Lancom Firewall Geo-Blocking auf Länderbasis

Forum zum Thema Firewall

Moderator: Lancom-Systems Moderatoren

Antworten
Astrofreak85
Beiträge: 2
Registriert: 25 Jan 2022, 23:39

Lancom Firewall Geo-Blocking auf Länderbasis

Beitrag von Astrofreak85 »

Hallo Lncom-Gemeinde,

mehrere unserer Kunden wünschen ein blocken von IPs (in/out) aus den Bereichen China, Russland, Belarus, Ukraine etc.
(Kritische Infrastruktur)
Ist das mit den Lancom-Routern möglich? bzw. implementierbar?

MfG Astro
plumpsack
Beiträge: 569
Registriert: 15 Feb 2018, 20:23

Re: Lancom Firewall Geo-Blocking auf Länderbasis

Beitrag von plumpsack »

Lancom Firewall Geo-Blocking auf Länderbasis
:I)
Finde den Fehler:

A) Kritische Infrastruktur
B) Internet
C) 2022
D) Geo-Blocking auf Länderbasis

hmmm ... ich glaub ich nehm den Publikumsjoker ... ;)

--> Antwort Publikum: A und B
:I)
Obi-wahn
Beiträge: 2
Registriert: 16 Mai 2022, 16:55

Re: Lancom Firewall Geo-Blocking auf Länderbasis

Beitrag von Obi-wahn »

Hallo zusammen,

ich verstehe die Ironie echt nicht ganz :M Was ist an Geoblocking falsch?
Wir suchen genauso eine Funktion. Offenbar gibt der 1781EF+ das nicht her oder?

Alternativ wäre ein Massenimport von geblockten IP-Adressbereichen hilfreich, leider finde ich auch dazu nichts.
Habe jetzt mal einige russische und chinesische IP-Adressbereiche manuell über die Stationsobjekte geblockt, aber bei tausenden von Einträgen pflegt man sich manuell einen Wolf :x

Gibts da echt nichts automatisches?

Gruß
Obi
Benutzeravatar
rotwang
Beiträge: 140
Registriert: 04 Jun 2021, 22:01

Re: Lancom Firewall Geo-Blocking auf Länderbasis

Beitrag von rotwang »

ich verstehe die Ironie echt nicht ganz :M Was ist an Geoblocking falsch?
Nun ja: Daß viele Teilnehmer in diesem Forum (und auch die meisten Entwickler bei LANCOM) Blocking "nach Landkarte" für eine unsinnige Idee halten. Wenn man Traffic sperren will, dann sollte man das anhand der eingehenden Pakete bzw. Verbindungsversuche machen, nicht anhand der Adresse, wo sie herkommen (die ohnehin gefälscht sein kann...). Von Botnetzen infizierte PCs und böse Hacker gibt es in westlichen Ländern mindestens genauso viele wie in vermeintlichen Schurkenstaaten, und selbst wenn der böse Bube irgendwo in Russland oder China sitzt, dann verbindet er sich halt erst mal auf irgendeinen gekaperten Rechner in USA oder Europa und fährt von da den Angriff auf Deinen Rechner - ein Geoblocking nützt Dir dann genau gar nichts. Im Gegenteil, Du sperrst als "Kollateralschaden" jede Menge Unschuldige aus solchen Ländern aus.

Geoblocking als Security-Massnahme ist eine Schwarz/Weiss-Betrachtungsmethode für Manager und Politiker , die die Arbeitsweise des Internet nicht verstehen (wollen?) und einfache Antworten auf komplizierte Probleme verlangen (die es dummerweise nicht gibt). Oder die glauben. daß das mit dem Rückverfolgen so wie in Agentenfilmen funktioniert. Ich hoffe ja, die Admins, die solche kritischen Infrastrukturen betreuen, machen neben Geoblocking (wenn es Ihnen von Ihren Chefs aufgenötigt wird...) noch sinnvolle Maßnahmen: Backdoors schließen, nur genau die Dienste hereinlassen, die man haben will, nur verschlüsselte Zugänge etc. pp. Und wenn man das alles gemacht hat, dann kann man sich so ein Geoblocking eigentlich auch wieder sparen. Bei wirklich "kritischen" Infrastrukturen, wo man professionelle Hacker oder sogar Geheimdienste anderer Länder als Gegner hat, nutzt es ziemlich genau gar nichts.
mabe
Beiträge: 5
Registriert: 16 Mai 2022, 19:39

