:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/cc/99cc4df961053dc747a06fbf36f0962d/0114222186.jpeg "Ab sofort sehen die Besucher des Drogen-Markplatzes Piilopuoti im Darknet nur die folgende Meldung. (Bild: Finnischer Zoll)")
:quality(80)/p7i.vogel.de/wcms/8b/36/8b367fb79d91b869c7bcbb43197bc2b4/0114153072.jpeg "So kompliziert die DSGVO auch erscheinen mag, wer die Grundsätze für die Verarbeitung personenbezogener Daten als Grundprinzipien beachtet, hat schon sehr viel erreicht. (Bild: Azar - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/63/72/6372be7ef046411435e68c6203994823/0114113443.jpeg "Threat Intelligence Feeds sind ein wichtiges Tool für Unternehmen, zum Schutz vor DDoS-Angriffen. (Bild: Framestock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/b5/c6b5e92a108fab05277f55f2433e9923/0114199472.jpeg "Cisco will Splunk übernehmen, um Unternehmen in einer KI-gestützten Welt sicherer und widerstandsfähiger zu machen und dabei den eigenen Umsatz und die Marge zu steigern. (Bild: Cisco)")
:quality(80)/p7i.vogel.de/wcms/71/d2/71d2d4f27a8b93346b4930908e422fd6/0114151621.jpeg "Der Schutz von OT-Umgebungen gegenüber Cyber-Gefahren darf durch Unternehmen nicht vernachlässigt werden. Mit Befolgung der sieben Tipps in diesem Artikel sind Security-Verantwortliche auf der sicheren Seite. (Bild: panuwat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/c9/a4c90540231b9fb039bfb567b5f69824/0114002157.jpeg ""Was KI für die Cybersicherheit wirklich bedeutet", ein Interview von Oliver Schonschek, Insider Research, mit Michael Veit von Sophos. (Bild: Vogel IT-Medien / Sophos / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/39/58/395865fa1933cbf2a9d67fc9457b7b79/0114165948.jpeg "Ist ein Cloud-basierter Netzwerkschutz aus dem Rennsport auch für andere Bereiche nutzbar? (Bild: Porsche Motorsport)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/13/09/13099874e6859350b3819761430047fb/0114005981.jpeg "Jubel, Trubel und Gedränge – neben Taschendieben machen auch immer mehr Cyberkriminelle auf großen Veranstaltungen wie dem Münchner Oktoberfest ihr „Geschäft“. (Bild: frei lizenziert Pexels - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fc/97/fc9738083cd07dfe9c89c949eb0c40aa/0114113294.jpeg "Microsoft Teams wird in vielen Unternehmen als Kommunikationsplattform genutzt. Immer öfter greifen Hacker gezielt Teams an. Unternehmen müssen reagieren und sich besser schützen! (Bild: Kiattisak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ea/09/ea098195a5d78217dbe8e7be250c803f/0113981663.jpeg "Wie die Geschäftsentwicklung von Cequence unterstreicht, wird Anwendungssicherheit für Unternehmen ein zunehmend wichtiger Faktor. (Bild: The Walker Group)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/29/21/2921b37e9174454514f87109f30498da/0113796994.jpeg "Sicherheitsverantwortliche müssen in hybriden IT-Landschaften oft verschiedene Multi-Faktor-Authentifizierungen in einem System vereinen. (Bild: ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/16/5f/165f68c6fa324facb4015349f0aabf97/0114113075.jpeg "Um mit KI-basierten Bedrohungen mithalten zu können, kommen Unternehmen nicht umhin, KI-basierte Abwehrmaßnahmen zu nutzen. (Bild: soupstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/8f/678f3451fbd3cc9e468de0e35f73ee4d/0112115118.jpeg "Unter Desktop-as-a-Service versteht man virtuelle Desktops als Service eines Cloud-Anbieters. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/65/23/6523a9c3297be435577880eaf0ee43e4/0112115110.jpeg "Der Digital Operational Resilience Act (DORA) ist eine am 16.01.2023 in Kraft getretene EU-Verordnung über die digitale operative Resilienz im Finanzsektor. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Kostenlos mehr Schutz vor bekannten Gefahrenquellen Geo-IP-Filter und Blockierlisten für Firewalls
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
:fill(fff,0)/p7i.vogel.de/companies/63/21/6321c5a61e622/09-spec-color-white-space-mne-logo.jpeg "09-spec-color-white-space-mne-logo (Specops Software GmbH)"){kind=logo}
Mit GeoIP-Filtern und Blockierlisten mit bekannt gefährlichen IP-Adressen lassen sich Firewalls aufbohren und damit Netzwerke nachhaltig schützen. Es lohnt sich, die Möglichkeiten in Betracht zu ziehen und die eigene Firewall damit zu verbessern.
