Sofern ich einen eigenen E-Mail-Server betreibe, habe ich in meiner Firewall eine Regel stehen, die besagt, dass jeder da draußen an meinen E-Mail-Server eine Mail senden darf. Aber nur E-Mail. Das ist ja schließlich kein Webserver und auch kein Datenbankserver. So sind Firewallregeln nun mal, dies ist so allgemein üblich.
Aber warum eigentlich? Wirklich „jeder“ darf an mich E-Mails senden? Und das „jeder“ kann an vielen Stellen hinterfragt werden: Man betreibt einen Webshop ausschließlich für den deutschsprachigen oder vielleicht sogar den europäischen Markt. Warum sollte jemand am anderen Ende der Welt diesen Shop besuchen wollen? Und selbst wenn man für die zu betrachtende Webanwendung keine solchen Einschränkungen treffen kann, dann sollte man trotzdem „jeder“ kritisch hinterfragen.
Zum einen sollte man den Bereich der „Bogon“ Adressen ausschließen. Das sind Adressen, die im Internet an niemanden vergeben wurden und welche für Firewalls häufig um die Bereiche erweitert wurden, welche im Internet erst gar nicht vorkommen können. Neben den privaten A/B/C-Netzen gibt es da noch einiges mehr.
Ebenso gibt es DROP bzw. EDROP-Listen. Das sind IP-Adressen von gekaperten Netzbereichen, professionellen Spammern, Cybercrime-Organisationen usw. EDROP erweitert diese Liste um die noch freien IP-Bereiche. Also ein zusätzlicher Schutz – freie IPs könnten bereits von Dritten gekapert worden sein.
Das ist der Mindestschutz, den eine Firewall bei eingehenden Verbindungen bieten sollte. Was ist, falls man jetzt, wie oben bei einem Webservice gezeigt, den Besucherkreis noch weiter einschränken kann, zum Beispiel auf Deutschland? Selbst das kann eine moderne Firewall filtern: IP-Adress-Bereiche sind an Länder vergeben worden. Dank GeoIP kann eine Firewall nach diesen Länderlisten filtern und entsprechend den Zugang gewähren oder eben verweigern.
Das waren jetzt mal ein paar grundlegende Möglichkeiten, die man hat um „jeder“ zu optimieren. Hier ist noch viel mehr möglich als dieser kurze Artikel im Detail zeigen könnte.
Zusammengefasst: Bei eingehenden Verbindungen von extern sollte man wirklich einen kurzen Moment innehalten und überlegen, ob das wirklich „jeder“ heißen muss. Selbst falls keine Beschränkung via GeoIP möglich sein sollte, so kann man das direkt offensichtliche mit Bogon sowie DROP und EDROP sperren. Für mehr Schutz ihrer Webservices.
Nehmen Sie einfach unverbindlich Kontakt zu uns auf bei Fragen wie man dies mit einer OPNsense Firewall in wenigen Minuten wirkungsvoll umsetzen kann. Und was davon kann Ihre Firewall?
Quellen zu Bildern von Dritten
- Beitragsbild: Pixabay https://pixabay.com/photos/gate-portal-entrance-passage-1707702/