Skip to main content
Skip table of contents

IPS SSLBlacklists & Feodo Tracker

Dieses Tutorial erklärt, wie man das IPS-System so einrichtet, dass es SSL-Zertifikate ablehnt, die auf den abuse.ch SSL Blacklists & Feodo Tracker gelistet sind.

Feodo (auch bekannt als Cridex oder Bugat) ist ein Trojaner, der verwendet wird, um E-Banking-Betrug zu begehen und vertrauliche Informationen vom Computer des Opfers zu stehlen, wie z. B. Kreditkartendaten oder Anmeldeinformationen. Für weitere Informationen siehe https://feodotracker.abuse.ch

Voraussetzungen

  • Empfehlenswert sind mindestens 2 Gigabyte Arbeitsspeicher und ausreichend freier Festplattenspeicher für die Protokollierung (>10 GB empfehlenswert).

  • Deaktivieren Sie das gesamte Hardware-Offloading unter Interface-Einstellungen


Nach der Anwendung müssen Sie den Schulrouter Plus neu starten, da sonst das Offloading möglicherweise nicht vollständig deaktiviert wird und der IPS-Modus nicht funktioniert.

Intrusion Detection & Prevention einrichten

Um IDS/IPS zu aktivieren, gehen Sie auf Dienste ‣ Einbruchserkennung und wählen Sie aktiviert & IPS-Modus. Stellen Sie sicher, dass Sie die richtige Schnittstelle für das Intrusion Detection System ausgewählt haben. Für unser Beispiel werden wir die WAN-Schnittstelle verwenden, da dies höchstwahrscheinlich Ihre Verbindung zum öffentlichen Internet ist.

Konfiguration anwenden

Wenden Sie zunächst die Konfiguration an, indem Sie auf die Schaltfläche Anwenden am unteren Rand des Formulars klicken.

Abrufen von Regelsätzen

Für dieses Beispiel werden wir nur die abuse.ch SSL & Dodo Tracker Regelsätze abrufen. Um dies zu tun: wählen Sie Aktiviert nach jedem einzelnen.

Zum Herunterladen der Regelsätze drücken Sie Regeln herunterladen & aktualisieren.

Standardverhalten ändern

Um Übereinstimmungen zu blockieren, anstatt sie zu alarmieren, gehen Sie auf die Seite Dienst ‣ Einbruchserkennung ‣ Policen und fügen Sie eine neue Richtlinie hinzu. Sie können hier einfach die zugehörigen Regelsätze auswählen (alle beginnen mit abuse.ch) und die Aktion „Alert“ auswählen, dann zur neuen Aktion gehen, die „Drop“ sein sollte.

Übernehmen Sie die Einstellungen unten auf der Seite, wenn Sie fertig sind.

Fraud-Drop-Aktionen anwenden

Drücken Sie nun erneut Regeln herunterladen & aktualisieren, um das Verhalten auf Ablegen zu ändern.

Auf dem Laufenden bleiben

Planen Sie nun ein regelmäßiges Fetch, um Ihren Server auf dem neuesten Stand zu halten.

Klicken Sie auf Zeitplan, es erscheint ein Popup-Fenster:


Wählen Sie aktiviert und wählen Sie eine Zeit. Für das Beispiel ist sie auf jeden Tag um 11:12 Uhr eingestellt. Wählen Sie Änderungen speichern und warten Sie, bis Sie zum IDS-Bildschirm zurückgekehrt sind.

DONE

Ihr System ist nun vollständig eingerichtet, um bekannte betrügerische SSL-Zertifikate sowie Daten-Phishing-Versuche unter Verwendung der Feodo-Tracking-Liste zu erkennen.

Beispielalarm

Derzeit ist kein Testdienst verfügbar, mit dem Sie Ihre Blockierregeln überprüfen können, aber hier ist ein Beispiel für einen tatsächlichen Alarm, der blockiert wurde:

JavaScript errors detected

Please note, these errors can depend on your browser setup.

If this problem persists, please contact our support.

Contact Support Close