Om het gebruiksgemak te vergroten, de website te kunnen analyseren en om advertenties te kunnen beheren maakt Security.NL gebruik van cookies. Door gebruik te blijven maken van deze website, of door op de akkoord button te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer weten over cookies? Bekijk dan ons cookieoverzicht.
Nieuws Achtergrond Community
Inloggen | Registreren
Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Buitenlands internetverkeer buitensluiten op server niveau

Reageer met quote
04-02-2021, 13:59 door EenVraag, 14 reacties
Is het mogelijk om een webserver online te zetten in Nederland en alle verkeer uit het buitenland buiten te sluiten?

wat ik begrijp van htaccess (niet veel meer dan hobby scripten) is dat het mogelijk is om lijsten met erkende -whitelist - (niet racistisch bedoeld) ipnummers te gebruiken en alleen deze toegang te geven tot je website.

Hoe betrouwbaar zijn dergelijke lijsten, zit er bijvoorbeeld een officiële overheidsinstantie achter?

Of is het community afhankelijk?

Veel makkelijker lijkt het als ieder ipnummer een soort van land codering krijgt en hierdoor op server niveau het mogelijk te maken verdachte landen buiten te sluiten en betrouwbare landen toe te laten.
Kan een Citrix netwerk slachtoffer worden van een DDOS aanval?
NXDOMAIN
Reacties (14)
Reageer met quote
04-02-2021, 14:20 door Anoniem
Ja, dat kan 'vrij behoorlijk' .

Je moet je alleen afvragen wat je wilt bereiken.
Als je denkt dat je niet hoeft te updaten zolang je maar Rusland/Roemenië/Oekraine blokkeert - dan denk je verkeerd.

hackertjes en poortscannertjes heb je overal , en daar moet je server tegen kunnen.

Als je een whitelist gebruikt met _alleen maar_ wat individuele adressen (van jouw thuis, en je vrienden, en het bedrijf) kun je qua security wel wat flexibeler zijn, maar als je praat over 'EU' , of 'NL' moet je je server security nog steeds serieus nemen.

De lijsten ('Geo IP' is de zoekterm) zijn behoorlijk accuraat, maar adresblokken kunnen verhuizen. Zeker ook binnen een EU brede operator. En natuurlijk heb je in alle landen mensen die een VPN gebruiken om met een IP adres uit een ander land te werken. (zie ook hier de vragen, vaak om de US Netflix catalogus te zien ).

Net zoals de omroepen zo iets gebruiken om programma's die vanuit het buitenland qua rechten niet bekeken mogen worden te blokkeren. (dat merken mensen op vakantie wel eens, dat npo gemist het niet doet).

Dus ja - ze geven een behoorlijke voorselectie , en schelen misschien een hoop ruis in je logfiles .
Maar perfect - nee . Fouten in de lijst kunnen twee kanten op trouwens . adresblokken die niet bekend zijn, adresblokken die wel in NL zitten maar volgens de lijst elders (daar hoor je als NL beheerder het eerst de klachten over.), en adresblokken die in een ander land zitten maar onterecht als NL gelabeled zijn. Daar hoor je nooit klachten over ).

Btw - dit soort vragen is echt vrij makkelijk te googlen ...
Reageer met quote
04-02-2021, 16:19 door Anoniem
Dit soort zaken moet je nooit in htaccess opnemen maar in een dedicated Firewall of als je dat niet hebt in een WAF
Hou er ook rekening mee dat lange IP ranges behoorlijk wat resources vreten met verwerking en daarom je dit dus ook niet via site niveau wilt regelen.

Er zijn veel betere criteria om verkeer op te filteren maar het gros is echt afhankelijk van je software. Denk aan filtering op request per seconde, verkeerde inlog pogingen, wachtwoord reset aanvragen, Modsecurity is een goede implementatie die je kunt gebruiken hiervoor. https://modsecurity.org/download.html


Let op dat je voor GeoIP2, GeoLite2 wel moet inschrijven tegenwoordig anders ontvang je geen lijst updates via API.
GeoLite2 kost niks tot bepaald aantal requests waarbij GeoIP2 betaalde service is.
De gehele service is tegenwoordig eigendom van MaxMind

Zelf adviseer ik om een top 10 van landen te blokkeren waar veel verkeerd verkeer uit komt in plaats van alles.
Dit zul je wel zelf moeten bepalen, observeren gezien jouw server door compleet andere bots getarget kan worden dan die van je buurman. Wij roteren zelf de block list om de week per servercluster.

