blog.andreas-schreiner.de

Wissen ist Macht. Nichts wissen macht nichts.

Dynamische Block-Listen für DNS-/IP-Filterung

von · Veröffentlicht · Aktualisiert

Mit FortiOS 6.0 hat Fortinet die Möglichkeit zur Nutzung von dynamischen Block-Listen wie z.B. Spamhouse und Abuse.ch implementiert. Das dazugehörige Feature nennt sich Threat Feeds (GUI), bzw. External Resources.

Im folgenden Beispiel konfiguriere ich die ZeuS Domain-Filter Liste von Abuse.ch und die DROP/EDROP IP-Filter Listen von Spamhaus. Die Listen aktualisiere ich alle 60 Minuten (Default: 5 Minuten).

config system external-resource
   edit disconnect.me_malvertising
      set name "Disconnect Me Malvertising"
      set status enable
      set type domain
      set resource "https://s3.amazonaws.com/lists.disconnect.me/simple_malvertising.txt"
      set refresh-rate 60
   next
   edit blocklist.de_all
      set name "Blocklist All IP"
      set status enable
      set type address
      set resource "https://lists.blocklist.de/lists/all.txt"
      set refresh-rate 60
   next
   edit emergingthreats.net_blockips
      set name "Emerging Threats Block IPs"
      set status enable
      set type address
      set resource "http://rules.emergingthreats.net/fwrules/emerging-Block-IPs.txt"
      set refresh-rate 60
   next
end

Verwendung der Block-Listen

Domain Block-Listen

Domain Block-Listen werden nach ihrer Erstellung in den Category Based Filters der DNS Filter Profile als Remote Categories angezeigt und können analog zu anderen Kategorien konfiguriert werden. Das jeweilige DNS Filter Profil kann entweder an eine Firewall Policy oder an eine Proxy Policy gebunden werden.

IP Address Block-Listen

IP Address Block-Listen können auf 2 Arten verwendet werden. Wie Domain Block-Listen können sie in DNS Filter Profilen verwendet werden. Hierzu wird im Bereich Static Domain Filter die Option External IP Block Lists aktiviert und die entsprechende IP Address Block-Liste ausgewählt. Das jeweilige DNS Filter Profil kann wieder entweder an eine Firewall Policy oder an eine Proxy Policy gebunden werden. Alternativ können IP Address Block-Listen in Proxy Policies direkt als Source oder Destination ausgewählt werden.

DNS Filter Profil

DNS Filter Profil

URLs für Filter Listen mit den jeweiligen FortiGate Filter-Typen

disconnect.me Advertisement Block-Liste (domain):
https://s3.amazonaws.com/lists.disconnect.me/simple_ad.txt

disconnect.me Advertisement Block-Liste (domain):
https://s3.amazonaws.com/lists.disconnect.me/simple_tracking.txt

disconnect.me Malware- & Advertisement Block-Liste (domain):
https://s3.amazonaws.com/lists.disconnect.me/simple_malvertising.txt

blockist.de All IP Block-Liste (address):
https://lists.blocklist.de/lists/all.txt

emergingthreats.net Emerging Block IPs (address):
http://rules.emergingthreats.net/fwrules/emerging-Block-IPs.txt

abuse.ch ZeuS Domain Block-Liste (domain):
https://zeustracker.abuse.ch/blocklist.php?download=domainblocklist

abuse.ch ZeuS IP Block-Liste (address):
https://zeustracker.abuse.ch/blocklist.php?download=ipblocklist

abuse.ch ZeuS Compromised URL Block-Liste (domain):
https://zeustracker.abuse.ch/blocklist.php?download=compromised

spamhaus.org DROP Block-Liste (address):
https://www.spamhaus.org/drop/edrop.txt

spamhaus.org EDROP Block-Liste (address):
https://www.spamhaus.org/drop/edrop.txt

spamhaus.org DROPv6 Block-Liste (address):
https://www.spamhaus.org/drop/dropv6.txt

Feature verfügbar seit: 6.0.0
Feature verfügbar bis: n/a

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.