GeoIP firewall ?
- ObiektywNy
- wannabe
- Posty: 181
- Rejestracja: 03 sty 2011, 19:43
GeoIP firewall ?
Szukam urządzenia firewall które ma opcje blokady GeoIP kraju.
Jesteście w stanie cos polecić. Na necie Baracuda się cos reklamuje ze ich nowe firewalls maja taka opcje ale nie moge doszukać się konkretnego modelu.
Jesteście w stanie cos polecić. Na necie Baracuda się cos reklamuje ze ich nowe firewalls maja taka opcje ale nie moge doszukać się konkretnego modelu.
Re: GeoIP firewall ?
PaloAltoObiektywNy pisze:Szukam urządzenia firewall które ma opcje blokady GeoIP kraju.
Jesteście w stanie cos polecić. Na necie Baracuda się cos reklamuje ze ich nowe firewalls maja taka opcje ale nie moge doszukać się konkretnego modelu.
https://live.paloaltonetworks.com/docs/DOC-7856
Na ASA nie ma problemu. Kwestia wprowadzenia odpowiednich regułek. ASA bez problemu obsługują od kilkudziesięciu do kilkuset tysięcy regułek.
Można skorzystać choćby z :
http://www.ipdeny.com/ipblocks/data/countries/cn.zone
To przykład dla Chin. Są też płatne serwisy.
Przy rozproszonych instalacjach dobrym rozwiązaniem jest BGP z uRPF i blackholing (source based RTBH). Nie zaśmieca wtedy konfiguracji i na routerach brzegowych można już filtrować przy znikomym wpływie na wydajność.
Pozdr.
Można skorzystać choćby z :
http://www.ipdeny.com/ipblocks/data/countries/cn.zone
To przykład dla Chin. Są też płatne serwisy.
Przy rozproszonych instalacjach dobrym rozwiązaniem jest BGP z uRPF i blackholing (source based RTBH). Nie zaśmieca wtedy konfiguracji i na routerach brzegowych można już filtrować przy znikomym wpływie na wydajność.
Pozdr.
Lukasz Wisniowski MSc CCNA CCNP CCIE #20319
Tandem Networks
ul. Sztormowa 34
94-117 Łódź
NIP: 727-257-72-37
tel: +48 (42) 2091825
Tandem Networks
ul. Sztormowa 34
94-117 Łódź
NIP: 727-257-72-37
tel: +48 (42) 2091825
- gaph
- CCIE / Instruktor CNAP
- Posty: 419
- Rejestracja: 23 lip 2004, 21:16
- Lokalizacja: Wrocław, Polska
- Kontakt:
ASA z usługami FirePOWER wspiera GeoIP Firewalling.
Dodam, że Snort z GeoIP również wspiera, w korzystnej cenie $0.
Dodam, że Snort z GeoIP również wspiera, w korzystnej cenie $0.
Ostatnio zmieniony 11 gru 2014, 14:53 przez gaph, łącznie zmieniany 2 razy.
| Few people know what actually goes on in the CCIE Lab, it's shrouded in mystery |
| and of course there's the NDA. | Sometimes our friends go to the lab |
| and return CCIEs. | Sometimes they don't return at all. |
| and of course there's the NDA. | Sometimes our friends go to the lab |
| and return CCIEs. | Sometimes they don't return at all. |
- ObiektywNy
- wannabe
- Posty: 181
- Rejestracja: 03 sty 2011, 19:43
Tu nie chodzi by uzywać usługę GeoIP przeciwko jakimuś "hakerowi", ktory ma polączenia VPN z calym swiatem bo taka osoba jak bardzo zechce to wykożysta inne mechanizmy by wlamac sie do sieci. Chodzi mi o to by zatrzymac internetowe roboty ktore skanuja IP i szukaja otwartych portow jak np 21, 22.Kyniu pisze:Tylko jaki to ma sens jak za darmo albo za jakieś niewielkie pieniądze mogę się "objawić" prawie dowolnym krajem świata.