Zoals Vandaag, 14:20 Anoniem aangeeft is de vraag wat je ermee bereiken belangrijk.
En bedenk goed of er data op staat, komt die persoonsgegevens bevatten want als je toch geraakt wordt door een hack wil je je protocol omtrent datalekken al vast hebben liggen en een enkele IP blokkade functie is geen adequate beveiliging onder GDPR.
Reageer met quote
04-02-2021, 17:08 door Anoniem
De reacties hierboven van 14:20 en 16:19 zijn technisch correct.

Wel vraag ik me af wat de reden is voor die uitsluiting?
- Is de content niet geschikt vanwege taal, of zijn er andere redenen?

Niet te vergeten, search-engines indexeren webservers vaak vanuit het eigen of naburige land. Zodoende kan de content nog steeds in een andere regio te zien zijn. In het bijzonder, way-back-machine indexeert en bewaart mogelijk alle content 1-op-1; dit is wel te blokkeren.
Reageer met quote
04-02-2021, 17:43 door Anoniem
Door EenVraag:
Veel makkelijker lijkt het als ieder ipnummer een soort van land codering krijgt en hierdoor op server niveau het mogelijk te maken verdachte landen buiten te sluiten en betrouwbare landen toe te laten.
Ja dat bestaat, er zijn DNS servers waar je kunt vragen wat het land is van het IP adres.
Maar je maakt een vergissing als je denkt dat Nederland een "betrouwbaar land" is.
Juist de meest beruchte hackers opereren meestal vanuit servers in Nederland, die zijn kennelijk goedkoop en betrouwbaar.
Reageer met quote
04-02-2021, 21:12 door Anoniem
Door Anoniem: De reacties hierboven van 14:20 en 16:19 zijn technisch correct.

Wel vraag ik me af wat de reden is voor die uitsluiting?
- Is de content niet geschikt vanwege taal, of zijn er andere redenen?

De laatste regel van de vraag bevat de term 'verdachte landen / betrouwbare landen' .

Dan lijkt een taalprobleem me niet de reden van de vraag. (ben 14:20) - vandaar dat ik speculeerde dat TS denkt iets qua security te bereiken met het blokkeren van een aantal landen.
Reageer met quote
05-02-2021, 00:56 door Anoniem
Gebruik een betrouwbare VPN, dan bereik je vaak ook al veel van wat je wenst.
Internet verkeer is altijd gefragmenteerd en niet alle pakketjes worden via alleen en enkel de Nederland route samengesteld.
Dit vanaf het punt waar je het knooppunt van je provider bereikt.
Analyseer maar eens met Wireshark en een tooltje als Smartsniff.

Anders zorg je slechts voor vertragingen, zoals bij gebruik van Psiphon 3.

J.O.
Reageer met quote
05-02-2021, 09:44 door Anoniem
Ja, elke land heeft bepaalde IP spaces. Maar bedenk je wel dat veel generieke diensten zoals O365 gebruik maken van vaak buitenlandse diensten zoals VPS servers zoals office, azure, amazon.

Maar ja dat kan simpelweg met "geolocation firewall rules". Het zijn gewoon firewall rules maar ze blokkeren dan specifiek de gehele nederlandse IP reeks.

Zoek effe op: IP Geolocation database
Reageer met quote
05-02-2021, 11:18 door Anoniem
Dit is discrimineren en het internet zou vrij voor iedereen moeten zijn. Het lijkt Iran wel hier, waar je bijvoorbeeld geen signal mag gebruiken
Reageer met quote
05-02-2021, 12:50 door Briolet
Door Anoniem: Dit is discrimineren en het internet zou vrij voor iedereen moeten zijn.

Het internet is ook vrij, alleen de huisdeur niet. Vergelijk het met de straat voor je huis langs. Iedereen mag daar vrij door bewegen, maar toch zul jij je voordeur niet open zetten en iedereen zonder vragen binnen laten.