Re: Lancom Firewall Geo-Blocking auf Länderbasis

Beitrag von mabe »

Selbst die UF gibt das nicht her, der LCOS Router natürlich erst recht nicht.
Ich sehe durchaus einen Sinn in einem Country Filter, natürlich abseits von professioneller Industriespionage und gezielten Attacken.
plumpsack
Beiträge: 569
Registriert: 15 Feb 2018, 20:23

Re: Lancom Firewall Geo-Blocking auf Länderbasis

Beitrag von plumpsack »

Obi-wahn hat geschrieben: 16 Mai 2022, 17:01 ich verstehe die Ironie echt nicht ganz :M Was ist an Geoblocking falsch?
Z.B. Niederländische IP-Adresse registriert auf den Seychellen gehören Russen ... etc.

Da gibt es zig Beispiele: Deutsche IP-Adressen in den USA ... - guck dir dein Syslog an oder gleich auf einen Anbieter der dir die ganze Kette anzeigt ... z.B. ipinfo.io und Co.
Obi-wahn hat geschrieben: 16 Mai 2022, 17:01 Alternativ wäre ein Massenimport von geblockten IP-Adressbereichen hilfreich, ...
Gerne, siehe Anlage, aber guck dir die Liste mit Bedacht an, nicht das du dich selbst aussperrst ;)
Lösche die Einträge die du nicht willst!
Obi-wahn hat geschrieben: 16 Mai 2022, 17:01 Gibts da echt nichts automatisches?
Mir nicht bekannt, evtl. eine Whitelist?
:G)
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
Obi-wahn
Beiträge: 2
Registriert: 16 Mai 2022, 16:55

Re: Lancom Firewall Geo-Blocking auf Länderbasis

Beitrag von Obi-wahn »

ok vielen Dank für die Infos über Geoblocking.
Schon klar, dass die IP nicht unbedingt dort sitzen muss wo es scheint, aber wenn ich mir halt die tausenden von Loginversuchen auf unseren diversen Systemen, insbesondere auf den Mailserver, anschaue, dann sind es halt zu 90% chinesische und russische IPs. D.h. wenn ich die aussperre, dann hab ich 90% weniger Angriffsversuche.

Vielen Dank für die Liste, ich versuche mal einige Einträge mit Bedacht zu importieren :-)

Gruß

Obi
Gigabernie
Beiträge: 1
Registriert: 10 Nov 2023, 10:48

Re: Lancom Firewall Geo-Blocking auf Länderbasis

Beitrag von Gigabernie »

Hallo zusammen,

ich habe auch nach einer Lösung für Lancom gesucht. Die können das offensichtlich noch nicht.
Das wird hoffentlich bei Lancom noch kommen, da ich 2 Firmen mit Lancom übernommen habe.

Securepoint Router können das seit ca. 1 Jahr. Das funktioniert mittlerweile hervorragend.
Das macht mein Leben viel einfacher...

Ob die Russen in den NL registriert sind ist egal.
Bei GeoIp wird der Endpunkt über das Routing identifiziert, nicht der RIPE-Eintrag für den IP-Bereich

@plumpsack: Nomen est Omen

VG Bernie
plumpsack
Beiträge: 569
Registriert: 15 Feb 2018, 20:23

Re: Lancom Firewall Geo-Blocking auf Länderbasis

Beitrag von plumpsack »

Gigabernie hat geschrieben: 10 Nov 2023, 11:18 Ob die Russen in den NL registriert sind ist egal.
Bei GeoIp wird der Endpunkt über das Routing identifiziert, nicht der RIPE-Eintrag für den IP-Bereich
Schnall ich nicht was du damit sagen willst ...
:G)

RU hostet in BG ... und läuft über NL ...

RU hostet in CY und läuft über TR oder NL ... wie/wo auch immer.

Was willst du sagen?

Wird der ASN weggekippst?