Z racji ze nawiecej uderzen jest z Chin Rosji i jeszcze innych wschodnich krajów GeoIP ukryje te otwarte uslugi na caly internetowy smietnik.
Z tego co obserwuje sa to zazwyczaj 3 x 3 uderzenia na dany port z różnych IP i tak w kołko, jak sie podczepi kilkadziesiat takich robotow to zaczyna wszystko zwalniac, i chyba cala idea GeoIP jest walsnie po to by ograniczyc pule IP z jakich moga skanowac roboty. Jezeli zezwolimy tylko jeden ktraj, a jeszce taki w ktorym isnieje jakies prawo i mozna sie dogadac z administratorem sieci, z ktorego nadchodzi atak, latwiej jest wychwycic i zatrzymac cos takiego.
Tego typu ochrona jest bez sensu i zupełnie nie rozumiem, czemu wszyscy nagle chcą blokować ruch zakresami.
Nie po to budowaliśmy internet, żeby sobie teraz budować kolejne granice. Ktoś przejmie od Ciebie ten system ze zblokowanymi zakresami IP za dwa lata i się okaże, że w międzyczasie IP zmieniło właścicieli i blokujesz normalną komunikację. Co więcej, będzie to gdzieś zakopane w regułkach, których "od zawsze" nikt już nie oglądał, bez informacji "a właściwie dlaczego to blokujemy?" i będzie z tym więcej problemów niż korzyści.
Zdecydowanie sensowniejsze jest - skoro już chcesz wykrywać włamania bardziej inteligentnie niż na podstawie blokowania całych zakresów IP - pójść w analizę ruchu.
Co z tego, że łączą się po SSH? Jeśli to natrętny robot, jakiś rate-limiter czy wykrywacz anomalii powinien go odciąć po paru próbach - na jakiś czas, a nie na zawsze. Masz dziurawe SSH? To masz inny problem niż blokowanie zakresów z Chin.
Nie po to budowaliśmy internet, żeby sobie teraz budować kolejne granice. Ktoś przejmie od Ciebie ten system ze zblokowanymi zakresami IP za dwa lata i się okaże, że w międzyczasie IP zmieniło właścicieli i blokujesz normalną komunikację. Co więcej, będzie to gdzieś zakopane w regułkach, których "od zawsze" nikt już nie oglądał, bez informacji "a właściwie dlaczego to blokujemy?" i będzie z tym więcej problemów niż korzyści.
Zdecydowanie sensowniejsze jest - skoro już chcesz wykrywać włamania bardziej inteligentnie niż na podstawie blokowania całych zakresów IP - pójść w analizę ruchu.
Co z tego, że łączą się po SSH? Jeśli to natrętny robot, jakiś rate-limiter czy wykrywacz anomalii powinien go odciąć po paru próbach - na jakiś czas, a nie na zawsze. Masz dziurawe SSH? To masz inny problem niż blokowanie zakresów z Chin.
GeoIP wymyśliły "holywoody" jak nazywa je pewien człowiek, żeby przestrzegać licencji. I jakbyś odpisał, że robisz to jako dupokrytkę dla prawników, to jeszcze bym zrozumiał. Nie ważne, że nie działa i Polacy spokojnie oglądają Netflixa czy inne serwisy, ważne że spełniono zapis licencyjny. Ale opieranie na tym security to jak napisał Łukasz - droga donikąd.
chyba trochę zbyt uogólniasz...lbromirs pisze:Tego typu ochrona jest bez sensu i zupełnie nie rozumiem, czemu wszyscy nagle chcą blokować ruch zakresami.
a firewalle generalnie to po co zbudowaliście?lbromirs pisze:Nie po to budowaliśmy internet, żeby sobie teraz budować kolejne granice.
chyba że robisz to z głową z jakiegoś zewnętrznego źródła aktualizowanego na bieżąco + masz sensowną dokumentację systemu...lbromirs pisze:Ktoś przejmie od Ciebie ten system ze zblokowanymi zakresami IP za dwa lata i się okaże, że w międzyczasie IP zmieniło właścicieli i blokujesz normalną komunikację. Co więcej, będzie to gdzieś zakopane w regułkach, których "od zawsze" nikt już nie oglądał, bez informacji "a właściwie dlaczego to blokujemy?" i będzie z tym więcej problemów niż korzyści.
