coreknabe
Goto Top

Wie erkennen, dass nur deutsche IPs Zugang zu einer Website haben?

Moin,

mal aus reiner Neugier... Ich habe für einige unserer Webseiten die Firewall so konfiguriert, dass nur IPs aus Deutschland Zugriff haben. Den Sinn oder Unsinn möchte ich hier nicht diskutieren, mir ist klar, dass sich das leicht umgehen lässt.
Jetzt hat einer unserer User über seine IT (arbeitet in einem anderen Unternehmen) herausgefunden, dass der Zugriff aus der Schweiz bspw. nicht möglich ist.

Frage: Woran erkennt man das von außen? Sind im Log entsprechende Einträge?

Gruß

Content-Key: 333428

Url: https://administrator.de/contentid/333428

Ausgedruckt am: 19.03.2024 um 06:03 Uhr

Mitglied: aqui
aqui 28.03.2017 aktualisiert um 10:53:44 Uhr
Goto Top
Indem man eine Regel mit GeoIPs aktiviert. Google danach, dann weisst du wie es geht... face-wink
Logo das dann die Schweiz nicht geht, denn CH ist nicht gleich D. Das weiss man aber auch wenn man in der Schule in Erdkunde aufgepasst hat. face-big-smile
Mitglied: Coreknabe
Coreknabe 28.03.2017 um 11:01:13 Uhr
Goto Top
Ach Bub!

Du hast meine Frage nicht verstanden... Ja, ich habe die Regel aktiviert, dessen bin ich mir auch bewusst. Meine Frage ist doch aber: Woher weiß ein Aussenstehender in der Schweiz, der versucht, auf die Seite zuzugreifen, dass auf MEINER Seite Geo-IP aktiviert ist? Ja, er kann nicht drauf zugreifen, logisch. Aber er könnte ja auch einfach annehmen, dass die Seite down ist o.ä.

Diese Frage versteht man, wenn man in der Schule in Deutsch aufgepasst hat und eine ausreichende Lesekompetenz entwickelt hat :-P
Mitglied: brammer
brammer 28.03.2017 um 11:07:10 Uhr
Goto Top
Hallo,

Gegenfrage, hat der Kunde dir Mit geteilt das er wegen der Geo Filterung der IP Adressen nicht darauf zu greifen kann?

Oder hat er dir gesagt das er die Seite aus der Schweiz nicht erreichen kann....
Das geht aus deinem Satzbau nicht hervor.....

brammer
Mitglied: Coreknabe
Coreknabe 28.03.2017 um 11:12:13 Uhr
Goto Top
Ja, dann hapert's wohl auch an meiner Schreibkompetenz...

Er hat gesagt, er sitzt in der Schweiz und die dortige IT hat ihm gesagt, dass ich eine Geo Filterung auf der Seite habe...
Mitglied: bitnarrator
bitnarrator 28.03.2017 um 11:14:28 Uhr
Goto Top
In dem er einfach aus der Schweiz auf deine Seite gegangen ist, gesehen hat dass diese gesperrt ist aber in DE (oder über ein VPN) noch Zugriff auf deine Seite hast?!?!
Mitglied: Coreknabe
Coreknabe 28.03.2017 um 11:17:48 Uhr
Goto Top
Aha. Und wie hat der gesehen, dass die für sein Land gesperrt ist? Im Browser erscheint einfach nur die Meldung, dass die Seite nicht verfügbar ist. Da geht der Normaluser doch nicht los und testet bspw. mit Opera VPN und anderen Ländern...
Mitglied: brammer
brammer 28.03.2017 um 11:18:22 Uhr
Goto Top
Hallo,

genau wie @derwindowsfreak2 das erklärt...

Dein Kunde wird ihm erzählt haben das die seite erreichbar sien sollte... hast du mit dem Kunden über deine Geo Einschränkung gesprochen?
Das wird er seiner IT auch gesagt haben und danach dann wie oben beschrieben mittels VPN von einer deutschen IP getestet....

brammer
Mitglied: Coreknabe
Coreknabe 28.03.2017 um 11:30:25 Uhr
Goto Top
Hm... Mag so sein, die erstbeste Lösung, die mir einfallen würde, wäre diese hier:
http://www.isitdownrightnow.com/

Daran denkt aber der Normalo nicht, würde ich mal behaupten. Bringt auch nix, weil die Abfrage ja nicht aus DE erfolgt.

