[DrayOS5] Blokowanie ruchu LAN-WAN do adresów IP o złej reputacji

Na współdzielonych serwerach, z danym publicznym adresem IP jest powiązanych wiele domen (bezpiecznych jak i potencjalnie niebezpiecznych).
Blokowanie ruchu do adresu IP na podstawie jego reputacji może spowodować zablokowanie dostępu nie tylko do niebezpiecznych stron, ale również tych bezpiecznych.
Zamiast blokowania ruchu LAN-WAN do adresów IP o złej reputacji przez IP Reputation Filters, rekomendujemy blokowanie niebezpiecznych stron/domen za pomocą Content Filters.

Zapoznaj się z przykładami:
[DrayOS5] Blokowanie stron niebezpiecznych (m.in. malware, phishing)
[DrayOS5] Blokowanie stron nieodpowiednich dla dzieci (m.in. porno)

Routery DrayTek z systemem DrayOS5 to m.in. seria Vigor 2136.
Główne założenia przykładu:
– blokowanie ruchu wychodzącego do Internetu (DNS, HTTP, HTTPS) do adresów IP o złej reputacji

WCF URL/IP Reputation wspiera reputację IP.

Klasyfikacja reputacji IP:
– High Risk (0-20)
– Suspicious (21-40)
– Moderate Risk (41-60)
– Low Risk (61-80)
– Trustworthy (81-100)

Klasyfikacja kategorii IP o złej reputacji:
– Spam Source
– Windows Exploits
– Web Attacks
– Botnets
– Scanners
– Denial of Service
– Reputation
– Phishing
– Proxy
– Mobile Threats
– Tor Proxy

Jeśli chcesz sprawdzić klasyfikację danego adresu IP to przejdź do zakładki Security / URL/IP Lookup.

WCF

Aktywuj licencję WCF.
Zapoznaj się z przykładem [DrayOS5] Aktywacja licencji WCF przez portal MyVigor

Obiekty usług

Przejdź do zakładki Configuration / Objects / Service Type Object.
Sprawdź czy w predefiniowanych obiektach znajdują się usługi, które chcesz analizować.
Dodaj obiekty usług, jeśli nie istnieją.

Reguły Firewall

Przejdź do zakładki Security / Firewall Filters / IP Reputation Filters.

Zaznacz Enable IP Reputation Filters, aby włączyć funkcję.

Zaznacz Enable IP Reputation Log, aby router generował logi.

Dla kierunku Outbound (LAN to Internet) czyli dla ruchu wychodzącego z sieci LAN do Internetu:
-w opcji Block when under wybierz 20 – High Risk, aby router blokował adresy IP sklasyfikowane jako High Risk
-w opcji Log when under wybierz 40 – Suspicious, aby router generował logi dla adresów IP sklasyfikowanych jako High Risk oraz Suspicious
-w opcji Port List kliknij Add, aby wskazać obiekty usług, które będą analizowane
Przejdź do zakładki Security / Security Defense Status / IP Reputation.
Sprawdź listę zablokowanych adresów IP.

W tej witrynie stosujemy pliki cookies. Standardowe ustawienia przeglądarki internetowej zezwalają na zapisywanie ich na urządzeniu końcowym Użytkownika. Kontynuowanie przeglądania serwisu bez zmiany ustawień traktujemy jako zgodę na użycie plików cookies. Więcej informacji w Polityce Cookies.

Akceptuję