I blocchi temporanei sono una risposta sufficiente alle sonde di rete?

Naviga le tue risposte
7

Abbiamo la possibilità di utilizzare una funzione di blocco automatico del nostro firewall per bloccare temporaneamente gli IP di origine delle sonde di rete. È veloce e automatico e scade dopo un determinato periodo di tempo.

Tuttavia, la nostra pratica attuale consiste nel mettere manualmente un blocco permanente in posizione per l'host di origine (o blocco netto per i paesi in cui non facciamo affari). Sento che questo è ingestibile e inefficace.

Ecco il mio ragionamento:

  1. Questi non sono attacchi sofisticati che ci bersagliano specificatamente, la maggior parte di questi sono probabilmente scansioni casuali alla ricerca di frutta a basso impatto. Un hacker sofisticato non verrà catturato dal rilevamento della sonda del firewall e avrà altri IP in altri netblock disponibili. Bloccare la fonte di sonde evidenti dissuaderà solo i curiosi casualmente e i piccoli criminali.

  2. Nel momento in cui rispondiamo manualmente a questo evento, la ricognizione è di solito finita. Sarebbe meglio bloccare la sonda nel momento in cui si verifica, prima che abbiano il tempo di ottenere un'immagine completa.

  3. Molti di questi saranno IP dinamici, che potranno in seguito essere riassegnati agli utenti legittimi che devono accedere ai nostri servizi.

  4. Nel corso del tempo, diventerà sempre più ingestibile (la lista è già abbastanza grande) e rappresenterà un potenziale maggiore per interrompere la comunicazione legittima.

Fino ad oggi, abbiamo agito nella convinzione che sia necessario un blocco permanente per proteggere la rete. Potremmo sempre combinare i due approcci e aggiungere un blocco permanente dopo l'attivazione del blocco automatico, ma mi chiedo se i blocchi permanenti realizzino qualcosa di diverso dal creare un falso senso di sicurezza.

Quale è considerata la migliore pratica per questa situazione, o qualcuno si preoccupa di offrire raccomandazioni?

    
posta Ed C 30.01.2013 - 02:40
fonte

2 risposte

1

La sicurezza, in tutti i sensi, è un approccio a più livelli. Ogni difesa che hai è un'altra contro la pletora di attacchi che possono essere lanciati sulla tua rete. Il blocco automatico o permanente degli indirizzi IP che stanno eseguendo una scansione attiva è soddisfacente, fornisce un livello di sicurezza non trascurabile in quanto tali IP non saranno quindi in grado di provare tecniche di scansione più avanzate contro le macchine senza modificare gli IP. Con un po 'di fortuna, crederanno che sei offline e passerai al prossimo obiettivo. Di solito un blocco di pochi giorni è più che sufficiente.

È importante assicurarsi che il firewall sia configurato correttamente e non risponda quando non è necessario.

A sophisticated attacker won't get caught by the firewall's probe detection, and will have other IPs in other netblocks available.

Ci sono altre soluzioni disponibili come i sistemi di rilevamento delle intrusioni (IDS) che potrebbero essere in grado di combattere gli aggressori più sofisticati se sono preoccupanti.

We would be better off blocking the probe as it occurs, before they have time to get a complete picture.

come regola generale, dovresti abbandonare tutto il traffico che non corrisponde comunque alle tue regole in entrata. Se il firewall rileva quindi il traffico che sta tentando di eseguire la scansione della rete, quindi aggiungili alla lista nera (permanentemente o in altro modo)

Many of these are going to be dynamic IPs, which could later be reassigned to legitimate users who need to access our services. Over time, it will become increasingly unmanageable (the list is already quite large), and will pose more potential for disrupting legitimate communication. This is why it is reasonable to have the temporary blocks (for 'x' number of days) in place.

Le migliori pratiche sono di mantenere il blocco (anche se temporaneamente) di qualsiasi indirizzo IP sospetto / ostile. Questo ovviamente non è l'unica sicurezza che hai sul posto, quindi controllare che le regole del tuo firewall siano aggiornate e corrette così come investire in un IPS dovrebbe essere qualcosa su cui riflettere.

Spero che ti aiuti.

    
risposta data 30.01.2013 - 02:59
fonte
0

Credo che l'approccio migliore sia quello di combinare il blocco automatico + permanente per quelli più aggressivi, dopo un periodo di tempo (1 mese per esempio) si controlla se le regole che bloccano certe origini aggressive continuano a ricevere hit, se non lo fanno Dovresti semplicemente pulirli, mantenendo così il tuo ambiente gestibile.

    
risposta data 21.06.2013 - 06:39
fonte

Leggi altre domande sui tag

Quando TrueCrypt chiede di riattivare il montaggio automatico, dovrei essere preoccupato? Quali sono le implicazioni sulla sicurezza del collegamento di un account di dominio con un account personale Microsoft in Windows 8?