GeoIP firewall ?

wszystko inne - NIE licząc sprzętu typu SOHO!!!
Wiadomość
Autor
Awatar użytkownika
ObiektywNy
wannabe
wannabe
Posty: 181
Rejestracja: 03 sty 2011, 19:43

GeoIP firewall ?

#1

#1 Post autor: ObiektywNy »

Szukam urządzenia firewall które ma opcje blokady GeoIP kraju.
Jesteście w stanie cos polecić. Na necie Baracuda się cos reklamuje ze ich nowe firewalls maja taka opcje ale nie moge doszukać się konkretnego modelu.

Awatar użytkownika
wookasch
wannabe
wannabe
Posty: 164
Rejestracja: 03 cze 2009, 16:23
Lokalizacja: Berlin

Re: GeoIP firewall ?

#2

#2 Post autor: wookasch »

ObiektywNy pisze:Szukam urządzenia firewall które ma opcje blokady GeoIP kraju.
Jesteście w stanie cos polecić. Na necie Baracuda się cos reklamuje ze ich nowe firewalls maja taka opcje ale nie moge doszukać się konkretnego modelu.
PaloAlto
https://live.paloaltonetworks.com/docs/DOC-7856

Awatar użytkownika
ObiektywNy
wannabe
wannabe
Posty: 181
Rejestracja: 03 sty 2011, 19:43

#3

#3 Post autor: ObiektywNy »

Dzieki wielkie.

tns
wannabe
wannabe
Posty: 62
Rejestracja: 31 lip 2009, 18:36

#4

#4 Post autor: tns »

Cześć,


Fortigate, Huawei :) też mają.

lukaszbw
CCIE
CCIE
Posty: 516
Rejestracja: 23 mar 2008, 11:41

#5

#5 Post autor: lukaszbw »

Na ASA nie ma problemu. Kwestia wprowadzenia odpowiednich regułek. ASA bez problemu obsługują od kilkudziesięciu do kilkuset tysięcy regułek.

Można skorzystać choćby z :

http://www.ipdeny.com/ipblocks/data/countries/cn.zone

To przykład dla Chin. Są też płatne serwisy.

Przy rozproszonych instalacjach dobrym rozwiązaniem jest BGP z uRPF i blackholing (source based RTBH). Nie zaśmieca wtedy konfiguracji i na routerach brzegowych można już filtrować przy znikomym wpływie na wydajność.

Pozdr.
Lukasz Wisniowski MSc CCNA CCNP CCIE #20319
Tandem Networks
ul. Sztormowa 34
94-117 Łódź
NIP: 727-257-72-37
tel: +48 (42) 2091825

Kyniu
wannabe
wannabe
Posty: 3595
Rejestracja: 04 lis 2006, 16:23
Kontakt:

#6

#6 Post autor: Kyniu »

Tylko jaki to ma sens jak za darmo albo za jakieś niewielkie pieniądze mogę się "objawić" prawie dowolnym krajem świata.

Awatar użytkownika
gaph
CCIE / Instruktor CNAP
CCIE / Instruktor CNAP
Posty: 419
Rejestracja: 23 lip 2004, 21:16
Lokalizacja: Wrocław, Polska
Kontakt:

#7

#7 Post autor: gaph »

ASA z usługami FirePOWER wspiera GeoIP Firewalling.

Dodam, że Snort z GeoIP również wspiera, w korzystnej cenie $0.
Ostatnio zmieniony 11 gru 2014, 14:53 przez gaph, łącznie zmieniany 2 razy.
| Few people know what actually goes on in the CCIE Lab, it's shrouded in mystery |
| and of course there's the NDA. | Sometimes our friends go to the lab |
| and return CCIEs. | Sometimes they don't return at all. |

Awatar użytkownika
ObiektywNy
wannabe
wannabe
Posty: 181
Rejestracja: 03 sty 2011, 19:43

#8

#8 Post autor: ObiektywNy »

Kyniu pisze:Tylko jaki to ma sens jak za darmo albo za jakieś niewielkie pieniądze mogę się "objawić" prawie dowolnym krajem świata.
Tu nie chodzi by uzywać usługę GeoIP przeciwko jakimuś "hakerowi", ktory ma polączenia VPN z calym swiatem bo taka osoba jak bardzo zechce to wykożysta inne mechanizmy by wlamac sie do sieci. Chodzi mi o to by zatrzymac internetowe roboty ktore skanuja IP i szukaja otwartych portow jak np 21, 22.

