Mit GeoIP-Filtern und Blockierlisten mit bekannt gefährlichen IP-Adressen lassen sich Firewalls aufbohren und damit Netzwerke nachhaltig schützen. Es lohnt sich, die Möglichkeiten in Betracht zu ziehen und die eigene Firewall damit zu verbessern.
Mit Blockierlisten und Geo-IP-Filtern für Firewalls lassen sich viele Angriffe ganz einfach automatisch abwehren.
(Bild: bluebay2014 - stock.adobe.com)
Sicherheitsvorfälle und Angriffe auf Unternehmen durch Cyberkriminelle nehmen weiter stark zu. Um zu reagieren, sollten Verantwortliche überprüfen, wie Sie bestehende Sicherheitstechnologien deutlich verbessern können. Es gibt im Internet zahlreiche Quellen mit Blockierlisten für IP-Adressen, die sich dynamisch in Firewalls einbinden lassen und die durch das jeweilige Projekt gepflegt werden. Einmal eingerichtet, aktualisiert sich die Firewall selbst mit den Listen und blockiert Zugriffe von den jeweiligen Webseiten automatisch. Das erhöht natürlich deutlich die Sicherheit.
Zusätzlich lassen sich Geo-IP-Filter in vielen professionellen Firewalls einbauen, die Zugriffe aus bestimmten Ländern kategorisch blockieren. Auch das schützt die Firewall und das Netzwerk. Warum soll eine Firewall Anfragen aus Ländern prüfen, aus denen ohnehin keine Verbindungen erwartet werden. Welche Länder das sind, kann in den Regeln selbst definiert werden.
Die Blockierlisten bei Spamhaus und Firefol lassen sich in wenigen Minuten einbinden, es sind dazu keinerlei Konten bei den Anbietern notwendig.
Blockierlisten nutzen am Beispiel von OPNsense
Blocklisten gibt es von verschiedenen Herstellern. Diese stehen als Text-Datei zur Verfügung, die Firewalls auslesen können. OPNsense ist dazu in der Lage und kann die jeweilige aktuelle Liste täglich aktualisieren und in die Blockierregeln einbauen. Alleine dadurch lassen sich in Unternehmen zahlreiche Angriffe von IP-Adressen blockieren, die allgemein als gefährlich gelten. Die Integration ist kostenlos.
Spamhaus und Firehol bieten dazu die jeweiligen Droplisten an, die sich in OPNsense, aber auch in anderen Firewalls integrieren lassen. Wir zeigen nachfolgend, wie das geht. Am Beispiel von OPNsense sind die dazu notwendigen Einstellungen bei "Firewall -> Alias" zu finden. Beim Anlegen eines neuen Alias wird im Fall von OPNsense der Typ "URL-Tabelle (IPs)" ausgewählt und als Inhalt der Link zur Textdatei mit den IP-Adressen. Im Fall von Spamhaus ist das:
https://www.spamhaus.org/drop/drop.txt
Die genaue Adresse ist aber auch auf der Seite von Spamhaus.org zu finden. Als "Refresh Frequency" sollte bei OPNsense bei "Tage" der Wert "1" und bei "Stunden" der Wert "0" stehen. Es reicht, wenn die Firewall die Liste einmal täglich abruft. Mit "Speichern" wird die Liste in der Firewall als Alias hinterlegt. Es ist sinnvoll ab und zu in der Oberfläche der Firewall zu überprüfen, ob die Aktualisierung der Liste funktoniert. Bei OPNsense ist das in der Spalte "Zuletzt aktualisiert" bei "Firewall -> Alias" zu sehen.
Parallel zur Drop-Liste, lässt sich auf dem gleichen Weg die EDROP-Liste als Alias anlegen. Diese hat die Adresse:
https://www.spamhaus.org/drop/edrop.txt
Parallel dazu ist es sinnvoll drei weitere Aliase anzulegen, mit Listen die Firehol ebenfalls kostenlos anbietet. Das Anlegen funktioniert auf genau dem gleichen Weg, wie das Anlegen der Blockierlisten von Spamhaus. Die Adressen dazu sind:
Dadurch stehen in der Firewall fünf verschiedene Aliase bereit, die sich automatisch täglich mit aktuellen IP-Adressen aktualisieren. Die Firewall kennt dadurch schon mal die IP-Adressen im Internet, die als gefährlich bekannt sind der nächste Schritt besteht darin Regeln zu erstellen.