Sicherheitsvorfälle und Angriffe auf Unternehmen durch Cyberkriminelle nehmen weiter stark zu. Um zu reagieren, sollten Verantwortliche überprüfen, wie Sie bestehende Sicherheitstechnologien deutlich verbessern können. Es gibt im Internet zahlreiche Quellen mit Blockierlisten für IP-Adressen, die sich dynamisch in Firewalls einbinden lassen und die durch das jeweilige Projekt gepflegt werden. Einmal eingerichtet, aktualisiert sich die Firewall selbst mit den Listen und blockiert Zugriffe von den jeweiligen Webseiten automatisch. Das erhöht natürlich deutlich die Sicherheit.
:quality(80)/p7i.vogel.de/wcms/e0/36/e036b2aa5622f20a075cbc4aff53426f/0111848357.jpeg "Firewalls werden häufig von gefährlichen IP-Adressen angegriffen, die sich aber automatisch blockieren lassen.")
:quality(80)/p7i.vogel.de/wcms/f5/b6/f5b66ef24f3a86c18b94bfb488e5fbc6/0111848356.jpeg "Erstellen von neuen Filterlisten als Alias auf Firewalls wie OPNsense.")
:quality(80)/p7i.vogel.de/wcms/e3/50/e3500f0f8a0b48b9936ede6cfe964fff/0111848354.jpeg "Neben Spamhaus stellt auch Firehol Blockiertlisten zur Verfügung, die sich direkt bei der Firewall importieren lassen.")
:quality(80)/p7i.vogel.de/wcms/5e/d3/5ed3fa27f17bc4a16ed6c3af03901ac5/0111848355.jpeg "Wenn Alias für Filterlisten erstellt sind, lassen sich Regeln erstellen, die diese Aliase nutzen.")
Zusätzlich lassen sich Geo-IP-Filter in vielen professionellen Firewalls einbauen, die Zugriffe aus bestimmten Ländern kategorisch blockieren. Auch das schützt die Firewall und das Netzwerk. Warum soll eine Firewall Anfragen aus Ländern prüfen, aus denen ohnehin keine Verbindungen erwartet werden. Welche Länder das sind, kann in den Regeln selbst definiert werden.
Die Blockierlisten bei Spamhaus und Firefol lassen sich in wenigen Minuten einbinden, es sind dazu keinerlei Konten bei den Anbietern notwendig.
Blockierlisten nutzen am Beispiel von OPNsense
Blocklisten gibt es von verschiedenen Herstellern. Diese stehen als Text-Datei zur Verfügung, die Firewalls auslesen können. OPNsense ist dazu in der Lage und kann die jeweilige aktuelle Liste täglich aktualisieren und in die Blockierregeln einbauen. Alleine dadurch lassen sich in Unternehmen zahlreiche Angriffe von IP-Adressen blockieren, die allgemein als gefährlich gelten. Die Integration ist kostenlos.