:G)
XJ8
Beiträge: 33
Registriert: 19 Okt 2019, 18:17

Re: Lancom Firewall Geo-Blocking auf Länderbasis

Beitrag von XJ8 »

Die Infos, die GeoIP liefert sind auch nicht so wie ich das erwarten würde.
Wenn ich dort meine IP abfrage dann müsste ich lt der Antwort in Berlin sitzen.
Tatsächlich wohne ich aber ca 200 KM westlich von Berlin :lol:
dMatschek
Beiträge: 39
Registriert: 24 Apr 2017, 11:44

Re: Lancom Firewall Geo-Blocking auf Länderbasis

Beitrag von dMatschek »

rotwang hat geschrieben: 16 Mai 2022, 20:30 Geoblocking als Security-Massnahme ist eine Schwarz/Weiss-Betrachtungsmethode für Manager und Politiker
In meinen Augen ist Deine Antwort eine Schwarz/Weiss-Betrachtung der Fragestellung. Geo-Blocking ist ein möglicher und in der Praxis gut funktionierender Baustein eines Gesamtkonzepts. Ein Beispiel einer m.E. nach guten Implementierung sind die Conditional Access Policies im Microsoft Entra (ehem. Azure AD). Dort kann ich bspw. sagen, dass von außerhalb Deutschland (oder der EU...) andere Authentifizierungsstandards gelten. Damit sperre ich niemanden direkt aus, hänge die Messlatte für einen erfolgreichen Angriff aber gleich deutlich höher.
XJ8 hat geschrieben: 15 Nov 2023, 20:12 Wenn ich dort meine IP abfrage dann müsste ich lt der Antwort in Berlin sitzen.
Tatsächlich wohne ich aber ca 200 KM westlich von Berlin :lol:
1980 wäre das evtl. bedeutsam gewesen, ob Ost- oder West-Berlin ;-) Heute wäre das beides Deutschland und im Sinne der Geozuordnung gleichermaßen zu gebrauchen

VG,
Matschek
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Lancom Firewall Geo-Blocking auf Länderbasis

Beitrag von backslash »

Hi dMatschek
Dort kann ich bspw. sagen, dass von außerhalb Deutschland (oder der EU...) andere Authentifizierungsstandards gelten. Damit sperre ich niemanden direkt aus, hänge die Messlatte für einen erfolgreichen Angriff aber gleich deutlich höher.
warum hängst du die Latte nicht für alle so hoch? Zu glauben in Deutschland (oder der EU) sind die Guten und die Bösen sind in Rußland (oder China oder sonstwo) ist Makulartur...
Genau das meinte Rotwang mit seinem Kommentar...

Gruß
Backslash
dMatschek
Beiträge: 39
Registriert: 24 Apr 2017, 11:44

Re: Lancom Firewall Geo-Blocking auf Länderbasis

Beitrag von dMatschek »

Hi Backslash,

Vieles im Security-Bereich muss man mit Wahrscheinlichkeiten und Verhältnissmäigkeiten von Angriffsmöglichkeiten zu Abwehraufwand abschätzten. Betreibt das 1-Mann Handwerker ein aktives IDS, wertet Logs aus, stattet die Weboberfläche seiner Geräte mit eigenen Zertifikaten aus etc.? Nein - er müsste es aber eigentlich genau so machen, wie jedes andere größere Unternehmen.

Wenn ich 95% der Angriffsversuche von vornherein ausschließen kann, weil ich gewisse Adressbereiche aus dem Internet gar nicht erst reinlasse, sinkt rein rechnerisch meine Opferwahrscheinlichkeit, wenn eine andere nachgelagerte Lücke, ein Konfig-Fehler oder was auch immer das nächste Security-Level durchbechen könnte. Ich ziele nicht darauf ab, dass die bösen Jungs aus dem Osten kommen und in DE alle lieb sind, sondern dass ich einfach einen prozentual wesentlichen Teil komlett ausschalte. Es hindert den gezielten Angriffsweg via VPN oder einen gekarperten Server überhaupt nicht, da sind wir uns einig. Aber durch das grobe Netz, was für die Hacking/Spam/Ransomware-Kampagne XY ausgeworfen wird, bleibe ich nur noch bei 5% der Fälle als zu begutachtende potentielle Beute hängen.

VG,
Matschek
Antworten