Firewall regels snel / massaal aanpassen

joostman

UniFier
Berichten
3
Waarderingsscore
0
Punten
1
Ik heb door de tijd heen veel losse IP adressen geblokkeerd in de firewall. Later kwam ik er achter dat je in plaats van een enkel IP beter een range kan blokkeren.
Op dit moment heb ik een waslijst van IP adressen dubbel geblokkeerd (enkel en via range) staan. Om het netjes te houden wil ik de losse regels verwijderen.
Dat kan in de GUI, door voor elke regel een Delete en Confirm te klikken. Aangezien ik 2000 regels heb zoek ik een andere manier.
Is dit mogelijk via commandline en is het huidige overzicht te exporteren of te benaderen via commandline om hier ook patronen (ranges) uit te kunnen halen?
 

Hofstede

Forumleiding
Administrator
UniFier
Berichten
2.654
Oplossingen
7
Waarderingsscore
1.889
Punten
213
Nee, er is geen makkelijke weg. Tenzij je in de Mongo database van de controller gaat rommelen. Maar daar zijn al veel mensen mee op de koffie gekomen...

Nog even terzijde: Waarom blokkeer je al die IP adressen? Dat doet IPS al voor je. Al die IP's van threats blokkeren in de firewall voegt niet echt wat toe. Temeer omdat, als de IP door threat management wordt gemeld en geblokt, het verkeer al niet eens meer bij de interne firewall aankomt.
 

joostman

UniFier
Berichten
3
Waarderingsscore
0
Punten
1
  • Topicstarter Topicstarter
  • #3
Jammer! Toch een gemist iets van Unifi/Ubiquiti?!

De reden van blokkeren is omdat ik soms zie dat bepaalde adressen alle mogelijke aanvallen uit de kast halen om binnen te komen. De IPS zal en doet het blokkeren van die aanvallen, maar ik niets zelf doe en de 101ste aanval wel binnenkomt heeft die persoon toch zijn doel bereikt. Door te blokkeren kan hij ook nooit meer een willekeurige aanval inzetten, wat mij veiliger lijkt dan "probeer maar zoveel je wilt, ik vertrouw volledig dat ik geen gaten heb en mijn IPS alles afvangt"?
 

Hofstede

Forumleiding
Administrator
UniFier
Berichten
2.654
Oplossingen
7
Waarderingsscore
1.889
Punten
213
Tip: Definieer een groep met de IP adressen die je wilt blokkeren en gebruik die groep in één firewall regel waarin je alle IP adressen in de groep blokkeert.
Een firewall regel per IP is niet echt de efficiëntste manier.
 

Reddwarf

UniFier
Berichten
512
Waarderingsscore
653
Punten
143
Jammer! Toch een gemist iets van Unifi/Ubiquiti?!

De reden van blokkeren is omdat ik soms zie dat bepaalde adressen alle mogelijke aanvallen uit de kast halen om binnen te komen. De IPS zal en doet het blokkeren van die aanvallen, maar ik niets zelf doe en de 101ste aanval wel binnenkomt heeft die persoon toch zijn doel bereikt. Door te blokkeren kan hij ook nooit meer een willekeurige aanval inzetten, wat mij veiliger lijkt dan "probeer maar zoveel je wilt, ik vertrouw volledig dat ik geen gaten heb en mijn IPS alles afvangt"?

Het probleem is dat je er een dag (en nacht) taak aan gaat hebben om alle ip adressen handmatig toe te voegen die onderdeel uitmaken van een zombie netwerk, gehackte servers of chinese camera’s. Het toevoegen van lijsten of ip reeksen is in dat opzicht ook geen oplossing.

Denk dat je gewoon vertrouwen moet hebben in het product IPS/IDSvan Suricata en dit wordt echt door verschillende grote vendoren gebruikt (en verkocht voor veel geld)
 
Laatst bewerkt:
Bovenaan