[DrayOS5] Blokowanie ruchu WAN-LAN z adresów IP o złej reputacji

Routery DrayTek z systemem DrayOS5 to m.in. seria Vigor 2136.
Główne założenia przykładu:
– blokowanie ruchu przychodzącego do usługi RDP (przekierowanie portu TCP 3389 do serwera w sieci lokalnej) z adresów IP o złej reputacji

WCF URL/IP Reputation wspiera reputację IP.

Klasyfikacja reputacji IP:
– High Risk (0-20)
– Suspicious (21-40)
– Moderate Risk (41-60)
– Low Risk (61-80)
– Trustworthy (81-100)

Klasyfikacja kategorii IP o złej reputacji:
– Spam Source
– Windows Exploits
– Web Attacks
– Botnets
– Scanners
– Denial of Service
– Reputation
– Phishing
– Proxy
– Mobile Threats
– Tor Proxy

Jeśli chcesz sprawdzić klasyfikację danego adresu IP to przejdź do zakładki Security / URL/IP Lookup.

WCF

Aktywuj licencję WCF.
Zapoznaj się z przykładem [DrayOS5] Aktywacja licencji WCF przez portal MyVigor

NAT

Zapoznaj się z przykładami NAT DrayOS5

Przejdź do zakładki Configuration / NAT / Port Forwarding.
Udostępnij usługę RDP.

Obiekty usług

Przejdź do zakładki Configuration / Objects / Service Type Object.
Sprawdź czy w predefiniowanych obiektach znajdują się usługi, które chcesz analizować.
Dodaj obiekty usług, jeśli nie istnieją.
Definicja usługi RDP (domyślny port TCP 3389).

Reguły Firewall

Przejdź do zakładki Security / Firewall Filters / IP Reputation Filters.

Zaznacz Enable IP Reputation Filters, aby włączyć funkcję.

Zaznacz Enable IP Reputation Log, aby router generował logi.

Dla kierunku Inbound (Internet to Router LAN) czyli dla ruchu przychodzącego do usług w sieci LAN (m.in. przekierowanie portów):
-w opcji Block when under wybierz 20 – High Risk, aby router blokował adresy IP sklasyfikowane jako High Risk
-w opcji Log when under wybierz 40 – Suspicious, aby router generował logi dla adresów IP sklasyfikowanych jako High Risk oraz Suspicious
-w opcji Port List kliknij Add, aby wskazać obiekty usług, które będą analizowane
Przejdź do zakładki Security / Security Defense Status / IP Reputation.
Sprawdź listę zablokowanych adresów IP.