Z racji ze nawiecej uderzen jest z Chin Rosji i jeszcze innych wschodnich krajów GeoIP ukryje te otwarte uslugi na caly internetowy smietnik.
Z tego co obserwuje sa to zazwyczaj 3 x 3 uderzenia na dany port z różnych IP i tak w kołko, jak sie podczepi kilkadziesiat takich robotow to zaczyna wszystko zwalniac, i chyba cala idea GeoIP jest walsnie po to by ograniczyc pule IP z jakich moga skanowac roboty. Jezeli zezwolimy tylko jeden ktraj, a jeszce taki w ktorym isnieje jakies prawo i mozna sie dogadac z administratorem sieci, z ktorego nadchodzi atak, latwiej jest wychwycic i zatrzymac cos takiego.

lbromirs
CCIE
CCIE
Posty: 4101
Rejestracja: 30 lis 2006, 08:44

#9

#9 Post autor: lbromirs »

Tego typu ochrona jest bez sensu i zupełnie nie rozumiem, czemu wszyscy nagle chcą blokować ruch zakresami.

Nie po to budowaliśmy internet, żeby sobie teraz budować kolejne granice. Ktoś przejmie od Ciebie ten system ze zblokowanymi zakresami IP za dwa lata i się okaże, że w międzyczasie IP zmieniło właścicieli i blokujesz normalną komunikację. Co więcej, będzie to gdzieś zakopane w regułkach, których "od zawsze" nikt już nie oglądał, bez informacji "a właściwie dlaczego to blokujemy?" i będzie z tym więcej problemów niż korzyści.

Zdecydowanie sensowniejsze jest - skoro już chcesz wykrywać włamania bardziej inteligentnie niż na podstawie blokowania całych zakresów IP - pójść w analizę ruchu.

Co z tego, że łączą się po SSH? Jeśli to natrętny robot, jakiś rate-limiter czy wykrywacz anomalii powinien go odciąć po paru próbach - na jakiś czas, a nie na zawsze. Masz dziurawe SSH? To masz inny problem niż blokowanie zakresów z Chin.

Kyniu
wannabe
wannabe
Posty: 3595
Rejestracja: 04 lis 2006, 16:23
Kontakt:

#10

#10 Post autor: Kyniu »

GeoIP wymyśliły "holywoody" jak nazywa je pewien człowiek, żeby przestrzegać licencji. I jakbyś odpisał, że robisz to jako dupokrytkę dla prawników, to jeszcze bym zrozumiał. Nie ważne, że nie działa i Polacy spokojnie oglądają Netflixa czy inne serwisy, ważne że spełniono zapis licencyjny. Ale opieranie na tym security to jak napisał Łukasz - droga donikąd.

Awatar użytkownika
krisiasty
wannabe
wannabe
Posty: 483
Rejestracja: 07 lut 2006, 22:26
Lokalizacja: Gdańsk

#11

#11 Post autor: krisiasty »

lbromirs pisze:Tego typu ochrona jest bez sensu i zupełnie nie rozumiem, czemu wszyscy nagle chcą blokować ruch zakresami.
chyba trochę zbyt uogólniasz...
lbromirs pisze:Nie po to budowaliśmy internet, żeby sobie teraz budować kolejne granice.
a firewalle generalnie to po co zbudowaliście? :)
lbromirs pisze:Ktoś przejmie od Ciebie ten system ze zblokowanymi zakresami IP za dwa lata i się okaże, że w międzyczasie IP zmieniło właścicieli i blokujesz normalną komunikację. Co więcej, będzie to gdzieś zakopane w regułkach, których "od zawsze" nikt już nie oglądał, bez informacji "a właściwie dlaczego to blokujemy?" i będzie z tym więcej problemów niż korzyści.
chyba że robisz to z głową z jakiegoś zewnętrznego źródła aktualizowanego na bieżąco + masz sensowną dokumentację systemu...
lbromirs pisze:Zdecydowanie sensowniejsze jest - skoro już chcesz wykrywać włamania bardziej inteligentnie niż na podstawie blokowania całych zakresów IP - pójść w analizę ruchu.
nie zawsze się ma pod ręką to co się chce. lepiej blokować ruch z "niechcianych" sieci niż wcale, czyż nie?
lbromirs pisze:Masz dziurawe SSH? To masz inny problem niż blokowanie zakresów z Chin.
zakładasz że dowiadujesz się o dziurze zanim zrobią (i wykorzystają) to inni... tak, wiem, zaraz powiesz że znowu ips-y czy inna analiza treści powinna to złapać... a jak nie złapie? albo znowu nie masz dostępnych takich narzędzi?

