Qualsiasi sicurezza aggiuntiva con file di host di blacklist di grandi dimensioni?

Naviga le tue risposte
7

Eseguo Windows con un bel c: / windows / system32 / drivers / etc / hosts file ottenuto da link . Aggiorno questo file regolarmente come ricordo e lo stratifico con i componenti aggiuntivi appropriati nel mio browser Web di scelta, A / V e soluzioni firewall.

Fondamentalmente, mi rendo conto che un file di host in blacklist di grandi dimensioni (generalmente statico) è la protezione contro le minacce KNOWN (e solo quelle con i nomi!), e molto poco aiuto contro le minacce sconosciute ed emergenti (o gli IP dritti). Devo ammettere che non ho verificato se ci sono statistiche riguardanti il tasso di attacco / infezione di nuove minacce contro minacce conosciute, anche se mi aspetterei che le vecchie minacce note probabilmente superino ancora le nuove minacce semplicemente a causa del volume.

DOMANDA : C'è un valore aggiunto nell'esecuzione con un file di host in blacklist di grandi dimensioni (generalmente statico) quando viene utilizzato con le moderne soluzioni antivirus e firewall di livello consumer? È uno strato ridondante? Ammetto che A / V è in genere una scatola nera per me, quindi non sono sicuro di quali tipi di firme vengono analizzati dai motori e se i nomi host fanno parte di tali firme.

Sebbene questo sembri un livello di sicurezza extra gratuito, ci sono dei "costi" con l'aggiornamento manuale del file e il fatto che spengo la cache DNS per impedire che l'intero file appenda la macchina ogni volta che si ricarica da solo (che può essere frequenti). (Ho migrato il caching DNS al router che invece non mi aiuta quando uso il mio laptop altrove.)

    
posta logicalscope 16.12.2011 - 18:02
fonte

3 risposte

7

Le liste nere di file host forniscono solo una protezione mappando specifici domini lontani dai target desiderati (in generale da locali). Questo non blocca gli IP o il trasferimento dei dati, solo la ricerca dell'IP. Direi che il valore aggiunto è minimo, specialmente se stai usando un blocco locale come AdBlock o Ghostery. Se si desidera inserire nella lista nera le "minacce conosciute", utilizzare il software di blocco IP con un elenco ben mantenuto. Se vuoi essere totalmente sicuro, scollega il cavo ethernet.

Come hai sottolineato, provoca un rallentamento maggiore con le ricerche DNS (analizza linearmente il file di testo sulla mancanza della cache DNS). Questo perché il file hosts non è mai stato concepito come una lista nera.

modifica: Ecco lo script per utilizzare Windows Firewall per bloccare gli IP: link

    
risposta data 16.12.2011 - 18:24
fonte
2

Se non altro, la blacklist dei siti noti rimuove il rumore dai log, quindi è più probabile che le minacce reali vengano notate.

    
risposta data 16.12.2011 - 23:43
fonte
2

Dico si, c'è un valore aggiunto all'utilizzo del file hosts. Di seguito sono riportati alcuni vantaggi:

  1. Meno registri da cercare quando cerchi traffico sospetto.
  2. La maggior parte dei dipendenti non sa cosa sia il file degli host, quindi puoi anche bloccare il traffico su Facebook, ecc. Inoltre sul firewall, ma il file host mostrerà l'errore "non può visualizzare" invece di essere bloccato dal firewall. Questo scoraggia la maggior parte degli utenti dal cercare di trovare un "modo per aggirare" il blocco.
  3. viene utilizzata meno larghezza di banda poiché blocca la maggior parte degli annunci pubblicitari (che può anche prevenire l'avvelenamento degli annunci).

Personalmente utilizzo questa struttura in un ambiente richiesto conforme a HIPAA insieme a AV sul firewall (Kaspersky) e AV sulle macchine locali (AVG). Ho scelto di proposito 2 programmi antivirus diversi perché non c'è mai una cura, soprattutto per le infezioni da 0 giorni, 1 giorno, ecc., Quindi la probabilità di bloccarli è più alta.

Inoltre, i firewall più decenti dispongono di una sorta di filtro IP GEO per bloccare tutto il traffico proveniente da paesi specifici. Non fermerà tutti gli attacchi, ma diminuirà drasticamente il numero di avvisi IDS che ricevo alle 3 del mattino, quindi sono un fan del blocco IP di GEO.

Per rendere questo meno laborioso da implementare potresti copiare il file hosts con uno script di accesso se ti connetti a un controller di dominio OPPURE ho appena scritto un file batch che eseguo come: 

copy hosts \192.168.1.2\c$\windows\system32\drivers\etc
copy hosts \192.168.1.3\c$\windows\system32\drivers\etc
copy hosts \192.168.1.4\c$\windows\system32\drivers\etc
copy hosts \192.168.1.5\c$\windows\system32\drivers\etc

ecc.

e per le vecchie scatole Win2000 / NT ancora usate: 

copy hosts \192.168.1.6\c$\winNT\system32\drivers\etc

Sostituisci semplicemente gli IP e verifica di avere accesso alle condivisioni admin sulle macchine. Questo richiede circa 2 minuti per aggiornare quasi 60 macchine per me.

    
risposta data 17.04.2012 - 01:28
fonte

Leggi altre domande sui tag

Quali differenze ci sono tra amministratore incorporato e altri amministratori? Rimanere sicuro, ma ancora connesso, alle conferenze sulla sicurezza