IP-Blocklists und DNS-Blocklists

lazyB

New member
Hallo Forengemeinde,

ich habe mich heute seit längerem mal wieder mit Blocklisten beschäftigt.
Ich setze auf meiner OPNsense zum einen IP-Blocklisten ein, welche meinen Clients in erster Linie verbieten auf für Phishing, Malware und Co bekannte IPs zuzugreifen. Zusätzlich verwende ich DNS-Blocklisten, ebenfalls gegen Phishing, Malware und Co, aber auch gegen Werbung.

Mich würde in erster Linie interessieren, was ihr gegen Phishing und Malware unternehmt und welche Blocklisten (IP und DNS) ihr empfehlen könnt.

Gruß
 

blurrrr

Well-known member
Also bei mir ist das ganz einfach: Virenscanner und - ganz wichtig: gesunden Menschenverstand 😁

Blocklisten kann man sicherlich auch verwenden und/oder Countryblocking, je nach Szenarien. Mailgateways kann man sich natürlich auch noch privat antun (wenn man möchte), aber da werden die Hoster schon die Nase vorn haben.

Ansonsten - wenn es nicht anders geht ( bei z.B. Mailservern, die auch mit z.B. russischen/chinesischen Mailservern reden müssen) - Helm auf.... hoffen, dass der Panzer hält und mit Vollstoff durch's Krieggebiet... *knatterknatter* :cool:

Insgesamt verhält sich der ganze Spass aber ähnlich wie bei einer USV (von den Layer8-Probleme mal aussen vor gelassen)... Kannste Dich auf den Kopf stellen und machen und tun und dann bringt das wieder alles nix, weil irgendwo halt doch noch ein Einfallstor ist. Insofern braucht es schon eine ganzheitliche Betrachtungsweise.

Wenn nichts nach aussen freigegeben ist, die Router ggf. noch angreifbar sind, die Hardware-Firewall dahinter ggf. auch noch, etc. dann läuft schon grundlegend etwas schief. Ist dem nicht so, bleiben trotzdem noch "etliche" Szenarien... (auf welche man teils Einfluss hat, teils nicht). Typisches Beispiel wäre der Besuch der "falschen" Website - kann schneller gehen als man gucken kann. Ein anderes Szenario wäre die Übernahme eines Update-Servers von einem Software-Hersteller. Noch ein Szenario: komprimitiertes Repo einer Distri (auch schon da gewesen). Ein gänzlichst anderes Szenario wären da noch BGP-Hijacking (hatten wir auch schon)... da fliessen dann halt alle Pakete die nach Ebay gehen sollten eben kurzerhand nach Russland o.ä.

Um das ganze jetzt einfach mal abzukürzen: Internet? Bloss nicht benutzen! 🤪🤣

Aber mal ernsthaft: Es gibt sicherlich etliche Dinge, die man anstellen kann um womöglichen Gefahren aus dem Weg zu gehen. Die Frage ist allerdings doch eher die, ob sich der ganze technische Aufwand lohnt (inkl. Pflege!) und ob man sich auch wirklich "immer" darauf verlassen kann. Blocklisten mögen ja vielleicht die Wunderwaffe der kleinen Leute sein, aber prinzipiell ist sowas auch viel zu schnelllebig und "kann" auch niemals 1001%ig aktuell sein. Hilft sicherlich auch beim "gröbsten", aber auf der anderen Seite muss man sich auch die Frage stellen, wie lange ein System komprimitiert sein kann UND (auch nicht unwesentlich) wie schnell der jeweilige ISP reagiert und ggf. auch einfach Ports dicht macht, bzw. die Kommunikation des Anschlusses komplett unterbindet.

Hinzu kommt der Umstand, dass man - je nach Vorkommnissen - als ambitionierter Bastler mitunter doch andere Wege in Betracht ziehen sollte. Zum einen heisst es sowieso grundsätzlich "Ruhe bewahren, Handtuch nicht vergessen!", zum anderen muss man sich Gedanken darum machen, "was" für Systeme das eigentlich sind, welche komprimitiert wurden und nun Randale im Netz (bzw. dann am eigenen Anschluss) machen. 2 typische Vertreter wären a) irgendwelche Gerätschaften in Heimnetzen, b) Hosting-Kisten/Root-Server. Bei den privaten Vertretern sind die Blocklisten meist eh nutzlos, aufgrund der dynamischen IPs. Bei den Hosting-Dingern wäre es mitunter empfehlenswert - je nach Vorkommnissen und Sitz der Hosting-Firma - direkt die kompletten IP-Kreise zu sperren, denn wenn da "einige" Kisten übernommen wurden, kann man davon ausgehen, dass generell Probleme da sind und noch weitere Kisten übernommen werden. Mitunter - je nach größe - sperrt man ggf. auch ein ganzes AS bzw. dessen Netze. Erschwerend kommt hinzu, dass IP-Adressen ein "handelbares" Gut sind. Gestern in Russland, heute in China und morgen vielleicht in Deutschland.

