Securepoint Support Forum

Securepoint Security Solutions Support Forum
https://support.securepoint.de/

Massenimport von IP

https://support.securepoint.de/viewtopic.php?t=11879

Seite 1 von 1

Massenimport von IP

Verfasst: Mo 24.03.2025, 13:38
von betamax65
Hallo,

unter Anwendungen > IDS/IPS besteht die Möglichkeit, IP-Adressen sowohl als Quell- als auch Zieladressen systemweit abzulehnen. Allerdings kann im Webfrontend nur jeweils eine IP-Adresse gleichzeitig eingetragen werden, was bei einer größeren Anzahl von Adressen wenig praktikabel ist. Ich würde gerne über diesen Mechanismus beispielsweise TOR Exitnodes sowie, wenn möglich, kommerziellen VPN-Anbietern den Zugriff verwehren.

Leider finde ich keine Möglichkeit, dies per CLI-Script automatisiert durchzuführen. Gibt es eine Blacklist.txt oder eine ähnliche Datei im System, die man einfach auf die Securepoint UTM kopieren kann, um die entsprechenden IP-Adressen zu blockieren? Falls ja, wäre es auch hilfreich, den entsprechenden Dienst nach dem Kopieren neu zu laden. Eine andere Methode zur Speicherung von massenhaft IP-Adressen wäre ebenfalls von Interesse. Zudem wäre es vorteilhaft, die Möglichkeit zu haben, IP-Adressen wieder zu löschen, zum Beispiel TOR Exitnodes, die auf dynamischen IPs laufen.

Gruß,
Kai

Re: Massenimport von IP

Verfasst: Mo 24.03.2025, 16:05
von pl85
Hallo,

über die CLI geht das

hier der Befehl
https://wiki.securepoint.de/UTM/CLI/Ext ... global_set

brauchst halt ein Script, welches den Befehl erstellt und auf der Firewall per SSH ausführt

Re: Massenimport von IP

Verfasst: Mo 24.03.2025, 16:16
von betamax65
pl85 hat geschrieben:über die CLI geht das
Perfekt, das funktioniert. Das drumherum scripten ist ja nun kein Hexenwerk ;-)

Danke vielmals
Kai

Re: Massenimport von IP

Verfasst: Di 25.03.2025, 11:54
von betamax65
Ergänzung:

Also der Befehl lautet: spcli extc global set { variable GLOB_BLOCK_ADDRESSES value [ 10.12.1.1 10.12.1.2 ] }

Es ist zu beachten, das ALLE gewünschten IPs mit einem Rutsch übertragen werden (IPs mit Leerzeichen getrennt), da mit jeder Ausführung der (die) vorherigen Einträge überschrieben werden.

Ich habe mir ein Script gebastelt welcher alle TOR Exitnodes aus dem Internet lädt und zusätzlich noch aus ulogd* alle Einträge die wegen CommandAndControl_Re rejected wurden.

Ich habe so ca. 1.500 IPs mit diesem Befehl in die systemweite Blockliste eingetragen und das hat die UTM klaglos so hingenommen.

Gruß
Kai

PS.: Falls jemand eine gute Quelle für IPs die von kommerziellen Anonymisierungsdiensten (z.B. NordVPN, ExpressVPN, CyberGhost etc) hat, wäre ich dankbar dafür.
Alle Zeiten sind UTC+02:00
Seite 1 von 1

Powered by phpBB® Forum Software © phpBB Limited

Deutsche Übersetzung durch phpBB.de