Bogon für Dummies
-
Hallo!
Ich habe jetzt alles mögliche gelesen, einschließlich des Kapitels im pfsense-Manual aber ich kapiere einfach nicht was Bogon Networks sind und ob ich "Block bogon networks" für mein WAN interface an oder aus haben sollte wenn die pfsense hinter einer Fritzbox hängt und von der eine 192.168.x.x-Adresse bekommt.
Funktionieren tun beide Varianten aber welche sollte ich davon wählen zur Sicherheit? Blocken oder nicht blocken?"Block private networks and loopback addresses" habe ich schon aus, nach Empfehlung pfsense Manual.
Wenn man direkt am ISP hängt soll ja beides an sein. Aber in meinem Fall beides aus? Gibt es Ausnahmen dafür?
Vielen Dank!
-
@Klaus2314 Anmachen, logging aktivieren und im Falle von Problemen wieder deaktivieren.
-
Ok Danke. Also beide oder nur Bogons?
-
@Klaus2314 said in Bogon für Dummies:
"Block private networks and loopback addresses"
Da ist der Haken nur zu entfernen, wenn du am Interface (WAN, sonst gibt es ihn eh nicht standardmäßig) eingehende Verbindungen von Privaten Adressbereichen ermöglichen möchtest.
Mit der eigenen Interface-Adresse hat das nichts zu tun.Wenn also in deinem WAN-Netz weitere Geräte sind, die sich mit der pfSense oder mit Geräten dahinter möchten, oder du Verbindungen aus dem Internet zulässt und die FB diese nattet (= Quelle bekommt die interne IP der pfSense), ist der Haken zu entfernen.
-
Ah, alles klar! Ich lasse nur openVPN rein (an der FB port 1194 weitergeleitet). Dann passt das so.
Vielen Dank!
-
@Klaus2314 said in Bogon für Dummies:
Wenn man direkt am ISP hängt soll ja beides an sein. Aber in meinem Fall beides aus? Gibt es Ausnahmen dafür?
Was hast du denn konkret nicht verstanden? Die Erklärung, was Bogon-Netze sind, ist doch eigentlich recht klar definiert?
Das sind alles Adressen bzw. Adressbereiche (Subnets, Prefixe je nachdem ob v4 oder v6) die:
- im öffentliche IP Range angesiedelt sind (also kein RFC1918, keine privaten IPs, keine Doku IPs etc.)
- die von den zugehörigen IP-Vergabestellen (ARIN, RIPE, etc.) aktuell NICHT vergeben wurden
Sprich: nehmen wir mal dumm an auf der Liste stände drauf 1.2.3.0/24
Dann ist das
- ein öffentliches Subnetz /24
- gehört es aktuell niemand, weil die zugehörige Registrierstelle es als frei listet
Somit darf eigentlich korrekterweise aus 1.2.3.0/24 kein Traffic kommen. Würde von dem IP Range was kommen obwohl es laut zugehöriger Behörde nicht vergeben ist, wären die IPs entweder gespooft oder ggf. gehijacked worden (BGP Hijacking bspw.). Das wäre dann so oder so unerwünscht.
Solange bspw. die RIPE ein Netz nicht vergibt, dann darf das auch nicht geroutet werden geschweige denn irgendwo aufgelegt.
Für Privat relativ sicher, Bogons mit reinzunehmen. Für Firmen maaaanchmal ein wenig kritisch - man sollte dann Bogons nicht nur monatlich aktualisieren sondern zumindest wöchentlich oder täglich. Problem: Da die v4 Adressen ausgehen und immer mehr v6 vergeben wird, ändern sich die Listen natürlich. Wenn du nur monatlich aktualisierst, dein Provider aber nun noch Adressen zugekauft hat und das erst ganz frisch und neu, dann kann es sein, dass man eben auch mal von oder zu so einer IP sprechen will, die gerade noch auf ner Bogon Liste stand, aber eigentlich jetzt vergeben wird. Täglich aktualisiert - OK wenig Problem. Monatlich? Naaajaaa - wir hatten den Fall tatsächlich bei einem unserer Kunden schonmal, der zu Hause via Kabel DE eine IP hatte, die bei uns noch auf ner Bogon Liste stand die leider damals nicht oft genug refresht wurde. Dadurch wurde Traffic von ihm daheim immer geblockt und er kam nicht an seine Dienste bei uns ran ;) Dumm gelaufen :D
Daher heute mein Rat "anmachen aber Update auf mind. wöchentlich oder täglich runterdrehen". :)
Cheers
\jens -
Vielen Dank Jens. Das ist alles sehr hilfreich!
Ich war wohl verwirrt durch die relativ generischen "don't check unless you need it" oder "keep enabled unless you are in a private address room" was ja auf mich zutrifft.Aber ich glaube ich hab's jetzt verstanden.
Danke!
K.
-
Sehr gern :)