Meine Frage ist ganz einfach, ob man das "netzwerktechnisch beweisen" kann. Müsste ja gehen, ansonsten könnte ich ja alle Hacker dieser Welt aussperren, es sei denn, die hocken in DE. Für meine Begriffe schrecke ich damit aber nur die Scriptkiddies ab und blocke automatisierte Dinge. Aber wenn sich das dann jemand genauer ansieht...
Mitglied: SlainteMhath
SlainteMhath 28.03.2017 um 11:37:16 Uhr
Goto Top
Moin,

um mal die Fragen zu beantworten:

Woran erkennt man das von außen?
Gar nicht. Für den Aufrufer sieht's aus als würde Server nicht exitieren/nicht antworten

Sind im Log entsprechende Einträge?
In der FW ja, falls konfiguriert - im Webserver nein

lg,
Slainte
Mitglied: Coreknabe
Coreknabe 28.03.2017 um 11:43:46 Uhr
Goto Top
In der FW ja, falls konfiguriert - im Webserver nein

Ich sehe das in der Firewall, aber der Außenstehende nicht, korrekt?
Mitglied: Pjordorf
Pjordorf 28.03.2017 um 11:45:10 Uhr
Goto Top
Hallo,

Zitat von @Coreknabe:
er sitzt in der Schweiz und die dortige IT hat ihm gesagt
Warum fragst du dann nicht auch bei deren IT nach was die alles getan haben um zu den Schluss zu kommen das du in deinen Firewalls die Schweiz ausgesperrt hast (wie und womit auch immer). Denn wenn ein Normaler User das nicht erkennt, vielleicht haben die ja Erkenntnisse welche du nicht kennst.

Wir wissen ja gar wie du dein Ziel erreicht hast (nur noch Deutsche IPs) noch was beim Webseitenbetrachter noch / oder nicht mehr ankommt.

So alls wenn du fragst woher deine Frau deinen Kontostand genaustens kennt aber deine Kontonummer und oder PIN nicht kennt...

Gruß,
Peter
Mitglied: brammer
brammer 28.03.2017 um 11:47:10 Uhr
Goto Top
Hallo ,

erstmal ist die Pflege der Geo Daten Zeitaufwendig....

dann:
Was machst du mit einem User der evtl gerade in Tschechien oder Frankreich ist.... darf der nicht auf deine Seite?
Insofern, wieso über ein theoretisches Konzept Gedanken machen das in der Praxis nicht oder kaum gelebt wird....

Da gibt es andere Schutzmechanismen die einfacher implementiert werden können und einen besseren Schutz gewährleisten...

brammer
Mitglied: SlainteMhath
SlainteMhath 28.03.2017 um 11:50:36 Uhr
Goto Top
Ich sehe das in der Firewall, aber der Außenstehende nicht, korrekt?

> Woran erkennt man das von außen?
Gar nicht. Für den Aufrufer sieht's aus als würde Server nicht exitieren/nicht antworten

Im Endeffekt kommts aber drauf an, wie die FW Regel konfiguriert ist.
Mitglied: 108012
108012 28.03.2017 um 11:55:38 Uhr
Goto Top
Hallo zusammen,

....Aussenstehender in der Schweiz, der versucht, auf die Seite zuzugreifen, dass auf MEINER Seite Geo-IP aktiviert ist?
Das sieht und weiß der Kunde oder Benutzer vorher gar nicht, erst wenn er die Seite aufruft! Es sei denn dass Du im
eine "Umleitung" (landing page) eingebaut hast auf die er und andere dann umgeleitet (redirection) werden und dort steht
dann etwas wie ("Lieber Nutzer sie wurden umgeleitet weil wir die Region aus der sie kommen nicht zugelassen haben")
oder ähnliches .

Gruß
Dobby
Mitglied: Coreknabe
Coreknabe 28.03.2017 um 12:01:31 Uhr
Goto Top
@Pjordorf
Warum fragst du dann nicht auch bei deren IT nach was die alles getan haben um zu den Schluss zu kommen das du in deinen Firewalls die
Schweiz ausgesperrt hast (wie und womit auch immer). Denn wenn ein Normaler User das nicht erkennt, vielleicht haben die ja Erkenntnisse
welche du nicht kennst.
Einfache Sache: Ich weiß nicht mehr, welcher User das war, die Frage schwirrte mir nur immer noch im Kopf rum.