Firewall-Regeln für IP-Blockierlisten erstellen
Firewallregeln sollten die erstellten Aliase verwenden, um Datenverkehr von diesen IP-Adressen zu blockieren. Am Beispiel von OPNsense erfolgt das bei "Firewall -> Regeln -> WAN". Beim erstellen einer neuen Regel wird diese mit "Blockieren" bei "Aktion" konfiguriert.
Generell sollte die Regel mit "Wende die Aktion sofort bei einem Treffer an" bei "Schnell" konfiguriert sein. Bei Schnittstelle kommt "WAN" zum Einsatz, da die Regel unerwünschten IP-Verkehr aus dem Internet blockieren soll. Bei "TCP/IP-Version" kommt "IPv4" oder "IPv4+IPv6" zum Einsatz. In diesem Fall kann bei Spamhaus auch die IPv6-Blockierliste als Alias angelegt werden.
Wichtig ist bei "Source" den Alias auszuwählen, der für diese Regel erstellt wurde. Aus den fünf Aliasen werden daher fünf Firewallregeln mit identischen Einstellungen aber unterschiedlichen Quellen. Bei "Ziel" sollte "Jeglich" eingestellt sein und bei "Protokoll" kann es sinnvoll sein die Protokollierung zu aktivieren. Kategorien sind optional, aber sinnvoll um den Überblick zu behalten. Nach der Speicherung und Übernahme der Regeln sind die Filter bereits aktiv. Auf genau dem gleichen Weg werden für die anderen Blockierlisten ebenfalls Firewallregeln angelegt.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Sind alle Regeln in der Firewall angelegt, macht es Sinn diese ganz oben in der Prioritätenliste der Firewall zu hinterlegen damit diese so früh wie möglich angewendet werden, bevor andere Firewall-Regeln die Pakete überprüfen müssen. Nachdem alle Regeln erstellt und oben in der Prioritätenliste ganz oben angelegt sind, blockiert die Firewall automatisch Pakete von diesen Adressen. Das ist am Beispiel von OPNsense bei "Firewall -> Protokolldateien -> Liveansicht" in der Spalte "Etikett" zu sehen.
Unter den Geo-IP-Filtern, die es für Firewalls gibt, ist vor allem der Anbieter Maxmind mit seinem kostenlosen Filter GeoLite 2 beliebt. Um diesen zu nutzen, ist aber das Anlegen eines kostenlosen Kontos notwendig. Nachdem das Konto angelegt ist, kann die Anmeldung am Webfrontend erfolgen.
Danach muss bei "Manage License Keys" ein neuer Schlüssel erstellt werden. Diese ist später auf der Firewall wichtig. Wichtig ist den Key zu kopieren, weil er für die Firewall wichtig ist. Danach muss eine URL erstellt werden, die später in der Firewall wichtig ist. Die URL hat folgende Syntax:
In der Verwaltung der Firewall, zum Beispiel bei OPNsense muss bei "Firewall -> Aliase" auf der Registerkarte "GeoIP settings" die URL eingetragen werden. Sobald die Änderungen übernommen wurden , steht der Filter zur Verfügung.