:quality(80)/images.vogel.de/vogelonline/bdb/1703900/1703907/original.jpg "Wie man mit OpenVPN und OPNsense eine Firewall und Remote-Einwahl für KMU schnell und einfach realisiert, zeigen wir im Artikel und der zugehörigen Bildergalerie. (gemeinfrei)")
Open Source Firewall und VPN für KMU
Home Office mit OpenVPN und OPNsense
Spamhaus und Firehol bieten dazu die jeweiligen Droplisten an, die sich in OPNsense, aber auch in anderen Firewalls integrieren lassen. Wir zeigen nachfolgend, wie das geht. Am Beispiel von OPNsense sind die dazu notwendigen Einstellungen bei "Firewall -> Alias" zu finden. Beim Anlegen eines neuen Alias wird im Fall von OPNsense der Typ "URL-Tabelle (IPs)" ausgewählt und als Inhalt der Link zur Textdatei mit den IP-Adressen. Im Fall von Spamhaus ist das:
https://www.spamhaus.org/drop/drop.txtDie genaue Adresse ist aber auch auf der Seite von Spamhaus.org zu finden. Als "Refresh Frequency" sollte bei OPNsense bei "Tage" der Wert "1" und bei "Stunden" der Wert "0" stehen. Es reicht, wenn die Firewall die Liste einmal täglich abruft. Mit "Speichern" wird die Liste in der Firewall als Alias hinterlegt. Es ist sinnvoll ab und zu in der Oberfläche der Firewall zu überprüfen, ob die Aktualisierung der Liste funktoniert. Bei OPNsense ist das in der Spalte "Zuletzt aktualisiert" bei "Firewall -> Alias" zu sehen.
Parallel zur Drop-Liste, lässt sich auf dem gleichen Weg die EDROP-Liste als Alias anlegen. Diese hat die Adresse:
https://www.spamhaus.org/drop/edrop.txtParallel dazu ist es sinnvoll drei weitere Aliase anzulegen, mit Listen die Firehol ebenfalls kostenlos anbietet. Das Anlegen funktioniert auf genau dem gleichen Weg, wie das Anlegen der Blockierlisten von Spamhaus. Die Adressen dazu sind:
https://raw.githubusercontent.com/ktsaou/blocklist-ipsets/master/firehol_level1.netsethttps://raw.githubusercontent.com/ktsaou/blocklist-ipsets/master/firehol_level2.netsethttps://raw.githubusercontent.com/ktsaou/blocklist-ipsets/master/firehol_level3.netsetDadurch stehen in der Firewall fünf verschiedene Aliase bereit, die sich automatisch täglich mit aktuellen IP-Adressen aktualisieren. Die Firewall kennt dadurch schon mal die IP-Adressen im Internet, die als gefährlich bekannt sind der nächste Schritt besteht darin Regeln zu erstellen.
Firewall-Regeln für IP-Blockierlisten erstellen
Firewallregeln sollten die erstellten Aliase verwenden, um Datenverkehr von diesen IP-Adressen zu blockieren. Am Beispiel von OPNsense erfolgt das bei "Firewall -> Regeln -> WAN". Beim erstellen einer neuen Regel wird diese mit "Blockieren" bei "Aktion" konfiguriert.
Generell sollte die Regel mit "Wende die Aktion sofort bei einem Treffer an" bei "Schnell" konfiguriert sein. Bei Schnittstelle kommt "WAN" zum Einsatz, da die Regel unerwünschten IP-Verkehr aus dem Internet blockieren soll. Bei "TCP/IP-Version" kommt "IPv4" oder "IPv4+IPv6" zum Einsatz. In diesem Fall kann bei Spamhaus auch die IPv6-Blockierliste als Alias angelegt werden.
Wichtig ist bei "Source" den Alias auszuwählen, der für diese Regel erstellt wurde. Aus den fünf Aliasen werden daher fünf Firewallregeln mit identischen Einstellungen aber unterschiedlichen Quellen. Bei "Ziel" sollte "Jeglich" eingestellt sein und bei "Protokoll" kann es sinnvoll sein die Protokollierung zu aktivieren. Kategorien sind optional, aber sinnvoll um den Überblick zu behalten. Nach der Speicherung und Übernahme der Regeln sind die Filter bereits aktiv. Auf genau dem gleichen Weg werden für die anderen Blockierlisten ebenfalls Firewallregeln angelegt.
