Damit dieses Thema nicht vollends abdriftet in komische Spekulationen über Gehalt von Aussagen wollte ich - da gerade aktuell - noch etwas dazu beigeben.
Was sich für die schnelle und testweise Angriffserkennung gut eignet ist eine spezielle Regel auf dem Border Gateway, also der dem Internet zugewandten Firewall die mit ihrem Interface direkt am "WAN" hängt. Dort ein sprechendes Alias anlegen vom Typ Netzwerke und es in etwa "RejectBadGuys" nennen. Aber noch keine Netze eintragen.
In der Filtertabelle nun als obersten Punkt eine Regel vom Typ "Block" eintragen von der Quelle "RejectBadGuys" Ports "any" to "any"/"any". Diese sollte nach ihrem Einfügen auch keinerlei Filterung machen (da im Alias noch nichts eingetragen ist).
Fällt dir nun im Log eine IP auf, die dir Suspekt vorkommt oder dir sehr viel Traffic oder Zugriffe auf Geräte erzeugt, die hinter deiner Firewall stehen, so kannst du - um Luft zu bekommen - diese Adresse mit /32er Netz in die Tabelle aufnehmen oder das gesamte Netzsegment aus dem die Zugriffe kommen in das Alias aufnehmen.
Wir hatten bei einem alten Arbeitgeber den Fall, dass es einige Fälle gab, in denen die Webserver bspw. von einem Sturm an Zugriffen überrannt worden sind, die alle einer Handvoll IP Adressen aus dem gleichen Segment zugeschrieben werden konnte. Diese konnte man dann, bis man weitere Maßnahmen ergriffen hatte, über diese Schnellblockregel aussperren. Um zu sehen, dass sie greift kannst du zusätzlich die Regel noch loggen lassen, dann sieht man sehr schnell ob es gut oder schlecht war. Natürlich kann man auch recht flugs eine einzelne Regel generieren wenn man im Filterlog einen Zugriff erkennt, aber wenn es diverse Adressen aus einem ähnlichen Segment sind ist man mit einer Blocktabelle wie dem Alias schneller. Zumal in solchen Situationen häufig jede Sekunde zählt in denen es heißt: "Je schneller die Zugriffe aufhören umso größer die Wahrscheinlichkeit, dass die Server weiterleben und nicht umfallen".
Grüße
Grey