Danach muss ein neuer Alias angelegt werden. Bei "Typ" wird in diesem Fall "GeoIP" ausgewählt. Danach zieht sich die Firewall die Liste aus dem hinterlegten Konto der GeoIP-Liste. Hier sollten alle Länder ausgewählt werden, von denen Anfragen an die Firewall blockiert werden sollen. Der Alias lässt sich natürlich jederzeit anpassen. Sobald auch dieser Alias erstellt ist, wird eine neue Firewall-Regel für das Blockieren von Datenverkehr für diesen Alias erstellt. Auch diese Regel sollte ganz oben bei der Firewall angeordnet werden. Nach erfolgreicher Erstellung zeigt die Firewall auch hier in den Protokollen an, welche Pakete aus den verschiedenen Ländern blockiert werden.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/90/19/901975bd25ae76f877ea0f8ac72012ae/0130401069v2.jpeg "Regierungsdaten seien bei dem Cyberangriff auf das E-Mail-Postfach des FBI-Chefs Kash Pate nicht gestohlen worden. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/be/62/be621f2323e9fc15a65708895e48cd26/0130314714v2.jpeg "Globale Lieferketten bringen Effizienz, aber auch Abhängigkeiten. Auch kleine Zulieferer können zur großen Schwachstelle werden. (Bild: © Travel mania - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/13/47/13476ec5f128a6cf41f7eb95b2409b7d/0130321401v2.jpeg "Die Sicherheitslücken in Citrix NetScaler Gateway und ADC können zu einem Memory‑Overread führen, der Datenlecks und Abstürze verursachen kann, sowie zu unautorisiertem Zugriff führen. (Bild: lucadp - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/64/54644475acec039714a3eccc088b6c43/0128930781v1.jpeg "Azure ExpressRoute Direct verbindet lokale Rechenzentren über zwei aktiv genutzte, physisch getrennte Leitungen direkt mit dem Microsoft-Backbone. Der Datenverkehr wird dabei parallel über dedizierte Ports geführt und umgeht vollständig das öffentliche Internet. (Bild: Microsoft)")
:quality(80)/p7i.vogel.de/wcms/76/73/76739779efb9769d8db4c9d4a39848ef/0130322258v2.jpeg "Digitale Energiedienste wie virtuelle Kraftwerke fallen mit NIS 2 erstmals unter neue IT-Sicherheitskataloge mit erweiterten Nachweispflichten. (Bild: © Sepia100 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/0d/560d12454a8cde14262590ceeecb5066/0130406753v1.jpeg "Backup- und Recovery-Strategien müssen heute auch geopolitische Risiken, rechtliche Stabilität und die Ausfallsicherheit von Infrastrukturen berücksichtigen. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/95/54/9554c259793d581ea2839245a1815ad4/0130375018v1.jpeg "Während die EU noch an souveränen Clouds arbeitet, ist in vielen Unternehmen bereits eine Rückbesinnung auf On-Prem-Lösungen im Gange. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/28/97/289755bc06d1a4e1f7f7581e8cd41b77/0130374247v1.jpeg "Backup und Recovery müssen als untrennbare Einheit gedacht werden. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/28/3c/283c02b6a113d373108ffd46c9255dc3/0130361073v2.jpeg "Tizian Kohler ist Head of Security bei der Adlon Intelligent Solutions GmbH. (Bild: Adlon Intelligent Solutions)")
:quality(80)/p7i.vogel.de/wcms/03/b4/03b4c15b48445e79113c6b95bcf7317c/0129192770v1.jpeg "Lageansicht statt Monitorwand: In der Sicherheitszentrale erscheinen Türen, Kameras und Sensorik als Geopositionen. Videosequenzen werden erst bei korrelierten Signalen und nach Zonenüberschreitung in den Vorfallprozess eingeblendet. (Bild: © Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/80/83/80832d33f44c7d00f2e5b873efb154de/0130371229v1.jpeg "Der Bundestag hat die Entwürfe zum Data Act und zum Daten Governance Gesetz mit Änderungen verabschiedet. Nun können die EU‑Vorgaben in deutsches Recht umgesetzt werden. (Bild: Casiana Malaia's via Canva)")
