UDR Droppen van verkeer naar diverse regio's/landen

[niekniek89]

Goedemorgen,

Ik wil het verkeer inkopend/uitgaand naar verschillende regio's/landen droppen.
Zie dat dit (volgens mij) via 2 verschillende wegen kan:

* Via Traffic Management
* Via Firewall & Security, Country Restriction

Wat is de beste manier?
Zit er nog verschil tussen beide manieren?

Zie ook dat er via "Firewall & Security, Country Restriction" een maximum van 150 zit om toe te voegen.

 

[Eddie the Eagle]

He wat grappig; die Region optie bij traffic mgt had ik nog niet gezien. De verschillen blijken wel uit de velden die je kunt invullen. Met traffic mgt kun je regels maken voor bepaalde target clients. Is ook one-way zo te zien, blokkeert alleen van de client naar de 'bestemming'. Country restriction is 2-way (indien gewenst) en algemeen voor een land.

Nog wat ongevraagd advies . Ik zou er lekker vanaf blijven en IPS aanzetten, beter dan dat ga je het niet krijgen. Met country restriction ook grote kans op false positives; dan zet je `m vanzelf wel weer uit.

 

[Hofstede]

Voordeel van de firewall methode is dat je bepaald verkeer kunt blokkeren, maar ander verkeer toestaan.

Maar verder volg ik het advies van @Eddie the Eagle .

 

[niekniek89]

Jullie bedoelen dan het enablen van Threat Management ipv het gebruik van Country Restriction?

 

[Eddie the Eagle]

Jullie bedoelen dan het enablen van Threat Management ipv het gebruik van Country Restriction?

inderdaad, op Detect & Block zetten

 

[dbw]

Welke is hier het beste om te gebruiken. Staat nu op High

 

[Hofstede]

Ik heb deze altijd op High staan omdat mijn UDM Pro het makkelijk aankan.

 

[Eddie the Eagle]

Ik heb deze altijd op High staan omdat mijn UDM Pro het makkelijk aankan.

Daarom is het op de UDR beperkt tot 11 ipv 35 cats.

 

[niekniek89]

dus jullie advies:

Country Restriction uitzetten, en IPS aanzetten

 

[Eddie the Eagle]

dus jullie advies:

Country Restriction uitzetten, en IPS aanzetten

yes

 

[niekniek89]

Je zou verwachten dat je met Country Restriction veel tegen gaat, maar waarom jullie keuze voor IPS?
Ik heb IPS inmiddels enabled, op high.
Echter nog wel Country Restriction gevuld met vanalles.

 

[Eddie the Eagle]

waarom jullie keuze voor IPS?

Omdat dan alleen kwaadwillende lieden geblokkeerd worden obv een signature list en engine van deze organisatie. Nu zul je zeggen, hoe meer dichttimmeren hoe beter maar vergeet niet dat zowel IPS als Geofencing zware processen zijn die een stevige belasting van je gateway betekenen. IPS is veel gerichter dan Geofencing. Ik heb hier af en toe wat klachten gekregen mbt false positives op gaming maar dan zet ik die even uit.

 

[niekniek89]

Thanks voor de uitleg.
Dan houd ik het eens op enkel IPS, en zal Country Restriction uitzetten.

 

[Guido64]

Is het niet zo dat een firewall vanzelf al het inkomend verkeer tegenhoud?
Pas als je poorten open hebt staan (NAT / PAT) en je wilt op die poorten op land beperken is het misschien nuttig.
Als je geen open poorten hebt, waar je een of andere service op aanbied, dan zijn alle poorten gesloten.

 

[niekniek89]

Zolang je geen poorten open hebt staan, zou idd alles geblokt moeten worden.
Echter heb ik 80 & 443 open staan richting nginx proxy manager.

Ik had eerst IPS disabled staan, en landen op regio geblokt (max 150).
Beide kan, kost alleen meer resources (en die heeft de UDR niet heel veel ).....

Maarja, als je een land geblokkeerd hebt staan, en deze gebruikt een VPN van een land, welke je niet blokkeert, schiet je er weinig mee op... lijkt me.

 

[Hofstede]

En IPS detecteert ook als 1 van de apparaten op je netwerk verdachte activiteiten richting het internet uitvoert.

 

[Eddie the Eagle]

Ik begeef me buiten m`n kennisgebied maar er zijn toch ook zwakke protocollen als P2P waardoor je ook kwetsbaar bent en die ook door IPS afgetest worden zonder dat je een poort open hebt staan (?) Mijn zoon speelt regelmatig Roblox en dan krijg ik bv van die P2P meldingen zonder dat ik een poort open heb staan. Ik heb er nog maar 1 zelf geforward en dat is naar de Minecraft server en daar wordt een paar keer per dag aan gesnuffeld en geblokkeerd door IPS. Werkt als een speer verder.

 

[Guido64]

Ik gebruik dan gaan UI router maar pfSense daarin heb ik Snort IDS/IPS en pfBlocker met de nodige blocklists.
p2p word daar ook o.a. in tegen gehouden maar soms het even nodig dat uit te zetten als ik iets wil downloaden zoals een Ubuntu torrent of zo :-E
Van p2p verkeer als ook van tor exit nodes word aangenomen dat die een verhoogd risico vormen daarom word dat vaak geblokkeerd door IPS.
Maar ja wat als je bewust kiest dat je daar iets mee moet doen dan zal je eventjes die tor exit nodes toe moeten laten of die p2p server. je hoeft niet meteen je hele IDS/IPS uit te zetten je kan ook een bepaald ip of range al of niet tijdelijk toelaten tot je klusjes is geklaard.

 

[Eddie the Eagle]

Precies: on topic moraal van het verhaal voor topic starter is dat IPS veel doet en het een serieuze vorm van firewall is die je off the shelf er bij krijgt. Het lijkt een kleine instelling in de GUI te zijn maar er zit heel veel achter. Was voor mij een belangrijke drijfveer om van USG-3P naar UDM-SE over te stappen.

 

[MinddiggerNL]

Ik zet toch altijd gewoon alle opties aan die mogelijk zijn Beter teveel blokkades dan te weinig. Mijn USG-3P trok IPS net zónder country restriction, maar mijn UDM SE doet alles met de vinger in de neus...