Dynamische Block-Listen für DNS-/IP-Filterung
Mit FortiOS 6.0 hat Fortinet die Möglichkeit zur Nutzung von dynamischen Block-Listen wie z.B. Spamhouse und Abuse.ch implementiert. Das dazugehörige Feature nennt sich Threat Feeds (GUI), bzw. External Resources.
Im folgenden Beispiel konfiguriere ich die ZeuS Domain-Filter Liste von Abuse.ch und die DROP/EDROP IP-Filter Listen von Spamhaus. Die Listen aktualisiere ich alle 60 Minuten (Default: 5 Minuten).
config system external-resource edit disconnect.me_malvertising set name "Disconnect Me Malvertising" set status enable set type domain set resource "https://s3.amazonaws.com/lists.disconnect.me/simple_malvertising.txt" set refresh-rate 60 next edit blocklist.de_all set name "Blocklist All IP" set status enable set type address set resource "https://lists.blocklist.de/lists/all.txt" set refresh-rate 60 next edit emergingthreats.net_blockips set name "Emerging Threats Block IPs" set status enable set type address set resource "http://rules.emergingthreats.net/fwrules/emerging-Block-IPs.txt" set refresh-rate 60 next end
Verwendung der Block-Listen
Domain Block-Listen
Domain Block-Listen werden nach ihrer Erstellung in den Category Based Filters der DNS Filter Profile als Remote Categories angezeigt und können analog zu anderen Kategorien konfiguriert werden. Das jeweilige DNS Filter Profil kann entweder an eine Firewall Policy oder an eine Proxy Policy gebunden werden.
IP Address Block-Listen
IP Address Block-Listen können auf 2 Arten verwendet werden. Wie Domain Block-Listen können sie in DNS Filter Profilen verwendet werden. Hierzu wird im Bereich Static Domain Filter die Option External IP Block Lists aktiviert und die entsprechende IP Address Block-Liste ausgewählt. Das jeweilige DNS Filter Profil kann wieder entweder an eine Firewall Policy oder an eine Proxy Policy gebunden werden. Alternativ können IP Address Block-Listen in Proxy Policies direkt als Source oder Destination ausgewählt werden.
URLs für Filter Listen mit den jeweiligen FortiGate Filter-Typen
disconnect.me Advertisement Block-Liste (domain):
https://s3.amazonaws.com/lists.disconnect.me/simple_ad.txt
disconnect.me Advertisement Block-Liste (domain):
https://s3.amazonaws.com/lists.disconnect.me/simple_tracking.txt
disconnect.me Malware- & Advertisement Block-Liste (domain):
https://s3.amazonaws.com/lists.disconnect.me/simple_malvertising.txt
blockist.de All IP Block-Liste (address):
https://lists.blocklist.de/lists/all.txt
emergingthreats.net Emerging Block IPs (address):
http://rules.emergingthreats.net/fwrules/emerging-Block-IPs.txt
abuse.ch ZeuS Domain Block-Liste (domain):
https://zeustracker.abuse.ch/blocklist.php?download=domainblocklist
abuse.ch ZeuS IP Block-Liste (address):
https://zeustracker.abuse.ch/blocklist.php?download=ipblocklist
abuse.ch ZeuS Compromised URL Block-Liste (domain):
https://zeustracker.abuse.ch/blocklist.php?download=compromised
spamhaus.org DROP Block-Liste (address):
https://www.spamhaus.org/drop/edrop.txt
spamhaus.org EDROP Block-Liste (address):
https://www.spamhaus.org/drop/edrop.txt
spamhaus.org DROPv6 Block-Liste (address):
https://www.spamhaus.org/drop/dropv6.txt
Feature verfügbar seit: 6.0.0
Feature verfügbar bis: n/a