Ist also irgendwo schon fast egal, weil es alles ein sich ständig bewegendes Konstrukt ist. Sicherlich kann man sich irgendwelchen Blocklisten hingehen und sich dann sicherer fühlen. Sicherlich kann man irgendwelche DNS-Requests sperren, aber dann ist das "eigentliche" Problem schon ein ganz anderes (wenn etwas von innen nach aussen will, was da garnicht hingehört). In Summe "kann" man einfach nicht "alles" abdecken (was man auch wieder wieder daran sieht, dass es auch wirklich große Firmen erwischt, welche diesbezüglich auch einen enormen Aufwand betreiben). Einzig in China haben sie es teilweise verstanden... Jeder Mitarbeiter 2 Computer - einer für extern, einer für intern 😁

Aber mal als Gegenfrage: Wie hast Du Dein Haus/Deine Wohnung "gesichert"? Alarmanlage? Strahler? Wachhunde? Stolperdraht? Bärenfallen? Selbstschussanlage?.... oder doch einfach nur die Tür 2x abschliessen und gut ist und wenn irgendwer durch ein Fenster einsteigt, dann ist es halt so? 😉
 

the other

Well-known member
Moinsen,
also generell kann man sich da natürlich im kleinklein verlieren oder aber Tür und Tor weit aufmachen...
Irgendwo dazwischen, im Land der Verhältnismäßigkeit, befinde ich mich vermutlich: hier ganz old school mit einer DNS Filterung dank Pihole mit diversen Listen. Immer mal wieder denke ich über pfblocker ng auf der pfsense nach...aber bei meinem kleinen Netzwerk, den wenigen Gästen, die hier ihr WLAN nutzen wollen und den wenigen festen Bewohnern des Hauses bin ich damit eigentlich bisher absolut zufrieden.
Die Listen filtern Werbung, Porno, Adware, Malware, Phishing und Spam raus. Sicher, mehr ginge bestimmt, aber für wen?
Also: mein Pihole Raspi langt bis jetzt für meine Zwecke aus. Weder habe ich hier ein sicherheitsrelevantes RZ, noch bin ich China...und die Gäste, die dann ne Lücke finden oder die Filterung umgehen sind eingesperrt in ihr Gastnetzsegment. Sollen sie sich also selber mit der Werbung rumärgern, bis auf die üblichen Surfports ins WAN kommen sie sonst eh nicht weit...
;)
 

EOL15

Member
Nachdem ich lange Zeit und auch ausgiebig mit IP- und DNS-Blocklisten via pfBlocker, einfachen Rule-Blocking sowie GeoIP Blocking über die pfSense oder alternativ mittels Pihole, uBlock Origin und NoScript im Browser rumgespielt habe, sehe ich es mittlerweile auch ziemlich entspannt. Mir ging das alles am Ende nur noch auf den Sack. Ständig wurden Seiteninhalte blockiert (NoScript), teilweise wurden Nachrichten-Videos nicht abgespielt, weil irgend eine Adware mit eingeflochten war, Downloads starteten teilweise nicht und was weiß ich nicht noch alles.

Zuletzt hatte ich auf meiner pfSense einfach zwei grundlegende Alias-Blocklisten von Spamhaus ( hier ein Link für die OPNsense zum Thema ) am Start und das war's. Da ich die pfSense aktuell nicht mehr nutze läuft hier zwar wieder ein Pihole (aber nicht unbound) und kann, wenn ich Lust und Laune habe, diesen in einem meiner Client-Geräte als DNS-Server angeben, sollte ich mal den Bedarf haben, mir etwas mehr Sicherheit vorgaukeln zu wollen.

