[DrayOS5] Blokowanie ruchu LAN-WAN do adresów IP o złej reputacji
Na współdzielonych serwerach, z danym publicznym adresem IP jest powiązanych wiele domen (bezpiecznych jak i potencjalnie niebezpiecznych).
Blokowanie ruchu do adresu IP na podstawie jego reputacji może spowodować zablokowanie dostępu nie tylko do niebezpiecznych stron, ale również tych bezpiecznych.
Zamiast blokowania ruchu LAN-WAN do adresów IP o złej reputacji przez IP Reputation Filters, rekomendujemy blokowanie niebezpiecznych stron/domen za pomocą Content Filters.
Zapoznaj się z przykładami:
[DrayOS5] Blokowanie stron niebezpiecznych (m.in. malware, phishing)
[DrayOS5] Blokowanie stron nieodpowiednich dla dzieci (m.in. porno)
Routery DrayTek z systemem DrayOS5 to m.in. seria Vigor 2136.
Główne założenia przykładu:
– blokowanie ruchu wychodzącego do Internetu (DNS, HTTP, HTTPS) do adresów IP o złej reputacji
WCF URL/IP Reputation wspiera reputację IP.
Klasyfikacja reputacji IP:
– High Risk (0-20)
– Suspicious (21-40)
– Moderate Risk (41-60)
– Low Risk (61-80)
– Trustworthy (81-100)
Klasyfikacja kategorii IP o złej reputacji:
– Spam Source
– Windows Exploits
– Web Attacks
– Botnets
– Scanners
– Denial of Service
– Reputation
– Phishing
– Proxy
– Mobile Threats
– Tor Proxy
Jeśli chcesz sprawdzić klasyfikację danego adresu IP to przejdź do zakładki Security / URL/IP Lookup.
WCF
Aktywuj licencję WCF.
Zapoznaj się z przykładem [DrayOS5] Aktywacja licencji WCF przez portal MyVigor
Obiekty usług
Przejdź do zakładki Configuration / Objects / Service Type Object.
Sprawdź czy w predefiniowanych obiektach znajdują się usługi, które chcesz analizować.
Dodaj obiekty usług, jeśli nie istnieją.
Reguły Firewall
Przejdź do zakładki Security / Firewall Filters / IP Reputation Filters.
Zaznacz Enable IP Reputation Filters, aby włączyć funkcję.
Zaznacz Enable IP Reputation Log, aby router generował logi.
Dla kierunku Outbound (LAN to Internet) czyli dla ruchu wychodzącego z sieci LAN do Internetu:
-w opcji Block when under wybierz 20 – High Risk, aby router blokował adresy IP sklasyfikowane jako High Risk
-w opcji Log when under wybierz 40 – Suspicious, aby router generował logi dla adresów IP sklasyfikowanych jako High Risk oraz Suspicious
-w opcji Port List kliknij Add, aby wskazać obiekty usług, które będą analizowane
Przejdź do zakładki Security / Security Defense Status / IP Reputation.
Sprawdź listę zablokowanych adresów IP.