Zelf gebruik ik ook de GeoLite2 database van MaxMind in de firewall om de toegang tot mijn nas te beperken tot een aantal landen. Dat scheelt gewoon heel wat hackpogingen. En die database is niet altijd accuraat. Momentaal worden b.v. IP adressen uit de range 159.180.16.xxx gezien als Turks, terwijl ze in eigendom zijn van Delta Fiber in Nederland.
Reageer met quote
05-02-2021, 13:33 door Anoniem
Er zitten op de Nederlandse infrastructuur ook heel wat louche hostertjes voor Russian Business Network bijvoorbeeld.
Nederland is beslist geen uitzondering w.b. deep web en dark web.

Vanuit ons land wordt ook volop gescamd, gespamd, gedDossed etc. Bullet proof hostertjes galore (in alle Nederlandse provincies).

Er zijn wat meer technische security mogelijkheden als in Z.O. Azië, maar die worden niet altijd ingezet om jou en mij mee te beschermen.

Begin eens met de grote boys, die vormen de grootste legitieme bedreiging voor je Internet-vrijheid met hun voortgezette mono-cultuur en tracking en profilering en iedereen ligt ermee in bed, lijkt het wel. Namen onder meer: Google, facebook, Amazon, Alibaba, CloudFlare, ja, juist dus, meestal allemaal uit het land van de "bold" en de "free" (vergeet dat laatste dus maar).

Zoals Briolet al duidelijk aangeeft: "Leer veel te blokkeren anders moet je het door schade en schande leren",

#sockpuppet
Reageer met quote
05-02-2021, 15:40 door Anoniem
Door Anoniem: Dit is discrimineren en het internet zou vrij voor iedereen moeten zijn. Het lijkt Iran wel hier, waar je bijvoorbeeld geen signal mag gebruiken

En de wereld zou vrij van oorlog moeten zijn criminaliteit en iedereen zou gelijk moeten zijn. Helaas is de realiteit anders en hebben we de plicht om mensen te beschermen als we diensten via het internet en publiekelijk aanbieden.

Geoblocking om consumenten, gebruikers uit te sluiten van een dienst om prijzen te regulieren of markt manipulatie is verboden. Geoblocking om consumenten te beschermen tegen hackers, bots is First Line of Defence om je attack surface te verkleinen.

Bij deze de wetgeving: (behalve als je naam Netflix is)
https://ec.europa.eu/digital-single-market/en/geo-blocking

Dat gezegd is het vaak veel effectiever om Geoblocking gematigd in te zetten op poorten en bepaalde directories en niet op normaal site bezoek.

Een consument. bezoeker heeft niks te zoeken bij een administrator inlog link en kun je prima achter een IP allow gooien.
Een consument, bezoeker heeft niks te zoeken bij een SSH poort van een server waar ze geen eigenaar van zijn.
Een consument, bezoeker heeft geen recht op duizend keer achterelkaar een pagina herladen en kan prima gethrottled worden of geblocked als deze het onmogelijk maakt voor andere om gebruik te maken van een service.
Reageer met quote
05-02-2021, 16:03 door Anoniem
Door Briolet:
Zelf gebruik ik ook de GeoLite2 database van MaxMind in de firewall om de toegang tot mijn nas te beperken tot een aantal landen. Dat scheelt gewoon heel wat hackpogingen. En die database is niet altijd accuraat. Momentaal worden b.v. IP adressen uit de range 159.180.16.xxx gezien als Turks, terwijl ze in eigendom zijn van Delta Fiber in Nederland.
Maar wat nog vervelender is dat is dat het barst van die Russische, Bulgaarse, Oekraiense etc hosting bedrijven die hun
servers in Amsterdam hebben staan omdat dat betrouwbaar is en een hoop bandbreedte geeft voor weinig geld, en dan
gewoon met landcode NL in de whois komen te staan. Die tellen ook als "vanuit nederland" en kunnen dus vrolijk
je NAS gaan aanvallen.
Tuurlijk beperk je het aantal pogingen doordat je een deel van de afzenders wegsnijdt, maar of dat uiteindelijk gaat helpen
als er een zeroday is waar die lui snel achter zijn dat betwijfel ik.
Beter is om je NAS maar gewoon niet op internet te zetten...
Reageer met quote
05-02-2021, 17:01 door Anoniem
Door Anoniem: Dit is discrimineren en het internet zou vrij voor iedereen moeten zijn.