Wir wissen ja gar wie du dein Ziel erreicht hast (nur noch Deutsche IPs) noch was beim Webseitenbetrachter noch / oder nicht mehr ankommt.
Per Firewallregel (wurde schon erwähnt) / der Betrachter bekommt eine Meldung, dass die Seite nicht verfügbar ist (wurde auch schon erwähnt)

@brammer
erstmal ist die Pflege der Geo Daten Zeitaufwendig....
Nö, wieso? Regel erstellt und fertig is... Die Pflege der Daten läuft über die Firewall, damit hab ich nix zu tun.

Was machst du mit einem User der evtl gerade in Tschechien oder Frankreich ist.... darf der nicht auf deine Seite?
Korrekt. Bislang haben da eine Handvoll User gemeckert, dann frickel ich das Land halt dazu.

Insofern, wieso über ein theoretisches Konzept Gedanken machen das in der Praxis nicht oder kaum gelebt wird....
Versteh ich nicht? Theorie? Praxis? Wie bitte?

Da gibt es andere Schutzmechanismen die einfacher implementiert werden können und einen besseren Schutz gewährleisten...
Möglich. Ich finde die Möglichkeit gut und wie schon angesprochen, geht's mir hier nicht um Sinn oder Unsinn.
Mitglied: Pjordorf
Pjordorf 28.03.2017 um 12:16:12 Uhr
Goto Top
Hallo,

Zitat von @Coreknabe:
der Betrachter bekommt eine Meldung, dass die Seite nicht verfügbar ist
Und was steht dort alles oder steht dort nur "Currywurst ausverkauft"? Wer teilt diese Information denn den aufrufenden Browser mit (deine Firewall ja sicherlich nicht oder)?

Du schreibst als wenn du vorraussetzt das alle hier dein Konstrukt und deine Einstellungen kennen bzw. alle deine Web Seiten (auch die per IP gesperrten in deiner Firewall) aufgerufen haben und sich deine Antwortseiten sowie den ausgelieferten Quelltext deiner Firewall zur gemüte geführt haben. Wir raten nur was du denn gemacht haben könntest.

Gruß,
Peter
Mitglied: Kraemer
Kraemer 28.03.2017 um 12:16:44 Uhr
Goto Top
Zitat von @Coreknabe:
Meine Frage ist ganz einfach, ob man das "netzwerktechnisch beweisen"
Kommt ganz darauf an, wie du die FW konfiguriert hast? Was hast du wie geblockt? Im ersten Beitrag schreibst du Webseiten. Was heißt das? Port 80? Port 443?
Nur mal angenommen, du verwirfst sämtlichen Traffic: Welche Infos kann die Gegenstelle dann noch bekommen?
Nun mal angenommen du blockst nur einzelne Ports: Welche Infos kann die Gegenstelle dann noch bekommen?

Genau. So einfach ist das.
So eine Frage in einem Admin-Forum...
Mitglied: Lochkartenstanzer
Lochkartenstanzer 28.03.2017 um 12:23:24 Uhr
Goto Top
Zitat von @Coreknabe:

Frage: Woran erkennt man das von außen? Sind im Log entsprechende Einträge?

Moin,

Ich würde, sofern ich das feststellen wollte, einfach über verschiedene VPN-Anbieter aus verschiedenen Ländern versuchen drauf zuzugreifen, z.B. mit der Zenmate Browsererweiterung. Dann würde man recht schnell fstestellen können, ob geoblocking aktiv ist oder nicht.

lks
Mitglied: Coreknabe
Coreknabe 28.03.2017 um 12:36:41 Uhr
Goto Top
@Pjordorf
Herr im Himmel.... Webseite nicht verfügbar, ist das nicht eindeutig genug?

@Kraemer
Ja, super. Die Frage ist doch, ob die Firewall des "Ausländers" irgendwas zurückbekommt, was über ein bloßes "Geblockt" hinausgeht. Du hast insofern Recht, dass ich einfach mal beim Hersteller anfragen sollte. Evtl. weiß ja hier aber jemand, wie so eine Antwort aussieht. Bevor ich ein großes Fass aufmache und beim Hersteller frage. Die Antwort ist ja schließlich nicht lebenswichtig.

@lks
Ja, aber komme ich auf diese Idee, wenn ich eine Meldung bekomme, die Seite ist nicht verfügbar / erreichbar (je nach Browser)?

