RBL import als FW Object

Forum zum Thema Firewall

Moderator: Lancom-Systems Moderatoren

Antworten
Pauli
Beiträge: 401
Registriert: 06 Mär 2006, 15:49

RBL import als FW Object

Beitrag von Pauli »

Hallo,

ich habe im 1906 eine FW Regel mit IP's die ich generell blocke, weil Sie z.B. versucht haben in eines meiner Systeme reinzukommen).

In der Regel finde ich auch genau diese IP's auf diversen RBL Listen (insbesondere nutze ich http://www.uceprotect.net). Diese kann ich auch via WGET oder RSYNC downloaden. Jetzt wäre es doch cool wenn ich die IP's gleich in das FW Stations-Object importieren könnte.

Daher meine Frage:
- Verkraftet der Lancom ein Stations-Object mit 15.000 IP's?
- Ist ein solcher Import machbar (ich denke an ein entsprechende Script was via SSH das Object update)?

Danke, Pauli
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: RBL import als FW Object

Beitrag von backslash »

Hi Pauli
- Verkraftet der Lancom ein Stations-Object mit 15.000 IP's?
da wäre ich vorsichtig...

Als erstes mußt du das ziemlich gruselig abrollen (vermultich in 5000 Objekte mit je 3 Adressen und einer Referenz auf das ejweuils vorherige - im IPv6 wäre das "einfacher", weil du da "nur" 15000 Objekte mit gleichem Namen und passender Hash-Erweiterung brauchst: blacklist#00000 ... blacklist#15000).
Als nächstes wird der Regelparser da vermutlich Minuten brauchen das auszurollen. Und dann kommt natürlich der Regel-Lookup bei jeder neuen Session, der dann für alles erlaubte erstmal die 15000 Adressen durchspielen muß. Da wird dann sicherlich so alles interaktive extrem zäh....

Sichere daher deine Dienste lieber einzeln ab - am besten mit Zweifaktor-Authentifizierung. Dann brauchst du auch keine Blacklisten... Außerdem steht der nächste Angreifer garantiert nicht auf der Liste...

Gruß
Backslash
Pauli
Beiträge: 401
Registriert: 06 Mär 2006, 15:49

Re: RBL import als FW Object

Beitrag von Pauli »

Danke und dies habe ich ja fast befürchtet ...

Allerdings habe ich jetzt auch schon ein Stations-Object mit 50 Adressen oder Adressbereichen was problemlos funktioniert, aber 15.000 sind halt eine andere Nummer.

Dann lasse ich es lieber im Gateway zum Schutz meiner Web bzw. Cloud Services welches nach dem Lancom steht, dort habe ich zusätzlich zum Schutz Country und IP listen als Filter, wäre eben schön gewesen wenn die schon ganz vorne am Lancom rausgeflogen wäre. So was können eben Linux Büchsen einfach besser ...

Danke, Pauli
Antworten