Aktiviert die GeoIP Einstellungen sowohl für Quellen, als auch für Ziele
Ein
IPGeoBlockingSrc
Aktiviert die GeoIP Einstellungen für abgelehnte Quellen
Ein
IPGeoBlockingDst
Aktiviert die GeoIP Einstellungen für abgelehnte Ziele
GeoIP Einstellungen
GeoIP Einstellungen
Beschriftung
Wert
Beschreibung
Dialog: GeoIP Einstellungen
Systemweit abgelehnte Quellen:
×BX (Beliebiges Beispiel)
In der Klickbox können Länder ausgewählt werden, die als Quellen blockiert werden sollen.
Gruppe:
Alle
Auswahl aus voreingestellten Gruppen, welche z.B. alle Länder eines Kontinents auswählt.
+Hinzufügen
Fügt die Regionen aus der ausgewählten Gruppe hinzu
-Entfernen
Entfernt die Regionen aus der ausgewählten Gruppe
Ausnahmen (Quellen):
×IP-Adresse
Hier können Ausnahmen für systemweit abgelehnte Quellen definiert werden.
Systemweit abgelehnte Ziele:
×BX (Beliebiges Beispiel)
In der Klickbox können Länder ausgewählt werden, die als Ziele blockiert werden sollen. Damit werden Zugriffe über Browser ebenso unterbunden, wie z.B. nachgeladener Schadcode.
Ausnahmen (Ziele):
×IP-Adresse
Hier können Ausnahmen für systemweit abgelehnte Ziele definiert werden.
GeoIP-basierte Portfilter Regeln
Bestimmten Regionen soll der Zugriff auf bestimmte Ports verwehrt werden. Hier: Keine Mails aus der Antarktis
GeoIPs haben per Default die Zone external
Einrichten weiterer Zonen für GeoIP
Liegt die Schnittstelle mit dem Internetzugang in einer anderen Zone oder steht an mehreren Schnittstellen mit weiteren Zonen ein Internetzugang bereit, müssen GeoIP-Netzwerkobjekte dort ebenfalls zur Verfügung stehen.
Dies geschieht mit einem CLI-Befehl.
node geoip generate zone <zone> name <prefix>
Der Prefixname ist optional, die Zone muss bereits existieren.
Beispiel: node geoip generate zone external2 name EXT2_
Dieser Befehl erzeugt für jede Region ein zusätzliches Netzwerkobjekt in der Zone external2. Für Deutschland hieße das dann EXT2_GEOIP:DE Achtung: Dieser Befehl legt ca. 250 neue Netzwerkobjekte an
Beispiel: Blocking
Bestimmten Regionen soll der Zugriff auf bestimmte Ports verwehrt werden. Hier: Keine Mails aus der Antarktis
Schritt 1: Anlegen einer Netzwerkgruppe
Schritt 1: Anlegen einer Netzwerkgruppe
Beschriftung
Wert
Beschreibung
Hinzufügen einer Netzwerkgruppe für GeoIPs, die blockiert werden sollen im Abschnitt Netzwerkgruppen mit der Schaltfläche Gruppe hinzufügen
Name:
Geo-Blocking-Mail
Aussagekräftiger Name für die Netzwerkgruppe
Speichern
Schritt 2: GeoIPs hinzufügen
Schritt 2: GeoIPs hinzufügen
→
Geo-Blocking-Mail
Soeben angelegte Netzwerkgruppe durch Anklicken öffnen
Netzwerkobjekte
ant
Suchtext für gewünschtes Land
Zu Gruppe hinzufügen
GEOIP:XY
Fügt die Region der Gruppe hinzu Hovern über dem Icon zeigt den vollständigen Namen an
Schritt 3: Portfilter Regel hinzufügen
Schritt 3: Portfilter Regel hinzufügen
Neue Portfilter Regel anlegen unter → Firewall →PortfilterReiter Portfilter mit der Schaltfläche Regel hinzufügen
Quelle:
Geo-Blocking-Mail
Im Dropdown-Menü im Abschnitt GeoIP Netzwerkgruppen die gewünschte Gruppe auswählen
Ziel:
external-interface
Schnittstelle, auf der die zu blockierende Pakete ankommen
Dienst:
smtp
Dienst oder Dienstgruppe, der bzw. die blockiert werden soll
Aktion:
DROP
Verwirft die Pakete
Logging:
SHORT
Gewünschtes Logging wählen
Gruppe
default
Auswahl aus voreingestellten Gruppen, welche z.B. alle Länder eines Kontinents auswählt.
Hinzufügen und schließen
Schritt 4: Regeln aktualisieren
Schritt 4: Regeln aktualisieren
Regeln aktualisieren
Beispiel: Zugriff erlauben
Der Zugriff auf die OWA-Schnittstelle eines Exchange-Servers soll nur aus Deutschland, Österreich und der Schweiz möglich sein. Gegeben ist eine Konfiguration wie im Wiki-Artikel dazu beschrieben. Eine Portfilter Regel erlaubt den Zugriff aus dem Internet auf das externe Interface mit https
Schritt 1: Anlegen einer Netzwerkgruppe
Schritt 1: Anlegen einer Netzwerkgruppe
Beschriftung
Wert
Beschreibung
Hinzufügen einer Netzwerkgruppe für GeoIPs, die Zugriff erhalten sollen im Abschnitt Netzwerkgruppen mit der Schaltfläche Gruppe hinzufügen
Name:
GeoIP-OWA
Aussagekräftiger Name für die Netzwerkgruppe
Speichern
Schritt 2: GeoIPs hinzufügen
Schritt 2: GeoIPs hinzufügen
→
GeoIP-OWA
Soeben angelegte Netzwerkgruppe durch Anklicken öffnen
Netzwerkobjekte
schw
Suchtext für gewünschtes Land
Zu Gruppe hinzufügen
GEOIP:XY
Fügt die Region der Gruppe hinzu Hovern über dem Icon zeigt den vollständigen Namen an
Schritt 3: Bestehende Regel bearbeiten
Schritt 3: Bestehende Regel bearbeiten
Bestehende Portfilter Regel bearbeiten unter → Firewall →PortfilterReiter Portfilter mit der Schaltfläche
Quelle:
GeoIP-OWA
Im Dropdown-Menü im Abschnitt GeoIP Netzwerkgruppen die gewünschte Gruppe auswählen
Ziel:
external-interface
Schnittstelle, auf der die zu blockierende Pakete ankommen
Dienst:
https
Dienst oder Dienstgruppe, der bzw. die blockiert werden soll
Aktion:
ACCEPT
Lässt die Pakete durch
Logging:
SHORT
Gewünschtes Logging wählen
Gruppe
default
Auswahl aus voreingestellten Gruppen, welche z.B. alle Länder eines Kontinents auswählt.
Speichern
Schritt 4: Regeln aktualisieren
Schritt 4: Regeln aktualisieren
Regeln aktualisieren
Potentiell gefährliche IPs sperren
Unabhängig von der geographischen Zuordnung einer IP können über die Cyber Defence Cloud IPs gesperrt werden, die als potentiell bedrohlich erkannt wurden: Aktivierung unter → Anwendungen →IDS/IPSReiter Cyber Defence Cloud Schaltfläche Verbindungen protokollieren und blockieren
Diese Einstellung ist per Default nicht aktiviert, da die UTM keine Sperrungen durchführt, die nicht ausdrücklich gewollt sind!