mimmaux
Goto Top

UTM-Firewall Konfiguration - RIPE erlauben?

Hallo

Das Log einer UTM zeigt den erfolgreichen Zugriff auf TCP Port 443 auf einem Server in der DMZ (Port wird produktiv von einer Vielzahl von externen Kunden benötigt, HideNat on) der aus dem IP-Range 141.0.0.0/8 kommt.

Das RIPE Network Coordination Centre ist ja zuständig für die Vergabe von IP-Adressbereichen und AS-Nummern und eigentlich eine gute Sache für die externen IP`s aber was wird üblicherweise für den internen und DMZ-Bereich konfiguriert. Hat es Vorteile RIPE bis zu den Servern zu erlauben?

Gruss
Mimmaux

Content-Key: 212736

Url: https://administrator.de/contentid/212736

Ausgedruckt am: 28.03.2024 um 16:03 Uhr

Mitglied: DerSchorsch
DerSchorsch 29.07.2013 um 10:44:19 Uhr
Goto Top
Hallo,

ich glaube du bringst da was durcheinander. Du hast protokolliert, das irgendjemand aus dem Internet erfolgreich auf deinen Server zugegriffen hat. Gratulation, dafür ist er vermutlich da.

Das RIPE Network Coordination Centre ist ja zuständig für die Vergabe von IP-Adressbereichen und AS-Nummern

Vollkommen richtig, RIPE vergibt IP-Bereiche z.B. an Provider. Und der Bereich 141.0.0.0/8 (/8-Netz ~ 16 Millionen Adressen) gehört auch dazu. Vermutlich aber nicht am Stück, sondern aufgeteilt in viele Subnets, die an verschiedene Provider gingen.

konfiguriert. Hat es Vorteile RIPE bis zu den Servern zu erlauben?

Wenn deine "Vielzahl von externen Kunden" den Zugriff auf deinen Server benötigen, wäre es wohl kontraproduktiv die von RIPE vergebenen IP-Bereiche zu blocken. Denn damit blockst du nicht RIPE an sich, sondern die Benutzer, die Provider nutzen, die von RIPE ihre Adresssen haben. Und da RIPE für Europa zuständig ist, kannst du dir wohl vorstellen, wer dann nicht mehr auf deinen Server zugreifen kann..

Gruß
Mitglied: mimmaux
mimmaux 29.07.2013 um 11:12:26 Uhr
Goto Top
Hallo derSchorsch

besten Dank für deine Antwort.

Nun, eine Whois-Abrage von 141.212.121.10 zeigt mir dass die IP tatsächlich dem Center gehört oder ist hier nicht verlass ?

siehe Whois-Info:
http://whois.domaintools.com/141.212.121.10

Kann sich tatsächlich jemand anderes dahinter befinden?

Ich verstehe dass RIPE für die Kommunikation durchaus empfehlenswert ist, darum wird das auf meiner externen IP erlaubt, somit sind alle die auf das interne System zugreifen möchten bedient, denn von der Firewall in die DMZ wird HideNat und eigene Routen eingesetzt. Merkt man jetzt das ich wirklich was nicht verstanden habe oder ist die Frage berechtigt?

Gruss
Mitglied: Dani
Dani 29.07.2013 um 11:32:25 Uhr
Goto Top
Moin,
der Adressbereich gehört aktuell der University of Michigan. Das steht auch in deinem Link.
Warum die auf deine Site zugreifen, kannst nur du wissen...

Wir haben z.B. ein Portal für Kunden am Laufen, auf das man nur mit Telekom IP-Adressen zugreifen darf. Nun ist der IP-Adresspool nicht der Kleinste aber es machbar.

Was ist deine eigentliche Frage? Willst du alle IP-Adressen sperren bis auf die der Kunden?