lbromirs
CCIE
CCIE
Posty: 4101
Rejestracja: 30 lis 2006, 08:44

#12

#12 Post autor: lbromirs »

krisiasty pisze:
lbromirs pisze:Tego typu ochrona jest bez sensu i zupełnie nie rozumiem, czemu wszyscy nagle chcą blokować ruch zakresami.
chyba trochę zbyt uogólniasz...
Trochę.
krisiasty pisze:
lbromirs pisze:Nie po to budowaliśmy internet, żeby sobie teraz budować kolejne granice.
a firewalle generalnie to po co zbudowaliście? :)
Firewall sam w sobie to jedno. Zakładanie szerokich, generalnych ograniczeń to budowanie niepotrzebnych granic.
krisiasty pisze:
lbromirs pisze:Ktoś przejmie od Ciebie ten system ze zblokowanymi zakresami IP za dwa lata i się okaże, że w międzyczasie IP zmieniło właścicieli i blokujesz normalną komunikację. Co więcej, będzie to gdzieś zakopane w regułkach, których "od zawsze" nikt już nie oglądał, bez informacji "a właściwie dlaczego to blokujemy?" i będzie z tym więcej problemów niż korzyści.
chyba że robisz to z głową z jakiegoś zewnętrznego źródła aktualizowanego na bieżąco + masz sensowną dokumentację systemu...
"Chyba że". Do tej pory w swojej karierze widziałem dwa takie przypadki - i wymagało to ogromnego zaangażowania ludzi i narzędzi, a zatem kosztów. W pozostałych przypadkach, nawet pewnych Bardzo Dużych Podmiotów Ogólnoświatowych, zawsze gdzieś nowa świetna koncepcja statycznych list/adresów zawsze gdzieś gryzła w piętę w najmniej oczekiwanym momencie.
krisiasty pisze:
lbromirs pisze:Zdecydowanie sensowniejsze jest - skoro już chcesz wykrywać włamania bardziej inteligentnie niż na podstawie blokowania całych zakresów IP - pójść w analizę ruchu.
nie zawsze się ma pod ręką to co się chce. lepiej blokować ruch z "niechcianych" sieci niż wcale, czyż nie?
...ale w ten sposób najprościej po prostu odciąć się od internetu.
krisiasty pisze:
lbromirs pisze:Masz dziurawe SSH? To masz inny problem niż blokowanie zakresów z Chin.
zakładasz że dowiadujesz się o dziurze zanim zrobią (i wykorzystają) to inni... tak, wiem, zaraz powiesz że znowu ips-y czy inna analiza treści powinna to złapać... a jak nie złapie? albo znowu nie masz dostępnych takich narzędzi?
Zakładam, że dowiadujesz się i w najgorszym wypadku wyłączasz na czas załatania, lub dodajesz dla tej konkretnie aplikacji konkretne ograniczenie. Ale wtedy dużo sensowniejszy jest zestaw paru/nastu adresów IP w whiteliście, niż dodatkowe wpisy do blacklisty. Ponieważ jak dziura jest, nie tylko Chińczycy będą chcieli ją wykorzystać - wszystkie średnio inteligentne boty rzucą się do jej mapowania w ciągu paru minut. A i trojany w Twojej własnej sieci mogą się zainteresować.