nie zawsze się ma pod ręką to co się chce. lepiej blokować ruch z "niechcianych" sieci niż wcale, czyż nie?lbromirs pisze:Zdecydowanie sensowniejsze jest - skoro już chcesz wykrywać włamania bardziej inteligentnie niż na podstawie blokowania całych zakresów IP - pójść w analizę ruchu.
zakładasz że dowiadujesz się o dziurze zanim zrobią (i wykorzystają) to inni... tak, wiem, zaraz powiesz że znowu ips-y czy inna analiza treści powinna to złapać... a jak nie złapie? albo znowu nie masz dostępnych takich narzędzi?lbromirs pisze:Masz dziurawe SSH? To masz inny problem niż blokowanie zakresów z Chin.
Trochę.krisiasty pisze:chyba trochę zbyt uogólniasz...lbromirs pisze:Tego typu ochrona jest bez sensu i zupełnie nie rozumiem, czemu wszyscy nagle chcą blokować ruch zakresami.
Firewall sam w sobie to jedno. Zakładanie szerokich, generalnych ograniczeń to budowanie niepotrzebnych granic.krisiasty pisze:a firewalle generalnie to po co zbudowaliście?lbromirs pisze:Nie po to budowaliśmy internet, żeby sobie teraz budować kolejne granice.
"Chyba że". Do tej pory w swojej karierze widziałem dwa takie przypadki - i wymagało to ogromnego zaangażowania ludzi i narzędzi, a zatem kosztów. W pozostałych przypadkach, nawet pewnych Bardzo Dużych Podmiotów Ogólnoświatowych, zawsze gdzieś nowa świetna koncepcja statycznych list/adresów zawsze gdzieś gryzła w piętę w najmniej oczekiwanym momencie.krisiasty pisze:chyba że robisz to z głową z jakiegoś zewnętrznego źródła aktualizowanego na bieżąco + masz sensowną dokumentację systemu...lbromirs pisze:Ktoś przejmie od Ciebie ten system ze zblokowanymi zakresami IP za dwa lata i się okaże, że w międzyczasie IP zmieniło właścicieli i blokujesz normalną komunikację. Co więcej, będzie to gdzieś zakopane w regułkach, których "od zawsze" nikt już nie oglądał, bez informacji "a właściwie dlaczego to blokujemy?" i będzie z tym więcej problemów niż korzyści.
...ale w ten sposób najprościej po prostu odciąć się od internetu.krisiasty pisze:nie zawsze się ma pod ręką to co się chce. lepiej blokować ruch z "niechcianych" sieci niż wcale, czyż nie?lbromirs pisze:Zdecydowanie sensowniejsze jest - skoro już chcesz wykrywać włamania bardziej inteligentnie niż na podstawie blokowania całych zakresów IP - pójść w analizę ruchu.
Zakładam, że dowiadujesz się i w najgorszym wypadku wyłączasz na czas załatania, lub dodajesz dla tej konkretnie aplikacji konkretne ograniczenie. Ale wtedy dużo sensowniejszy jest zestaw paru/nastu adresów IP w whiteliście, niż dodatkowe wpisy do blacklisty. Ponieważ jak dziura jest, nie tylko Chińczycy będą chcieli ją wykorzystać - wszystkie średnio inteligentne boty rzucą się do jej mapowania w ciągu paru minut. A i trojany w Twojej własnej sieci mogą się zainteresować.krisiasty pisze:zakładasz że dowiadujesz się o dziurze zanim zrobią (i wykorzystają) to inni... tak, wiem, zaraz powiesz że znowu ips-y czy inna analiza treści powinna to złapać... a jak nie złapie? albo znowu nie masz dostępnych takich narzędzi?lbromirs pisze:Masz dziurawe SSH? To masz inny problem niż blokowanie zakresów z Chin.
