Ich bin der Entwickler der ipdb-tools -- https://github.com/cyclaero/ipdb/. Die gibt es auch in den FreeBSD-Ports -- sysutils/ipdbtools.
Mit Beginn der russischen Invasion der Ukrainie habe ich bei den von mir betreuten Servern bei 3 AWS-EC2-Instanzen davon 2 in Frankfurt und 1 in São Paulo, die jede für sich eine Reihe unterschiedlicher Web-Services bereithalten ein IP-Geo-Blocking für RU an der Firewall eingerichtet.
Meine Beweggründe und wie es geht habe ich in einem BLog-Beitrag erläutert -- https://obsigna.com/articles/1645129152.html
Davon kann man was halten oder auch nicht, das soll aber hier nicht das Thema sein. Hier soll es um die "willkommene" Nebenwirkung auf die Sicherheit unserer Services gehen.
Alle 3 Firewalls zählen nämlich täglich über 5000 TCP-Zugriffe und um die 50 UDP-Zugriffe aus Russland (und mittlerweile aus anderen Schurkenstaaten). Das sind übrigens geblockte SYNs, d.h. das sind einzelne Zugriffsversuche, und zwar 3,5 pro Minute aus RU:IR:KP:SY. Meine Web-Angebote sind jedoch Low-Traffic-Seiten, und ich freue mich bereits wenn alle 10-15 Minuten mal eine Seite vom Rest der Welt regulär abgerufen wird.
Das interessante dabei ist, daß die Blockrate bei allen 3 Servern fast gleich ist, und zwar trotz der unterschiedlichen Inhalte, Services und Standorte. Das ließe sich damit erklären, daß Bots ihre gesteuerte Runde bei allen aktiven IP's drehen um Breschen aufzuspüren, also z.B. Port-Scans, mit dem Zweck Breschen für nachfolgende Angriffe aufzufinden.
Die könnte man zwar verschleiern, z.B. in dem man die über VPN-Server oder über bereits gekaperte Bots im Ausland abwickelt, das geht dann im Falle von VPN aber nicht mehr mit der Rate von 1 Zugriffsversuch pro 3 min bei sagen wir mal einige zig-Millionen Adressen. Oder im Falle der Botnetze würde man die mit High-Traffic lahmlegen, der ja ansonsten gewinnbringend für andere kriminelle Aktivitäten verwendet werden könnte.
Ich gehe nun davon aus, daß Geo-Blocking eine effektive Maßnahme darstellt, um die Angriffsoberfläche auf unsere westliche IT-Infrastruktur aus Schurkenstaaten heraus drastisch zu reduzieren. Das hindert natürlich nicht bereits gekaperte Bot-Netze mit Endpunkten in aller Welt am Zugriff auf unsere Systeme, dürfte aber die Rekrutierung neuer Bots behindern.
Meine Seiten basieren nicht auf Wordpress, dennoch registriere ich in den Logs regelmäßig Zugriffsversuche, auf /wp-login/ und manche WP-Plugins, die ich natürlich auch nicht benutze. Derlei Zugriffsversuche sind seit dem Geo-Blocking von RU drastisch zurückgegangen.
Letzte Woche habe ich ein IoT-Device mit Web-UI bei einer Firma instaliert, die kein Geo-Blocking installiert hat. Da kamen ziemlich komische Anfragen rein, z.B. "PRI * HTTP/1.1". Sowas sehe ich auf meinen RU-geblockten Systemen nicht.
Mit Beginn der russischen Invasion der Ukrainie habe ich bei den von mir betreuten Servern bei 3 AWS-EC2-Instanzen davon 2 in Frankfurt und 1 in São Paulo, die jede für sich eine Reihe unterschiedlicher Web-Services bereithalten ein IP-Geo-Blocking für RU an der Firewall eingerichtet.
Meine Beweggründe und wie es geht habe ich in einem BLog-Beitrag erläutert -- https://obsigna.com/articles/1645129152.html
Davon kann man was halten oder auch nicht, das soll aber hier nicht das Thema sein. Hier soll es um die "willkommene" Nebenwirkung auf die Sicherheit unserer Services gehen.
Alle 3 Firewalls zählen nämlich täglich über 5000 TCP-Zugriffe und um die 50 UDP-Zugriffe aus Russland (und mittlerweile aus anderen Schurkenstaaten). Das sind übrigens geblockte SYNs, d.h. das sind einzelne Zugriffsversuche, und zwar 3,5 pro Minute aus RU:IR:KP:SY. Meine Web-Angebote sind jedoch Low-Traffic-Seiten, und ich freue mich bereits wenn alle 10-15 Minuten mal eine Seite vom Rest der Welt regulär abgerufen wird.
Das interessante dabei ist, daß die Blockrate bei allen 3 Servern fast gleich ist, und zwar trotz der unterschiedlichen Inhalte, Services und Standorte. Das ließe sich damit erklären, daß Bots ihre gesteuerte Runde bei allen aktiven IP's drehen um Breschen aufzuspüren, also z.B. Port-Scans, mit dem Zweck Breschen für nachfolgende Angriffe aufzufinden.
Die könnte man zwar verschleiern, z.B. in dem man die über VPN-Server oder über bereits gekaperte Bots im Ausland abwickelt, das geht dann im Falle von VPN aber nicht mehr mit der Rate von 1 Zugriffsversuch pro 3 min bei sagen wir mal einige zig-Millionen Adressen. Oder im Falle der Botnetze würde man die mit High-Traffic lahmlegen, der ja ansonsten gewinnbringend für andere kriminelle Aktivitäten verwendet werden könnte.
Ich gehe nun davon aus, daß Geo-Blocking eine effektive Maßnahme darstellt, um die Angriffsoberfläche auf unsere westliche IT-Infrastruktur aus Schurkenstaaten heraus drastisch zu reduzieren. Das hindert natürlich nicht bereits gekaperte Bot-Netze mit Endpunkten in aller Welt am Zugriff auf unsere Systeme, dürfte aber die Rekrutierung neuer Bots behindern.
Meine Seiten basieren nicht auf Wordpress, dennoch registriere ich in den Logs regelmäßig Zugriffsversuche, auf /wp-login/ und manche WP-Plugins, die ich natürlich auch nicht benutze. Derlei Zugriffsversuche sind seit dem Geo-Blocking von RU drastisch zurückgegangen.
Letzte Woche habe ich ein IoT-Device mit Web-UI bei einer Firma instaliert, die kein Geo-Blocking installiert hat. Da kamen ziemlich komische Anfragen rein, z.B. "PRI * HTTP/1.1". Sowas sehe ich auf meinen RU-geblockten Systemen nicht.