Status & Update - v64 Blocklist

Dennis_Admin · 31. August 2023 um 13:04

Hi zusammen,

dieser Post dient zur Dokumentation und Status des Teilbereichs „v64 Blocklist“.

Projektstatus: ALPHA

IPv64 Links
v64 Firewall Blocklist & First Level Protection (Unterschiedlich wenn Eingeloggt)
v64 Firewall Blocklist & First Level Protection

v64 Blocker Nodes Scripts (wird aktualisiert)

Was ist die v64 Blocklist?

Die „v64 Blocklist“ ist eine Liste mit öffentlichen IP-Adressen welche im Internet Unfug treiben. Mit Unfug ist gemeint, IP-Adressen welche Scans, Floods, Loginversuche, Wordpress Scans usw durchführen. Es gibt genügend Tools und Möglichkeiten diese Zugriffe zu erkennen und ggf. sogar schon am Zielsystem zu blockieren.
Doch es wäre deutlich besser wenn diese Zugriffe gar nicht erst bis zum Ziel (z.B. Webserver) kommen, sondern schon an der ersten Firewall blockiert werden. Daher verwende ich auch gerne die Begrifflichkeit „First Level Protection“. Denn die zur Verfügung gestellte Liste kann einfach in Firewalls implementiert werden und somit Zugriffe an erster Stelle blockiert werden.

Diese Blockliste setzt sich also zusammen aus Informationen aus vielen verschiedenen Zugriffsmustern und Erkennungsmethoden. Jeder der z.B. bereits Fail2Ban oder Crowdsec oder andere Software verwendet um Zugriffe zu erkennen, kann diese Informationen mit der v64 Datenbank teilen.

v64 Blocker Nodes

Oben schon erwähnt, kommen diese Informationen der „bösen“ IP-Adressen nur zusammen wenn diverse Nodes Informationen teilen.

Diese Nodes können alles mögliche sein. Normale Webserver, Firewalls, Wordpress Seiten, Tarpits, Mailserver oder sonstige Dienste welche aus dem Internet erreichbar sind. Wird dort eine Divergenz erkannt kommt dieser Zugriff in aller Regel erkannt und wird blockiert. Und genau dieser Erkenntnis kann dann mit IPv64 geteilt werden.

Euch werden natürlich Skripte, Tools etc. zur Verfügung gestellt um diese euch zu vereinfachen. Natürlich kann jeder der an dem Projekt teilnimmt auch Informationen entnehmen und zusehen wie seine Blocker Nodes arbeiten. Das alles natürlich im IPv64 User Bereich bei den Blocker Nodes.

Screenshots

Philipp · 31. August 2023 um 16:12

Hab die Blocklist mit IPv64 und Firehole schon in meiner Opnsense eingetragen Bin gespannt auch bald welche zu reporten.

Andrew_XNET · 31. August 2023 um 17:16

ich warte auch schon gespannt auf eine funktionierende Lösung um IP´s zu reporten, leider funktioniert das Script iptable_parser.sh bei mir nicht, hab es genau so gemacht wie in der Vorstellung im Twitch stream, eine Kombination um von fail2ban und crowdsec gesperrten IP´s zu melden wäre super

Dennis_Admin · 31. August 2023 um 21:22

Die Entwicklung geht jetzt wieder los, war leider an meinen Urlaub gebunden.

Dennis_Admin · 10. September 2023 um 19:10

Open Topics auf IPv64.net Website

Händisches IP Reporting
Blocker Node Setting
- Name
- Take Offline
IP Hoster Erkennung
ASN

Andrew_XNET · 10. September 2023 um 19:46

Danke für das erstellen der Crowdsec Schnittstelle, jetzt kann ich zumindest schon mal etwas Reporten, das gute ist natürlich die zusätzlichen Blocklisten die man bis zu 3 stück free bei Crowdsec hinzufügen kann, werden jetzt mit geschickt

Andrew_XNET · 11. September 2023 um 22:35

nach vielen hin und her habe ich es jetzt doch geschafft das Crowdsec Script von Dennis anzupassen so das IPv4 und IPv6 auf der OPNsense funktioniert

das kann gerne in IPv64 übernommen werden wen es benötigt wird.

Dennis_Admin · 12. September 2023 um 06:34

Willst du das mal in Repository von v64 importieren ?

Andrew_XNET · 12. September 2023 um 06:43

Ich muss mich erstmal schlau damit machen wie das geht, hab nie mit github gearbeitet, ich probier es später mal.

EDIT:

hab mal was versucht rein zu machen, hoffe das klappt so, für crowdsec OPNsense und noch ein anderes fail2ban script