Viele Organisationen empfangen Produktions-Traffic aus bestimmten Ländern, von bestimmten Geschäftspartnern oder aus bestimmten Netzwerkblöcken. Dennoch kann Angriffs-Traffic aus verschiedenen Regionen weltweit, von Hosting-Providern, Wohnproxy-Netzwerken oder missbrauchten ASNs stammen. Entscheidungen allein auf Basis der IP-Adresse oder einer einfachen Sperrliste zu treffen ignoriert diesen Kontext vollständig.
Länderbezogene Zugangskontrolle kann besonders für Behörden, Finanz-, Gesundheits- und lokal ausgerichtete Anwendungen kritisch sein. Wenn ein Dienst nur für Benutzer in bestimmten Ländern konzipiert ist, schafft das weltweite Öffnen eine unnötige Angriffsfläche. Das Binden dieser Kontrolle an einen externen GeoIP-Dienst führt jedoch zu Latenz- und Datenabhängigkeitsrisiken.
ASN-Informationen sind ebenso wichtig. Traffic von Heimanwendern im gleichen Land wie Traffic aus großen Hosting-Netzwerken, Automatisierungsinfrastrukturen oder missbrauchten Anbietern birgt nicht dasselbe Risiko. Nur auf den geografischen Standort zu schauen verengt die Angriffsfläche, aber das Verstehen des Quellentyps bleibt ohne ASN-Kontext unvollständig.
In Multi-Tenant- und Namespace-segmentierten Deployments verschärft sich das Problem. Jeder Tenant wendet möglicherweise nicht dieselbe Länderrichtlinie an; ein Tenant möchte vielleicht nur Zugriff aus Deutschland, während ein anderer Europa und bestimmte Partner-Netzwerke erlaubt. Dafür müssen Länder-Sets separat pro Namespace erstellt werden, ohne unnötige Sets jemals zu laden.
TR7 Geo/ASN-Zugangskontrolle löst dies durch den Einsatz lokaler GeoIP-Datenbankdateien, Namespace-basierter Länder-ipset-Synchronisierung, IPv4/IPv6-Sets, L7-GeoIP-Sichtbarkeit und WAAP-Log-Anreicherung, um eine IP-Adresse in verwertbaren Zugriffsentscheidungskontext umzuwandeln.
TR7 verwaltet GeoIP- und ASN-Entscheidungen ohne Abhängigkeit von externen Abfragediensten, unter Verwendung lokaler Datenbanken und mehrschichtiger Richtliniendurchsetzung.
GeoLite2-Datenbanken für Country, City und ASN werden auf TR7 unter `/geoDB` gespeichert. Länder-, Stadt- und ASN-Abfragen erfolgen auf dem Gerät; zum Entscheidungszeitpunkt ist kein externer Internetdienst erforderlich.
Länderbezogene Firewall-Regeln werden über IPv4- und IPv6-ipset-Strukturen angewendet. Spezifische Länder-Sets werden pro Namespace erstellt; Traffic kann in der frühesten Traffic-Schicht an eine Drop-, Reject- oder Log-Entscheidung gebunden werden.
Verschiedene vServices auf derselben Plattform können mit unterschiedlichen Länder- und ASN-Risikorichtlinien betrieben werden. Länder-Whitelist, Blacklist, CAPTCHA, Rate-Limiting und WAAP-Log-Anreicherung können je nach Anforderungen des jeweiligen Dienstes kombiniert werden.
Anstatt alle Länder-Sets blind in jeden Namespace zu laden, erstellt TR7 nur die Länder, auf die aktive Regeln verweisen. Dies reduziert RAM-Verbrauch, Vorbereitungszeit und unnötigen ipset-Overhead.
Geo/ASN-Zugangskontrolle kombiniert lokale Abfrage, ipset-basierte Länderrichtlinie, Caching, Namespace-Isolation und WAAP-Sichtbarkeit in einer einzigen integrierten Schicht.
TR7 kann einen zweistelligen ISO 3166-1-Ländercode, eine geoname_id und Kontinentinformationen für eine Client-IP-Adresse erzeugen. Diese Daten sind sowohl in L3/L4-Zugriffsentscheidungen als auch in der L7-Log-Anreicherung nutzbar. So kann beispielsweise nur Traffic aus bestimmten Ländern erlaubt oder strengere Richtlinien für Hochrisikoländergruppen angewendet werden. Da die Abfrage gegen eine lokale MMDB-Datei läuft, besteht keine externe Dienstabhängigkeit.