Grüße,
Dani
Mitglied: DerSchorsch
DerSchorsch 29.07.2013 um 12:14:55 Uhr
Goto Top
Hallo,

Nun, eine Whois-Abrage von 141.212.121.10 zeigt mir dass die IP tatsächlich dem Center gehört oder ist hier nicht
verlass ?

siehe Whois-Info:
http://whois.domaintools.com/141.212.121.10

Nein, du hast diese Infos falsch interpretiert.
Ja, das 141.0.0.0/8 kommt von RIPE.
Diese haben aber das Subnet 141.212.0.0/16 (141.212.0.0 - 141.212.255.255) der University of Michigan zugeteilt. Diese haben es wiederum unterteilt und den Bereich 141.212.0.0/17 (141.212.0.0 - 141.212.127.255) ihrem College of Engineering zugeteilt.
Einfach ein bisschen Scrollen, es hat seinen Grund, warum auf der Seite soviele Infos stehen.
Ergebnis: Der Zugriff auf dein System kam von einem Computer aus dem University of Michigan College of Engineering.
Warum die einen Bereich von RIPE und nicht von ARIN haben, ist ein anderes Thema.

Ich verstehe dass RIPE für die Kommunikation durchaus empfehlenswert ist, darum wird das auf meiner externen IP erlaubt,
somit sind alle die auf das interne System zugreifen möchten bedient, denn von der Firewall in die DMZ wird HideNat und
eigene Routen eingesetzt. Merkt man jetzt das ich wirklich was nicht verstanden habe oder ist die Frage berechtigt?
Ich glaube, du hast es nicht verstanden.
RIPE ist eine der 5 Organisationen die weltweit die IP-Adressvergabe koordinieren und hat zwar das betreffende Netz ursprünglich zugeteilt, hat danach aber nichts mehr mit der Kommunikation zu tun. Übrigends haben sie höchstwahrscheinlich auch das Netz zugeteilt, an dem du selbst hängst. Ohne diese koordinierte Zuteilung würde das Internet schlicht nicht funktionieren.
Du kannst RIPE auch nicht verbieten. Du kannst nur die Adress-Bereiche blockieren, die von dieser vergeben wurden. Wenn du konsequent sein willst, müsstest du das aber auch für die anderen 4 RIRs tun, da ist aber Stecker ziehen einfacher.
Eine kleine Übersicht über die Zuständigkeit:
http://commons.wikimedia.org/wiki/File:Regional_Internet_Registries_wor ...

Gruß,
Mitglied: mimmaux
mimmaux 30.07.2013 um 14:29:23 Uhr
Goto Top
Hallo zusammen,

Besten Dank für Eure Beiträge!

Mein Gedanke das RIPE was mit Ports zu tun hat, wurde durch die spannende Lektüre aus meinem Kopf gejagt.
Ich werde in einem neuen Projekt nur spezifische IP`s zulassen aber für den Moment wird IP-Range 141.212.0.0/17 gedropt da erstmal eine vertiefte Analyse aller benötigten IP`s erstellt werden muss und ich die Leitung mit eth0 doch noch verwenden möchte.

Ich sehe die Frage als gelöst und bedanke mich recht herzlich für Eure Zeit.

@DerSchorsch hasst Du mir noch weitere Infos über das Thema "IP aus eigentlicher ARIN-Zone ist bei RIPE registriert"

Gruss,
Mimmaux
Mitglied: DerSchorsch
DerSchorsch 30.07.2013 um 15:23:19 Uhr
Goto Top
Hallo,

wird der Zugriff über dynamische IPs benötigt, hast du es natürlich schwer, die nötigen Zugriffslisten zu erstellen. Vielleicht besser den Schwerpunkt auf sichere Authentifizierung am Webserver oder ReverseProxy legen. Eventuell mit Zwei-Faktor-Authentifizierung.

@DerSchorsch hasst Du mir noch weitere Infos über das Thema "IP aus eigentlicher ARIN-Zone ist bei RIPE
registriert"

Nein, da müsste man bei RIPE oder der Uni anfragen, warum das so ist. Reine Spekulation: ARIN hatte kein Netz der gewünschten Größe mehr frei.

Gruß
Mitglied: Dani
Dani 30.07.2013 um 16:25:03 Uhr
Goto Top
Könnt einfach daran liegen, dass das Subnetz 1993 registiert worden ist und die ARIN erst seit 1997 existiert. face-smile


Grüße,
Dani