieser Befehl legt ca. 250 neue Netzwerkobjekte an
Beispiel: Blocking
Bestimmten Regionen soll der Zugriff auf bestimmte Ports verwehrt werden.
Hier: Keine Mails aus der Antarktis
Beispiel: Zugriff erlauben
Der Zugriff auf die OWA-Schnittstelle eines Exchange-Servers soll nur aus Deutschland, Österreich und der Schweiz möglich sein.
Gegeben ist eine Konfiguration wie im Wiki-Artikel dazu beschrieben.
Eine Portfilter Regel erlaubt den Zugriff aus dem Internet auf das externe Interface mit https
Potentiell gefährliche IPs sperren
Unabhängig von der geographischen Zuordnung einer IP können über die Cyber Defence Cloud IPs gesperrt werden, die als potentiell bedrohlich erkannt wurden:
Aktivierung unter Reiter Cyber Defence Cloud Schaltfläche