Wie @blurrrr schon trefflich sagte... bei mit ist auch nur Fenster zu und Haustür abschließen. Ich hab einen Router, der schon mal alles blockt, was da extern so kreucht und fleucht und intern halt den Windows Defender, auf meinen Linux Boliden läuft i.d.R. irgendwas in Richtung iptables oder Browser Addons, oder halt iOS.

Reicht!
 
Zuletzt bearbeitet:

tiermutter

Well-known member
Gegen Ads und Tracking setze ich Adguard ein, da habe ich eine ganze Menge Block Listen drin die etwa 28% der Anfragen herausfiltern. Probleme mit Inhalten hatte ich hier noch nicht, außer dass manch eine Google Anzeige nicht funktioniert oder Werbeinhalte mit "Seite nicht erreichbar" angezeigt werden... Genau das sollen die Listen aber auch tun.

Gegen Malware setze ich (neben entsprechender Software auf den Clients) seitens Firewall sowohl DNSBL (ne knappe Handvoll Listen die in Dnscrypt-proxy enthalten sind) sowie IP Blocklisten von Firehol und Spamhaus ein.
Von außen verbiete ich Firehol Level 1 bis 3 sowie webclient und Spamhaus DROP6.
Finde ich eigentlich überflüssig, fühle mich aber besser, da hier doch ab und an was blockiert wird.
Von LAN nach außen verbiete ich Firehol Level 2 sowie Spamhaus DROP, DROP6 und EDROP. Firehol Level 3 habe ich hier wieder rausgeschmissen, da hier doch mal zu schnell ungerechtfertigt IPs landen (in meinem Fall war es Github).
Klar ist das auch keine ultimative Sicherheit, aber aber filtert wenigstens (und mit etwas Glück) was raus wenn der Kopf doch mal aussetzt oder man sich mal was eingefangen hat. Hier muss auch wieder beachtet werden: Hat man IPv6 Konnektivität, so ist das alles nur halb so sicher wie man glaubt, denn es scheint nur eine einzige Blocklist mit v6 Adressen zu geben (DROP6). Demnach können mit v6 also trotzdem noch Böse IPs erreicht werden.

Ich nehme das Plus an Sicherheit durch IP oder DNS BL jedenfalls gerne mit, denn einmal eingerichtet ist das Ding erledigt.
 

lazyB

New member
Vielen Dank für die zahlreichen Antworten!
Also bei mir ist das ganz einfach: Virenscanner und - ganz wichtig: gesunden Menschenverstand
Klar, das ist das A und O! Aber manchmal kommt es ja doch blöder als man denken mag, daher möchte ich hier schon gerne eine weitere Sicherheitsstufe dazwischen haben.
Sicherlich kann man sich daheim nicht gegen jedes Szenario schützen, ich nehme hier aber gerne alles an Sicherheit mit was mit wenig Aufwand möglich ist.
Typisches Beispiel wäre der Besuch der "falschen" Website - kann schneller gehen als man gucken kann.
Genau sowas soll ja u.a. unterbunden werden. :) Setzt sicherlich voraus, dass die entsprechende Seite auch in den Blocklisten enthalten ist.
Die Frage ist allerdings doch eher die, ob sich der ganze technische Aufwand lohnt (inkl. Pflege!) und ob man sich auch wirklich "immer" darauf verlassen kann.
Eben viel Aufwand will ich ja auch nicht haben. Aber die Einrichtung mit OPNsense ist schnell gemacht und die Blocklisten werden auf GitHub aktuell gehalten. Einmal eingerichtet hat man eigentlich keine Arbeit mehr damit. 100% verlassen würde ich mich niemals, aber wenn es auch nur einmal etwas "wegfischt" hat es sich finde ich schon rentiert.
aber dann ist das "eigentliche" Problem schon ein ganz anderes (wenn etwas von innen nach aussen will, was da garnicht hingehört).
Allerdings... um so schöner, wenn dann nicht noch weitere Probleme hinzu kommen. Ich hatte mir mal trotz Defender Malware eingefangen (war dumm von mir) und kurzerhand gelesen, dass diese Malware gespeicherte Passwörter und andere Daten an die Hacker übermittelt. Da ich schon ein paar solcher Listen in Betrieb hatte, konnte ich sehen, dass etliche Verbindungsversuche des befallenen PCs nach außen blockiert wurden. Natürlich habe ich dennoch die wenigen gespeicherten Passwörter geändert, eventuell sind die aber auch nie bei den Hackern angekommen. Irgendwas ist dort jedenfalls nicht angekommen und das beruhigt ungemein!
Aber mal als Gegenfrage: Wie hast Du Dein Haus/Deine Wohnung "gesichert"?
Tatsächlich habe ich hier eine Alarmanlage einbauen lassen. Einen Hund gibt es auch, aber der hat bestimmt mehr Angst als jeder Bösewicht :D
Mir ging das alles am Ende nur noch auf den Sack. Ständig wurden Seiteninhalte blockiert (NoScript), teilweise wurden Nachrichten-Videos nicht abgespielt, weil irgend eine Adware mit eingeflochten war, Downloads starteten teilweise nicht und was weiß ich nicht noch alles.
Oh, das wäre ärgerlich. Vielleicht sollte man doch nicht zu viele Listen verwenden, und wenn dann mit Bedacht wählen. Aber genau daher Frage ich ja... wie stelle ich das am besten an? Das kam aber sicherlich auch eher durch Anti-Werbe Listen, oder?
Von außen verbiete ich Firehol Level 1 bis 3 sowie webclient und Spamhaus DROP6.
Warum von außen verbieten wenn da eh alles blockiert wird? Was kann dann noch ankommen?
Von LAN nach außen verbiete ich Firehol Level 2 sowie Spamhaus DROP, DROP6 und EDROP.
Spamhaus habe ich testweise auch drin. Firehol schaue ich mir gerne auch an. Hat es einen Grund, weshalb Du im LAN nicht das Level 1 hast? Und was hat das mit den Leveln überhaupt auf sich?
Klar ist das auch keine ultimative Sicherheit, aber aber filtert wenigstens (und mit etwas Glück) was raus wenn der Kopf doch mal aussetzt oder man sich mal was eingefangen hat.
So dachte ich mir das auch, mehr will ich ja gar nicht erreichen.

