niekniek89

UniFier
Berichten
335
Waarderingsscore
254
Punten
63
Goedemorgen,

Ik wil het verkeer inkopend/uitgaand naar verschillende regio's/landen droppen.
Zie dat dit (volgens mij) via 2 verschillende wegen kan:

* Via Traffic Management
* Via Firewall & Security, Country Restriction

Wat is de beste manier?
Zit er nog verschil tussen beide manieren?

Zie ook dat er via "Firewall & Security, Country Restriction" een maximum van 150 zit om toe te voegen.
 

Eddie the Eagle

Moderator
UniFier
Berichten
2.839
Oplossingen
3
Waarderingsscore
2.321
Punten
163
He wat grappig; die Region optie bij traffic mgt had ik nog niet gezien. De verschillen blijken wel uit de velden die je kunt invullen. Met traffic mgt kun je regels maken voor bepaalde target clients. Is ook one-way zo te zien, blokkeert alleen van de client naar de 'bestemming'. Country restriction is 2-way (indien gewenst) en algemeen voor een land.

Nog wat ongevraagd advies 😂. Ik zou er lekker vanaf blijven en IPS aanzetten, beter dan dat ga je het niet krijgen. Met country restriction ook grote kans op false positives; dan zet je `m vanzelf wel weer uit.
 
Topicstarter
N

niekniek89

UniFier
Berichten
335
Waarderingsscore
254
Punten
63
Je zou verwachten dat je met Country Restriction veel tegen gaat, maar waarom jullie keuze voor IPS:)?
Ik heb IPS inmiddels enabled, op high.
Echter nog wel Country Restriction gevuld met vanalles.
 

Eddie the Eagle

Moderator
UniFier
Berichten
2.839
Oplossingen
3
Waarderingsscore
2.321
Punten
163
waarom jullie keuze voor IPS:)?
Omdat dan alleen kwaadwillende lieden geblokkeerd worden obv een signature list en engine van deze organisatie. Nu zul je zeggen, hoe meer dichttimmeren hoe beter maar vergeet niet dat zowel IPS als Geofencing zware processen zijn die een stevige belasting van je gateway betekenen. IPS is veel gerichter dan Geofencing. Ik heb hier af en toe wat klachten gekregen mbt false positives op gaming maar dan zet ik die even uit.
 
Laatst bewerkt:

Guido64

UniFier
Berichten
13
Waarderingsscore
9
Punten
3
Locatie
Zuid-Limburg
Is het niet zo dat een firewall vanzelf al het inkomend verkeer tegenhoud?
Pas als je poorten open hebt staan (NAT / PAT) en je wilt op die poorten op land beperken is het misschien nuttig.
Als je geen open poorten hebt, waar je een of andere service op aanbied, dan zijn alle poorten gesloten.
 
Topicstarter
N

niekniek89

UniFier
Berichten
335
Waarderingsscore
254
Punten
63
Zolang je geen poorten open hebt staan, zou idd alles geblokt moeten worden.
Echter heb ik 80 & 443 open staan richting nginx proxy manager.

Ik had eerst IPS disabled staan, en landen op regio geblokt (max 150).
Beide kan, kost alleen meer resources (en die heeft de UDR niet heel veel 😅).....

Maarja, als je een land geblokkeerd hebt staan, en deze gebruikt een VPN van een land, welke je niet blokkeert, schiet je er weinig mee op... lijkt me.
 

Hofstede

Administrator
UniFier
Berichten
3.083
Oplossingen
8
Waarderingsscore
2.339
Punten
213
En IPS detecteert ook als 1 van de apparaten op je netwerk verdachte activiteiten richting het internet uitvoert.
 

Eddie the Eagle

Moderator
UniFier
Berichten
2.839
Oplossingen
3
Waarderingsscore
2.321
Punten
163
Ik begeef me buiten m`n kennisgebied maar er zijn toch ook zwakke protocollen als P2P waardoor je ook kwetsbaar bent en die ook door IPS afgetest worden zonder dat je een poort open hebt staan (?) Mijn zoon speelt regelmatig Roblox en dan krijg ik bv van die P2P meldingen zonder dat ik een poort open heb staan. Ik heb er nog maar 1 zelf geforward en dat is naar de Minecraft server en daar wordt een paar keer per dag aan gesnuffeld en geblokkeerd door IPS. Werkt als een speer verder.
 

Guido64

UniFier
Berichten
13
Waarderingsscore
9
Punten
3
Locatie
Zuid-Limburg
Ik gebruik dan gaan UI router maar pfSense daarin heb ik Snort IDS/IPS en pfBlocker met de nodige blocklists.
p2p word daar ook o.a. in tegen gehouden maar soms het even nodig dat uit te zetten als ik iets wil downloaden zoals een Ubuntu torrent of zo :-E
Van p2p verkeer als ook van tor exit nodes word aangenomen dat die een verhoogd risico vormen daarom word dat vaak geblokkeerd door IPS.
Maar ja wat als je bewust kiest dat je daar iets mee moet doen dan zal je eventjes die tor exit nodes toe moeten laten of die p2p server. je hoeft niet meteen je hele IDS/IPS uit te zetten je kan ook een bepaald ip of range al of niet tijdelijk toelaten tot je klusjes is geklaard.
 

Eddie the Eagle

Moderator
UniFier
Berichten
2.839
Oplossingen
3
Waarderingsscore
2.321
Punten
163
Precies: on topic moraal van het verhaal voor topic starter is dat IPS veel doet en het een serieuze vorm van firewall is die je off the shelf er bij krijgt. Het lijkt een kleine instelling in de GUI te zijn maar er zit heel veel achter. Was voor mij een belangrijke drijfveer om van USG-3P naar UDM-SE over te stappen.
 
Bovenaan