È pratico pre-inserire nella lista nera alcune regioni GeoIP?

È essenzialmente una decisione commerciale, piuttosto che una questione di sicurezza. I rischi da un punto di vista aziendale sono la perdita di utenti da quel paese o l'accesso al sito da parte di VPN situate in quel paese e, sebbene davvero improbabile, è teoricamente possibile che le assegnazioni IP cambino , il che significa che se non hai mantenuto questi blocchi mantenuti e aggiornati con gli ultimi incarichi, potresti accidentalmente bloccare utenti legittimi dai Paesi di destinazione, a cui è stato concesso un IP da un pool precedentemente assegnato a un Paese bloccato.

Dal punto di vista della sicurezza, può ridurre il volume degli attacchi e aumentare i costi per un utente malintenzionato che mira al tuo sito (dal momento che è necessario ottenere macchine da paesi specifici, piuttosto che da qualsiasi macchina).

Tende ad avere senso quando hai un prodotto limitato a livello regionale - pensa ai negozi in cui le merci vengono spedite solo all'interno di un determinato paese, a concorsi che accettano solo voci di persone in una determinata regione o sistemi che funzionano in congiunzione con le attività fisiche che hanno una portata limitata (ad es. consegne ad una catena di negozi nazionale, quindi non ci sarebbe modo per un utente altrove di beneficiare del servizio). In questi casi, tende a essere più facile giustificare i rischi, dal momento che non c'è modo in cui le persone di altri paesi possano utilizzare il servizio (e non sarebbe difficile includere i paesi limitrofi in caso di casi limite). Intervalli IP spagnoli, per ogni evenienza, diciamo).

Ha meno senso quando si dispone di un'azienda di informazioni o di un prodotto digitale. In questi casi, potresti finire per ottenere più traffico indesiderato, poiché le persone che desiderano ottenere il prodotto ricorrono a VPN all'interno dei Paesi consentiti. Pensa a restrizioni artificiali come le uscite dei film scaglionati in tutto il mondo, i programmi televisivi con mesi di ritardo prima di essere mostrati al di fuori del paese di origine o delle uscite di giochi.

Puoi ottenere elenchi IP specifici per paese da siti come link e quindi scegliere se utilizzare un approccio di lista bianca ("noi consegnare solo nel sud Italia, quindi consentiremo solo indirizzi IP italiani e della Città del Vaticano ") o un approccio blacklist (" vediamo molti attacchi dall'Australia, quindi bloccheremo tutti gli indirizzi IP australiani ").

_{(Si prega di notare che tutti i paesi sono selezionati a caso e non devono essere presi come approvazione o disapprovazione di determinati Paesi.)}

Non è generalmente una buona idea vietare intervalli di IP. Dovresti farlo solo se un intervallo è costantemente un grosso problema per te. Ecco perché:

• Molte persone usano VPN o reti anonime come TOR, il che significa che gli utenti validi possono sembrare avere un IP da un paese che non consideri come parte del tuo pubblico di destinazione. Gli utenti di tali reti non possono utilizzare il servizio se hanno difficoltà a connettersi.
• È difficile, se non impossibile, vietare realmente la posizione quando si parla di indirizzi IP. Nel tuo caso, potrebbe essere più semplice, visto che stai guardando interi paesi e regioni piuttosto che luoghi più specifici.
• Un utente malintenzionato può facilmente eludere i divieti basati su IP. Ti fermerai solo con gli script kiddies. I fastidi come questo possono essere risolti usando firewall ben configurati; software server resiliente e ben configurato; e sicuro codice back-end.

Come per consentire solo determinati intervalli IP su porte backend / amministrative: provaci. Questa è assolutamente una buona idea, dato che puoi avere certe aspettative dei tuoi amministratori di sistema (che non hanno bisogno di accedere con una rete VPN o altra rete anonima, che vivono in un'area con un certo intervallo IP, ecc.) non posso avere dei tuoi clienti.

Non perdere tempo a cercare di mantenere le blacklist GeoIP. È una risposta impulsiva, ed è miope e inefficace nella pratica.

Pensa a questo come al terrorismo-- Timothy McVeigh fa esplodere una bomba in Oklahoma. Metti al bando tutti gli uomini bianchi dall'America. Questo davvero ferma il problema?

La maggior parte degli attacchi effettivi che ho visto provengono da botnet e / o proxy anonimi. Quindi, anche se blocchi la Cina, gli aggressori cinesi stanno solo indirizzando il loro traffico attraverso host compromessi negli Stati Uniti o in Europa. Blocca Cina, Iraq, Turchia, Russia ... si gireranno intorno ad esso. È la natura stessa di Internet.

La profilazione comportamentale è molto più efficace come contromisura rispetto alle blacklist dinamiche. Qualcuno che picchia su un servizio dovrebbe essere bloccato, indipendentemente da dove proviene il traffico.

Invece, a seconda di cosa stai cercando di proteggere, considera l'utilizzo di un WAF o un proxy come Cloudflare-- puoi facilmente bloccare per nazione se ti aiuta a dormire meglio di notte, ma il mitigatore più importante è che funzionano come un repository di intelligence condiviso. (Non devi usarli in modo specifico, ho appena avuto una buona esperienza con loro).

Se rilevano che gli attaccanti martellano il sito di qualcun altro e quegli stessi attaccanti cercano di martellare il tuo, saranno bloccati o ostacolati in virtù del fatto che in precedenza sono associati a attività dannose, non al fatto che vivono in Guangdong o Bielorussia.

Questo non funzionerà con SSH e simili, quindi avrai ancora bisogno di usare qualcosa come fail2ban per dissuadere gli attacchi su quei servizi. Ma per HTTP e simili, è stato grandioso.