Dann habe ich jetzt glaube ich erstmal ein bisschen zu tun :)
 

tiermutter

Well-known member
Warum von außen verbieten wenn da eh alles blockiert wird? Was kann dann noch ankommen?
Na eigentlich nichts ;)
"Eigentlich", weil für VPN (davon habe ich mehrere) ein paar Ports geöffnet werden müssen. Unwahrscheinlich, dass jemand (bei mir auf v6) ausgerechnet dort versucht in eine VPN Instanz einzudringen, aber wenn es eine IP von der Liste versuchen wollte, ginge das nicht :D
Woher manch eine v4 Anfrage kommen kann verstehe ich selbst nicht, habe ja (mittlerweile) CGNAT. So lange wie ich hier keine Gewissheit habe und immer wieder solche Anfragen auftauchen, lasse ich das auch so drin.
Hat es einen Grund, weshalb Du im LAN nicht das Level 1 hast? Und was hat das mit den Leveln überhaupt auf sich?
Natürlich hat das einen Grund ;) Firehol Level 1 beinhaltet auch "Full-Bogons", also neben IP Adressen "die es nicht geben darf" auch die privaten IP Adressen, die man im LAN verwendet. Würde man diese Liste im LAN verwenden, würde man also allen Clients verbieten zu kommunizieren ;)
Und was hat das mit den Leveln überhaupt auf sich?
Keine Ahnung, sind doch schicke Namen für Listen :D Ich habe jedenfalls kein Muster erkannt.
Aber genau daher Frage ich ja... wie stelle ich das am besten an?
Wie man das bei Anti-Ad macht weiß ich auch nicht so recht, hier habe ich nach und nach alles reingepackt was ich finden konnte und beobachtet ob auch alles funktioniert :D
Bei Anti Malware, etc. muss man schauen was man hat und wovor man sich schützen möchte. Unter iplists.firehol.org/ sind sehr viele Listen beschrieben, das könnte einen Blick wert sein. Außerdem kann man hier auch Listen miteinander vergleichen, um zu sehen welche Listen bereits in anderen enthalten sind.
Mehr wird Dir für Deinen individuellen Fall niemand verraten können, außer Du selbst.
Ich finde, dass Spamhaus und Firehol L2 sowie webclient eine gute Grund-Kombo ist, die für mich auch gut funktioniert.
 

Zurzeit aktive Besucher

Keine Mitglieder online.

Letzte Anleitungen

Statistik des Forums

Themen
937
Beiträge
13.660
Mitglieder
466
Neuestes Mitglied
wischi83
Oben