Vielleicht ist die Frage wirklich zu detailverliebt und ich frage mal den Hersteller. Also nix für ungut.
Mitglied: Kraemer
Lösung Kraemer 28.03.2017 um 13:06:27 Uhr
Goto Top
Zitat von @Coreknabe:
Die Frage ist doch, ob die Firewall des "Ausländers" irgendwas zurückbekommt, was über ein bloßes "Geblockt" hinausgeht.
Genau: "Unterhalten sich zwei Firewalls..."
Mitglied: Coreknabe
Coreknabe 28.03.2017 um 15:10:08 Uhr
Goto Top
Wie es der Zufall will... Gerade hat sich der User gemeldet, die IT hat es wirklich durch Ausprobieren herausbekommen.
Nach Aussage des Firewallherstellers kann auch eine externe Firewall nicht erkennen, dass der Zugriff durch Geo Locking geblockt wurde. Wie durch @Kraemer vermutet, wird die Anfrage einfach geblockt.

Und zum Thema Hacker: Wer es ernst meint, nutzt einen Proxy, der sich im selben Land befindet, wie das Angriffsziel. Immerhin halte ich damit die automatisierten Versuche ab.

Und auch nett zum Lesen (wenn auch "interessengefärbt"):
https://franktrama.wordpress.com/2013/09/29/practicality-of-geo-ip-count ...

Danke für Eure Beiträge und die interessante Diskussion, wenn auch oft am Ziel vorbei face-smile
Mitglied: 108012
108012 28.03.2017 um 15:27:07 Uhr
Goto Top
Hallo nochmal,

Und zum Thema Hacker: Wer es ernst meint, nutzt einen Proxy, der sich im selben Land befindet, wie das Angriffsziel.
Immerhin halte ich damit die automatisierten Versuche ab.
Es kommt ja auch auf Deinen Server an, man kann auch schnell auf dem Server fail2ban, Deny Host oder andere Sachen
wie Tripwire installieren die auf so etwas reagieren und die nötigen Maßnahmen einleiten, ist eventuell nicht schlecht
solche Sachen zusätzlich in Betracht zu ziehen denn dann ist es egal von wo jemand kommt! Mehr als 30 Versuche
die Sekunde kommen auf Liste 1 und werden 5 Minuten gesperrt, und dann bei den nächsten 50 Versuchen und wenn
diese IP schon auf Liste 1 steht bzw. eingetragen wurde, kommt man auch Liste 2 mit 2 Stunden gesperrt und so weiter
und so fort, eben so viele Listen wie man anlegen möchte bis zum permanenten Bann für ~24h oder 2 Wochen. Dann
wird die Liste ab dem Datum xyz gekürzt oder nicht mehr berücksichtigt und das ganze Spiel geht von vorne los!

Allerdings nicht per Hand sondern Regeln und automatisch, das wäre auch eine nette Sache die man aber zusätzlich
in Betracht ziehen kann, zu dem GeoIP Blocking.

Gruß
Dobby
Mitglied: 117471
117471 31.03.2017 um 08:16:44 Uhr
Goto Top
Hallo,

mich (aus Bremen) hast Du z.B. auch ausgesperrt face-smile

Gruß,
Jörg
Mitglied: Coreknabe
Coreknabe 31.03.2017 um 11:17:32 Uhr
Goto Top
@108012
Danke, schaue ich mir auch noch mal an.

@fa-jka
Bremen? Ist das nicht da, wo der schönste Ort die Autobahnauffahrt nach Hamburg ist? face-smile
Mitglied: brammer
brammer 31.03.2017 um 11:55:56 Uhr
Goto Top
Hallo,

Bremen? Ist das nicht da, wo der schönste Ort die Autobahnauffahrt nach Hamburg ist?

Vorsichtig!
@Biber
was hältst du davon?

brammer
Mitglied: 117471
117471 01.04.2017 um 00:05:06 Uhr
Goto Top
Hallo,

wer will denn schon nach Hamburg? Ich meine - außer natürlich um dem HSV beim verlieren zuzuschauen...?

Gruß,
Jörg
Mitglied: Coreknabe
Coreknabe 03.04.2017 aktualisiert um 11:51:40 Uhr
Goto Top
Stimmt. Erst am letzten Samstag musste ich wieder einer bitteren Niederlage beiwohnen.