słowo-klucz: niepotrzebnychlbromirs pisze:Firewall sam w sobie to jedno. Zakładanie szerokich, generalnych ograniczeń to budowanie niepotrzebnych granic.
zakładam że nikt nie szuka takich rozwiązań z nudów, tylko ma ku temu jakiś powód wynikający z potrzeby. internet bez granic to utopia. każdy decyduje we własnym zakresie co, komu i na jakich zasadach chce udostępniać i skoro nie chce mieć połączeń z jakiegoś kraju (ze wszystkimi tego konsekwencjami) to dlaczego nie?
zresztą wcale nie jest powiedziane że geoip można tylko do tego celu wykorzystywać. dlaczenie nie potraktować tego po prostu jako kryterium które można wykorzystać w polityce sterowania ruchem (pbr/qos albo w sdn) ?
no proszę cię... myślałem że wykluczyliśmy już statyczne listy/adresy...lbromirs pisze:"Chyba że". Do tej pory w swojej karierze widziałem dwa takie przypadki - i wymagało to ogromnego zaangażowania ludzi i narzędzi, a zatem kosztów. W pozostałych przypadkach, nawet pewnych Bardzo Dużych Podmiotów Ogólnoświatowych, zawsze gdzieś nowa świetna koncepcja statycznych list/adresów zawsze gdzieś gryzła w piętę w najmniej oczekiwanym momencie.
jest sporo opensource-owych projektów typu pfsense z pluginem pfblocker które załatwiają ten temat, kilka komercyjnych też pewnie się znajdzie. użycie takich dynamicznych list i ich aktualizacja nie wymaga jakichś ogromnych nakładów administracyjnych ani pieniężnych...
od części internetu. tej z której nie życzymy sobie połączeń. co w tym złego? kryterium kraju do którego "należy" dany ip jest równie dobrym kryterium jak każde inne.lbromirs pisze:...ale w ten sposób najprościej po prostu odciąć się od internetu.krisiasty pisze:nie zawsze się ma pod ręką to co się chce. lepiej blokować ruch z "niechcianych" sieci niż wcale, czyż nie?lbromirs pisze:Zdecydowanie sensowniejsze jest - skoro już chcesz wykrywać włamania bardziej inteligentnie niż na podstawie blokowania całych zakresów IP - pójść w analizę ruchu.
wiesz, to trochę tak jakbyś sugerował nie stosować wiz i kontroli na granicach bo i tak wszyscy niebezpieczni przestępcy mogą wjechać / wlecieć / wpłynąć czy inny sposób przedostać się do kraju jak będą chcieli.lbromirs pisze:Zakładam, że dowiadujesz się i w najgorszym wypadku wyłączasz na czas załatania, lub dodajesz dla tej konkretnie aplikacji konkretne ograniczenie.krisiasty pisze:zakładasz że dowiadujesz się o dziurze zanim zrobią (i wykorzystają) to inni... tak, wiem, zaraz powiesz że znowu ips-y czy inna analiza treści powinna to złapać... a jak nie złapie? albo znowu nie masz dostępnych takich narzędzi?lbromirs pisze:Masz dziurawe SSH? To masz inny problem niż blokowanie zakresów z Chin.
Ale wtedy dużo sensowniejszy jest zestaw paru/nastu adresów IP w whiteliście, niż dodatkowe wpisy do blacklisty. Ponieważ jak dziura jest, nie tylko Chińczycy będą chcieli ją wykorzystać - wszystkie średnio inteligentne boty rzucą się do jej mapowania w ciągu paru minut. A i trojany w Twojej własnej sieci mogą się zainteresować.
filtrowanie po kraju nie ma być przecież jedynym / ostatecznym rozwiązaniem wszystkich problemów - to tylko jeden z elementów jakiejś polityki i jak już pisałem - lepiej go stosować (tam gdzie to możliwe i uzasadnione) niż nie. nie wiem w ogóle czemu o tym dyskutujemy - zasada stosowania wielu róznych zabezpieczeń jest już niemodna, czy co?