Sind alle Regeln in der Firewall angelegt, macht es Sinn diese ganz oben in der Prioritätenliste der Firewall zu hinterlegen damit diese so früh wie möglich angewendet werden, bevor andere Firewall-Regeln die Pakete überprüfen müssen. Nachdem alle Regeln erstellt und oben in der Prioritätenliste ganz oben angelegt sind, blockiert die Firewall automatisch Pakete von diesen Adressen. Das ist am Beispiel von OPNsense bei "Firewall -> Protokolldateien -> Liveansicht" in der Spalte "Etikett" zu sehen.
Geo-IP-Filter nutzen: MaxMind GeoLite 2
Unter den Geo-IP-Filtern, die es für Firewalls gibt, ist vor allem der Anbieter Maxmind mit seinem kostenlosen Filter GeoLite 2 beliebt. Um diesen zu nutzen, ist aber das Anlegen eines kostenlosen Kontos notwendig. Nachdem das Konto angelegt ist, kann die Anmeldung am Webfrontend erfolgen.
Danach muss bei "Manage License Keys" ein neuer Schlüssel erstellt werden. Diese ist später auf der Firewall wichtig. Wichtig ist den Key zu kopieren, weil er für die Firewall wichtig ist. Danach muss eine URL erstellt werden, die später in der Firewall wichtig ist. Die URL hat folgende Syntax:
https://download.maxmind.com/app/geoip_download?edition_id=GeoLite2-Country-CSV&license_key=<Hier Lizenzschlüssel eintragen>&suffix=zipIn der Verwaltung der Firewall, zum Beispiel bei OPNsense muss bei "Firewall -> Aliase" auf der Registerkarte "GeoIP settings" die URL eingetragen werden. Sobald die Änderungen übernommen wurden , steht der Filter zur Verfügung.
Danach muss ein neuer Alias angelegt werden. Bei "Typ" wird in diesem Fall "GeoIP" ausgewählt. Danach zieht sich die Firewall die Liste aus dem hinterlegten Konto der GeoIP-Liste. Hier sollten alle Länder ausgewählt werden, von denen Anfragen an die Firewall blockiert werden sollen. Der Alias lässt sich natürlich jederzeit anpassen. Sobald auch dieser Alias erstellt ist, wird eine neue Firewall-Regel für das Blockieren von Datenverkehr für diesen Alias erstellt. Auch diese Regel sollte ganz oben bei der Firewall angeordnet werden. Nach erfolgreicher Erstellung zeigt die Firewall auch hier in den Protokollen an, welche Pakete aus den verschiedenen Ländern blockiert werden.
:quality(80)/images.vogel.de/vogelonline/bdb/1901100/1901176/original.jpg "Mit Tools wie GlassWire, Windows 10 Firewall Control und Firewall App Blocker können Admins ihre Windows Firewall besser verwalten. (wutzkoh - stock.adobe.com)")
GlassWire, Windows 10 Firewall Control und Firewall App Blocker nutzen
Windows-Firewall mit Freeware im Griff behalten
(ID:49514635)
:quality(80)/p7i.vogel.de/wcms/1d/37/1d3793ee8923fb5475ab9fd97c812a6a/0113377739.jpeg "Wir zeigen, wie man in der Open-Source-Firewall OPNsense gefährliche IP-Adressen blockiert und damit auch Ransomware-Infektionen vermeiden kann. (Bild: ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/30/a8/30a860f0393ebb1fc7f5dda095d600ec/0113166566.jpeg "Die beliebte Open-Source-Firewall OPNsense eignet sich sowohl für den Einsatz in großen Netzwerken, als auch bei KMUs. (Bild: ra2 studio - stock.adobe.com)")