Jij hebt je laptop/PC's zo kaal aan het internet hangen zonder router, zodat iedereen erbij kan en dat je niet discrimineert?
Reageer met quote
06-02-2021, 13:14 door Anoniem
"wat ik begrijp van htaccess (niet veel meer dan hobby scripten) is dat het mogelijk is om lijsten met erkende -whitelist - (niet racistisch bedoeld) ipnummers te gebruiken en alleen deze toegang te geven tot je website."


Zelf zoek ik helemaal niets achter het woordje "whitelist"...
Eigenlijk door jouw eigen "niet racistisch bedoeld" opmerking leg ik die relatie weer wel...
Werkt dus averechts om dat erbij te zetten lijkt mij ....
Maar goed mijn persoonlijke mening....
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Je reactie is verstuurd en wordt zo spoedig mogelijk gemodereerd.

Verder
captcha
Nieuwe code
Preview Reageren
Zoeken
search
Vacature
Image

Security-engineer IAM

Krijg jij energie van technische vraagstukken op het vlak van Security en Risk? En steek je graag je handen uit de mouwen om zelf een bijdrage te leveren aan een veilige digitale omgeving waarin de data en euro’s van onze klanten worden beheerd. Dan komen we graag met jou in contact.

Lees meer

Heb jij een Hacker Mindset?

5 reacties
Aantal stemmen: 333
Vacature
Image

Senior Security Consultant

Als security consultant bij Cegeka speel je een uitermate belangrijke rol in het veilig houden van de bedrijven in Nederland en de Nederlandse maatschappij. Vandaar ook dat Cegeka dit hoog op de agenda heeft staan. Wij doen dit door, in close cooperation, onze klanten advies te geven op strategisch, tactisch en operationeel niveau.

Lees meer
Is een laptop die via de werkkostenregeling wordt vergoed een privélaptop?
03-03-2021 door Arnoud Engelfriet

Juridische vraag: Bij ons bedrijf is gekozen voor bring-your-own-device, waarbij mensen zelf privé een laptop mogen kopen en ...

19 reacties
Lees meer
Certified Secure LIVE Online training
De verkiezingsprogramma's doorgelicht: Deel 4 digitalisering
20-02-2021 door Redactie

Een digitaal paspoort, recht op betaalbaar en snel internet, 'digitale inburgering' of digitaal stemmen, het zijn slechts een ...

8 reacties
Lees meer
Security.NL Twitter
04-11-2016 door Redactie

Altijd meteen op de hoogte van het laatste security nieuws? Volg ons nu ook op Twitter!

Lees meer
Nieuwe Huisregels en Privacy Policy

Op 5 december 2017 hebben we een nieuwe versie van onze huisregels en privacy policy ingevoerd. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de nieuwe huisregels van Security.NL.

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Privacy Policy

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Inloggen

Bedankt! Je kunt nu inloggen op je account.

Wachtwoord vergeten?
Nieuwe code captcha
Inloggen

Wachtwoord Vergeten

Wanneer je hieronder het e-mailadres van je account opgeeft wordt er een nieuwe activatielink naar je gestuurd. Deze link kun je gebruiken om een nieuw wachtwoord in te stellen.

Nieuwe code captcha
Stuur link

Password Reset

Wanneer je het juiste e-mailadres hebt opgegeven ontvang je automatisch een nieuwe activatielink. Deze link kan je gebruiken om een nieuw wachtwoord in te stellen.

Sluiten
Registreren bij Security.NL

Geef je e-mailadres op en kies een alias van maximaal 30 karakters.

Nieuwe code captcha
Verzenden

Registreren

Je hebt je succesvol aangemeld. Voordat je je account kunt gebruiken moet deze eerst geactiveerd worden. Dit kan je zelf doen middels de activatielink die naar het opgegeven e-mailadres is verstuurd.

Sluiten
Over Security.NL
Huisregels
Privacy Policy
Adverteren
© 2001-2021 Security.nl - The Security Council
RSS Twitter