Die City-Datenbank fügt einer IP-Adresse einen Stadtnamen und geoname_id-Kontext hinzu. Stadtinformationen sind am wertvollsten auf der Analyse-, Berichts- und Vorfall-Untersuchungsseite und weniger für direkte Firewall-Entscheidungen. WAAP-Ereignisse können die Länder- und Stadtverteilung eines Angriffs aussagekräftiger darstellen. Dieser Kontext hilft Sicherheitsteams, das geografische Profil einer Angriffswelle schneller zu verstehen.
Die ASN-Abfrage liefert die autonome Systemnummer, den Organisationsnamen und den Netzwerk-CIDR für eine IP-Adresse. Diese Daten helfen zu bestimmen, ob Traffic aus einem Heimnetzwerk, einem Hosting-Anbieter oder einem Unternehmensnetzwerk stammt. ASN-Informationen können für Risikoanalysen in WAAP-Logs und Live-Monitoring-Dashboards verwendet werden.
RFC1918-, Loopback- und lokale Adressen können automatisch in eine private Kategorie eingeordnet werden. TR7 kann solche Quellen mit einem lokalen Label wie `XX` melden; nicht übereinstimmende oder unbekannte Adressen können mit einem `--`-Label angezeigt werden. Diese Trennung verhindert, dass interner Netzwerk-Traffic mit echtem externen Quell-Traffic vermischt wird. Audit-Berichte zeigen unbekannte, lokale und tatsächliche Ländercodes als klar unterschiedliche Werte.
Smart-per-Namespace-Sync erstellt nur die Länder-Sets, auf die die relevanten Firewall-Regeln für jeden Namespace verweisen. Wenn ein Tenant beispielsweise nur Regeln für DE, FR und US verwendet, werden nur diese Sets erstellt. Dieser Ansatz eliminiert die Notwendigkeit, Daten für 250+ Länder in jeden Namespace zu laden. In Multi-Tenant-Deployments sinken Speicherverbrauch, Vorbereitungszeit und betriebliche Komplexität.
Für jedes Land werden IPv4- und IPv6-Sets als separate, aber koordinierte Strukturen behandelt. Dies verhindert den Fehler, nur IPv4-Traffic zu kontrollieren und den IPv6-Pfad offen zu lassen. Wenn eine Länderregel definiert wird, wird der relevante v4- und v6-Scope gemeinsam berücksichtigt. In modernen Dual-Stack-Netzwerken ist diese Unterscheidung für eine vollständige Zugangskontrolle entscheidend.
TR7 kann ein Cache-Profil mit 10.000 Schlüsselkapazität und einer TTL von 600 Sekunden für häufig gesehene IP-Adressen verwenden. Häufig abgerufene IPs werden ohne erneuten MMDB-Lookup bei jeder Anfrage bereitgestellt. Dies ist besonders nützlich zur Latenzreduzierung bei hohem Traffic aus denselben Kundennetzwerken. Da der Cache lokal läuft, sind keine externen Abfragegebühren oder Internetzugang erforderlich.
GeoIP-Abfragen sind nicht auf Firewall-Drop-Entscheidungen beschränkt; Länder- und Stadtinformationen können auch an WAAP-Ereignislogs angehängt werden. Angriffs-Länder-Aggregation, Ereignistrends und SIEM-Berichte nutzen alle diese Anreicherung. Sicherheitsteams können einfacher erkennen, welche Länder die Quelle welcher Angriffstypen sind. Diese Sichtbarkeit unterstützt evidenzbasierte Richtlinienanpassungen.
Länder-ipset-Daten können aus lokalen Dateien wie `/geoDB/countries.ipset` geparst und vorbereitet werden. Reputations- oder Blacklist-Sets können ebenfalls über einen separaten Dateipfad verwaltet werden. Dieses Design ermöglicht die Funktionsfähigkeit der Zugangskontrolle auch in Umgebungen mit eingeschränktem oder ohne Internetzugang. Aktualisierungszyklen können an den eigenen Wartungsfenstern der Organisation geplant werden.
In Cluster-Deployments müssen ipsets und zugehörige GeoIP-Daten auf den passiven Knoten übertragen werden. TR7 unterstützt ein Betriebsmodell, bei dem Länder-Sets und Änderungen auf die passive Seite synchronisiert werden. Bei einem Failover setzt der neu aktive Knoten den Traffic-Dienst unter derselben Länderrichtlinie fort. Die GeoIP-Zugangskontrolle hängt daher nicht von Single-Node-Verhalten ab.