Awatar użytkownika
krisiasty
wannabe
wannabe
Posty: 483
Rejestracja: 07 lut 2006, 22:26
Lokalizacja: Gdańsk

#13

#13 Post autor: krisiasty »

lbromirs pisze:Firewall sam w sobie to jedno. Zakładanie szerokich, generalnych ograniczeń to budowanie niepotrzebnych granic.
słowo-klucz: niepotrzebnych

zakładam że nikt nie szuka takich rozwiązań z nudów, tylko ma ku temu jakiś powód wynikający z potrzeby. internet bez granic to utopia. każdy decyduje we własnym zakresie co, komu i na jakich zasadach chce udostępniać i skoro nie chce mieć połączeń z jakiegoś kraju (ze wszystkimi tego konsekwencjami) to dlaczego nie?

zresztą wcale nie jest powiedziane że geoip można tylko do tego celu wykorzystywać. dlaczenie nie potraktować tego po prostu jako kryterium które można wykorzystać w polityce sterowania ruchem (pbr/qos albo w sdn) ?
lbromirs pisze:"Chyba że". Do tej pory w swojej karierze widziałem dwa takie przypadki - i wymagało to ogromnego zaangażowania ludzi i narzędzi, a zatem kosztów. W pozostałych przypadkach, nawet pewnych Bardzo Dużych Podmiotów Ogólnoświatowych, zawsze gdzieś nowa świetna koncepcja statycznych list/adresów zawsze gdzieś gryzła w piętę w najmniej oczekiwanym momencie.
no proszę cię... myślałem że wykluczyliśmy już statyczne listy/adresy...
jest sporo opensource-owych projektów typu pfsense z pluginem pfblocker które załatwiają ten temat, kilka komercyjnych też pewnie się znajdzie. użycie takich dynamicznych list i ich aktualizacja nie wymaga jakichś ogromnych nakładów administracyjnych ani pieniężnych...

lbromirs pisze:
krisiasty pisze:
lbromirs pisze:Zdecydowanie sensowniejsze jest - skoro już chcesz wykrywać włamania bardziej inteligentnie niż na podstawie blokowania całych zakresów IP - pójść w analizę ruchu.
nie zawsze się ma pod ręką to co się chce. lepiej blokować ruch z "niechcianych" sieci niż wcale, czyż nie?
...ale w ten sposób najprościej po prostu odciąć się od internetu.
od części internetu. tej z której nie życzymy sobie połączeń. co w tym złego? kryterium kraju do którego "należy" dany ip jest równie dobrym kryterium jak każde inne.
lbromirs pisze:
krisiasty pisze:
lbromirs pisze:Masz dziurawe SSH? To masz inny problem niż blokowanie zakresów z Chin.
zakładasz że dowiadujesz się o dziurze zanim zrobią (i wykorzystają) to inni... tak, wiem, zaraz powiesz że znowu ips-y czy inna analiza treści powinna to złapać... a jak nie złapie? albo znowu nie masz dostępnych takich narzędzi?
Zakładam, że dowiadujesz się i w najgorszym wypadku wyłączasz na czas załatania, lub dodajesz dla tej konkretnie aplikacji konkretne ograniczenie.
Ale wtedy dużo sensowniejszy jest zestaw paru/nastu adresów IP w whiteliście, niż dodatkowe wpisy do blacklisty. Ponieważ jak dziura jest, nie tylko Chińczycy będą chcieli ją wykorzystać - wszystkie średnio inteligentne boty rzucą się do jej mapowania w ciągu paru minut. A i trojany w Twojej własnej sieci mogą się zainteresować.
wiesz, to trochę tak jakbyś sugerował nie stosować wiz i kontroli na granicach bo i tak wszyscy niebezpieczni przestępcy mogą wjechać / wlecieć / wpłynąć czy inny sposób przedostać się do kraju jak będą chcieli.

filtrowanie po kraju nie ma być przecież jedynym / ostatecznym rozwiązaniem wszystkich problemów - to tylko jeden z elementów jakiejś polityki i jak już pisałem - lepiej go stosować (tam gdzie to możliwe i uzasadnione) niż nie. nie wiem w ogóle czemu o tym dyskutujemy - zasada stosowania wielu róznych zabezpieczeń jest już niemodna, czy co?

ODPOWIEDZ