:quality(80)/p7i.vogel.de/wcms/65/d6/65d68a4361e126b94d503df6bb261ba3/0130366883v2.jpeg "Cyberkriminelle könnten sich mit den von AstraZeneca Zugang zu internen Systemen verschaffen, gezielte Phishing‑ und Supply‑Chain‑Angriffe starten, geistiges Eigentum stehlen oder sabotieren und das Unternehmen erpressen. (Bild: © elimicel - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/be/3f/be3f0a2f5d8add0792f692767111cc40/0130308668v2.jpeg "Cyberkriminelle, die Netzwerkzugriff über HTTP erlangt haben, können anfällige Oralce-Instanzen übernehmen. (Bild: somyuzu - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/10/e5/10e500b0c715720161aed2f77afce5f4/0130043987v2.jpeg "Die ISC2 Cybersecurity Workforce Study wird jährlich durchgeführt, um die Entwicklung der Cybersicherheits-Arbeitskräfte zu analysieren, bestehende Hürden für Fachkräfte zu identifizieren und Lösungen aufzuzeigen. Der Report beleuchtet zunehmend auch die Wahrnehmungen von Frauen in der Cybersicherheitsbranche. (Bild: © Angelo/peopleimages.com – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/13/e5/13e52ba754a65049c995146bac2f5426/0130048944v2.jpeg "Das US-Außenministerium hat sechs Männer sanktioniert, die zu CyberAv3ngers gehören. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/43/d2/43d2604538d6ae5a50d26cccc98cb9e6/0130112281v1.jpeg "IT-Governance ist ein wesentlicher Bestandteil der Unternehmensführung und bildet einen Ordnungsrahmen für die IT. (Bild: @indypendenz via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/a0/8a/a08ac0cb9a60ba7fa981a3b9ff8ba04f/0129989079v1.jpeg "BitLocker bietet mehrere Optionen zur Sicherung des Wiederherstellungsschlüssels, wie den Schlüssel auf einem USB-Laufwerk zu speichern oder in einem Microsoft-Konto zu hinterlegen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/e0/36/e036b2aa5622f20a075cbc4aff53426f/0111848357.jpeg "Firewalls werden häufig von gefährlichen IP-Adressen angegriffen, die sich aber automatisch blockieren lassen.(Bild: Joos)")
:quality(80)/p7i.vogel.de/wcms/f5/b6/f5b66ef24f3a86c18b94bfb488e5fbc6/0111848356.jpeg "Erstellen von neuen Filterlisten als Alias auf Firewalls wie OPNsense.(Bild: Joos)")
:quality(80)/p7i.vogel.de/wcms/e3/50/e3500f0f8a0b48b9936ede6cfe964fff/0111848354.jpeg "Neben Spamhaus stellt auch Firehol Blockiertlisten zur Verfügung, die sich direkt bei der Firewall importieren lassen.(Bild: Joos)")
:quality(80)/p7i.vogel.de/wcms/5e/d3/5ed3fa27f17bc4a16ed6c3af03901ac5/0111848355.jpeg "Wenn Alias für Filterlisten erstellt sind, lassen sich Regeln erstellen, die diese Aliase nutzen.(Bild: Joos)")
:quality(80)/images.vogel.de/vogelonline/bdb/1703900/1703907/original.jpg "Wie man mit OpenVPN und OPNsense eine Firewall und Remote-Einwahl für KMU schnell und einfach realisiert, zeigen wir im Artikel und der zugehörigen Bildergalerie. (gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1901100/1901176/original.jpg "Mit Tools wie GlassWire, Windows 10 Firewall Control und Firewall App Blocker können Admins ihre Windows Firewall besser verwalten. (wutzkoh - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/d2/f7d22378e5e7f2d4afd411778539a18a/0126687891v1.jpeg "Whitelisting und Blacklisting dienen in der IT-Sicherheit dazu, durch gezielte Zugriffssteuerung vertrauenswürdige Anwendungen, Nutzer und Dienste zuzulassen und unerwünschte oder schädliche zu blockieren. (Bild: kosmin via Getty Images)")
:quality(80)/p7i.vogel.de/wcms/eb/3d/eb3d4dc6049e76b29368d27c14c9e54f/0124914364v2.jpeg "Ist auf einem Synology-NAS-System das Paket „VPN Server“ installiert, können sich Anwender remote und vor allem sicher auf das NAS verbinden – sogar mit Smartphone und Tablet. (Bild: © WrightStudio - stock.adobe.com)")