Securepoint Support Forum

Hallo zusammen,

gilt das systemweite GeoIP Blocking dann auch für den Mailfilter?
Sprich wenn ich bestimmte Länder blocke, kommen auch keine E-Mails mehr aus diesen Ländern und werden gedroppt?

MfG

Ueber die implizierten Regeln: Ja

Hallo,

weiß jemand, wie ich schnell ALLE Länder blocken kann um dann im Anschluss nur noch D,A,CH wieder rauszunehmen?

Schönes Wochenende

Leider nein. Ist Situationsabhaengig.

Mögliche Lösung:

• Netzwerkgruppe DACH einrichten
• GeoIP DE AT und CH darin aufnehmen
• Im Portfilter alle Regeln mit Netzwerkobjekt internet durch das neue Netzwerkobjekt DACH ersetzen

Die Idee mit DACH Netzwerkobjekt ist gut. Aber die, von den implizierten Regeln, geöffneten Ports bleiben weltweit erreichbar. Da meines Wissens die implizierten Regeln vor dem eigentlichen Regelwerk abgearbeitet werden, oder liege ich da falsch?

Gruß

Korrekt. Die Implizierten Regeln greifen vorab. Auch ausgehende Dienste der Firewall (z.B. Proxy/ Mailrelay) sind hier zu bedenken. Hier kommt man mit regulaeren Portfilterregeln aktuell nicht bei. Implizierte Regeln dagegen greifen.

Wird es dafür noch die Funktion "Blocke alle Länder, bis auf folgende" geben?
In der Wunschbox wurde die Idee ja jetzt einfach mit "Verfügbar" aus der Liste entfernt und auf das Feedback nicht weiter eingegangen.

Kann ich aktuell nicht sagen

Danke für die Rückmeldung. Es wäre glaube ich eine große Hilfe, wenn diese Funktion noch hinzugefügt wird.
Aktuell wird die WebGui komplett überlastet, wenn man versucht alle Länder in die implizierten Regeln einzutragen.

Ich spreche das auf jeden Fall intern an.

gibt es eigentlich eine Möglichkeit zu Überprufen, zu welcher GeoIP eine bestimmte IP-Adresse gehört ? Ähnlich wie bei URL Kategorien. Manchmal weiß man ja nicht wo ein bestimmter Service gehostet wird.

Ja das wäre auch noch cool, wenn man die IPs in den Netzwerktools prüfen könnte.

Ich prüfe die aktuell über folgenden Dienst: https://www.maxmind.com/en/geoip-demo

PS: Es wäre auch schön, wenn man im Log sehen würde das eine Verbindung auf Grund der GeoIP Einstellung geblockt wird.

Eine entsprechende Drop-Meldung fuer die implizierte Regeln wird bereits erzeugt. Falls ueber Portfilterregeln gearbeitet wird > Logging aktivieren.

Soll der Eintrag im Log die Kategorie "DROP: DropSource" sein? Das muss man aber auch erst mal wissen

Genau.

Hallo,
der Securepoint Support beschrieb mir gestern, wie man die Länder auch per CLI einpflegen kann.
Darauf hin habe ich eine kleine Hilfe-Seite zusammengebaut. Dort kann man einfach die Länder auswählen, die man blocken möchte. Die Seite erstellt danach den passenden CLI Code.

Hinweis: Keine Garantie, dass die Länder-Liste vollständig ist und alle Zuordnungen passen. Ich denke es schon, aber man kann ja nie wissen

Es handelt sich noch um eine frühe Version, ggf. kommen noch Funktionen dazu.

https://hctec.net/geoip/

Bei Rückfragen stehe ich euch gerne zur Verfügung.

MfG
Matthias

Große Klasse!

Matthias_Ueberschär

vielen Dank für die Mühe die Du dir gemacht hast.
Was bedeuten die Farben?
Rot = auf jeden Fall blocken
Grün = wichtige Dienste laufen über diese Nationen
schwarz = optional
???

Im Securepoint Partner Forum auf Facebook war diese Funktion schon lange angefragt. Vielleicht magst Du das ja dort mit posten.
[ltr]
Gruß Michael[/ltr]

Hallo Michael,

die Farben haben folgende Bedeutungen:
Rot = Sollte geblockt werden. Ich habe dazu im Internet recherchiert, aus welchen Ländern die meisten Angriffe erfolgen sollen
Grün = Wichtige Dienste bzw. notwendige Verbindungen
Schwarz = Neutral

Das hast du so schon richtig erkannt.

Sollten wir noch bei anderen Diensten Probleme erkennen, würde ich die Länder auch jeweils mit einem Hinweis auf der Seite versehen.

Ich habe kein Facebook (mehr), wenn du möchtest kannst du aber gerne dort die URL posten.

Gruß
Matthias

Moin,

evtl. noch folgende Befehle beim generieren hinzufügen:

system update rule
system config save

Gruß
Kenneth

Hallo Kenneth,

danke für den Hinweis. Ich hab die Befehle mit eingebaut.

Gruß
Matthias

Eine einfache Import Möglichkeit habe ich jetzt auch noch eingebaut. Ist unten auf der Seite zu finden.

Mario hat geschrieben: Eine entsprechende Drop-Meldung fuer die implizierte Regeln wird bereits erzeugt. Falls ueber Portfilterregeln gearbeitet wird > Logging aktivieren.

Moin,

kann es sein, das es hier nun mit der Version 12.2.2.1 einen Bug gibt? Hier erscheinen nur noch Einträge mit "DROP: IPGeoBlockingDst". Es sollten aber auch Einträge in Form von "DROP: IPGeoBlockingSrc" auftauchen oder? In der 12.2.2 war das noch der Fall, da hießen die  Einträge aber auch noch etwas anders.

VG
Kay

Aktuell wird am Geo:IP Blocking noch gearbeitet/ verbessert. die 12.2.2.1 enthaelt bereits einen Bugfix. Kann somit sein, das je nach dem, was Sie konfiguriert haben, nun entsprechend andere Meldungen auftauchen.