Geo/ASN-Zugangskontrolle wird zusammen mit dem GeoIP-Reader-Modell, Cache-Profil, ipset-Dateiverwaltung, Hintergrund-Restore, Required-Set-Extraktion und Force-Mode-Updates betrieben.
TR7 verwendet GeoIP-MMDB-Reader mit Präfixlängenunterstützung für Country-, City- und ASN-Abfragen. Die präfixlängenbewusste Abfrage bestimmt, zu welchem Netzwerkblock eine IP-Adresse gehört. Das Modell funktioniert für IPv4- und IPv6-Adressen.
Das Cache-Profil kann mit einer 10.000-Schlüssel-Kapazität, einer Standard-TTL von 600 Sekunden und einem Prüfzeitraum von 120 Sekunden betrieben werden. Unnötiger Objekt-Klon-Overhead wird eliminiert. Diese Konfiguration liefert schnelle Antworten unter hoher, wiederholter IP-Abfragelast.
Länder-Sets können aus `/geoDB/countries.ipset` verwaltet werden, während Blacklist-Sets aus einer separaten Blacklist-Datei verwaltet werden. Da beide Dateien lokal sind, ist keine Off-Device-Abfrage erforderlich. Update- und Rollback-Vorgänge werden über Dateiverwaltung und den Restore-Prozess geplant.
Der ipset-Füllprozess läuft im Hintergrund, damit der UI-Flow nicht unnötig blockiert wird. Die Batch-Verarbeitung erstellt Sets auf kontrollierte Weise. Bei großen Länder-Sets macht dieser Ansatz die Verwaltungserfahrung spürbar reibungsloser.
Firewall-Regeln und die Namespace-Sicherheitskarte werden untersucht, um zu bestimmen, welche Länder-Sets pro Namespace benötigt werden. Smart Sync arbeitet gegen diese abgeleitete Liste. Als Ergebnis werden ungenutzte Länder-Sets nie in den relevanten Namespace geladen.
Wenn der Force-Mode aktiviert ist, läuft der Parse-und-Push-Vorgang erneut ohne Cache-Konsultation. Dieser Modus ist nützlich, wenn ein GeoIP-Daten-Update, eine Regeländerung oder ein vermuteter Set-Widerspruch eine sofortige Aktualisierung erfordert. Im normalen Betrieb werden Cache und Smart Sync bevorzugt, um unnötige Neuladungen zu vermeiden.
Eine Bank möchte möglicherweise nur Traffic aus bestimmten Ländern zulassen. TR7 bindet die restlichen Länder über Länder-ipsets an eine frühzeitige Drop- oder Reject-Entscheidung. Für Kunden, die Roaming oder Ausnahmebehandlung benötigen, können weichere Fallback-Richtlinien hinzugefügt werden.
Ein öffentliches Portal kann so konfiguriert werden, dass es nur Verbindungen aus bestimmten Ländern und lokalen Netzwerken akzeptiert. Das `XX`-Label trennt lokale/private Quellen; echter externer Länder-Traffic wird über Länder-Sets blockiert. Audit-Trails können zeigen, welcher Länder-Traffic gedroppt wurde.
Eine SaaS-Anwendung kann den ASN des Traffics, der einen Login-Endpoint trifft, innerhalb von WAAP-Logs überwachen. Ungewöhnliche Login-Versuche aus Hosting-Netzwerken können zusammen mit CAPTCHA, Rate-Limiting oder benutzerdefinierten WAAP-Richtlinien bewertet werden. ASN-Sichtbarkeit bietet reichhaltigeren Risikokontext als reine Länderentscheidungen.
Wenn sich ein Traffic-Spike in bestimmten Ländern konzentriert, kann TR7 für diese Länder zu temporären Drop-, Reject- oder strengeren Rate-Limiting-Richtlinien wechseln. Da Länder-Sets bereits erstellt sind, wird die Entscheidung in der frühesten Traffic-Schicht angewendet. Betriebsteams können die Angriffswelle zusammen mit ihrer Quellländerverteilung überwachen.
Vollständig prüfbare Zugangskontrolle durch lokale GeoIP-Datenbanken, Namespace-basierte ipset-Synchronisierung und WAAP-Log-Anreicherung. Wir können ein Live-Setup in Ihrer eigenen Umgebung durchführen.