Per rispondere alla tua domanda sul tempo è importante capire in che modo le blacklist ti aiutano veramente. Le liste nere sono un ottimo modo per rallentare gli attaccanti e funzionano alla grande quando vengono attivate in modo appropriato. Anche una lista nera di 30 minuti può davvero avere un enorme impatto su qualsiasi tipo di attacco automatico. Esistono strumenti come fail2ban (link sotto) che possono facilmente aiutare ad automatizzare la lista nera in base a comportamenti malevoli. Allo stesso modo ci sono strumenti come ipset (link sotto) che possono essere usati con iptables per creare grandi blacklist o white-list che possono facilmente bloccare o consentire decine di migliaia di IP senza alcun impatto sulle prestazioni.
Ma torniamo alla tua domanda sui tempi. Ogni sito avrà esigenze e requisiti diversi ma, come regola generale, raggruppo le persone in una lista nera in tre categorie.
1.) Gli IP che non avranno mai bisogno di connettersi a questi sistemi
2.) Gli IP che stanno facendo roba veramente mirata a questi sistemi
3.) Gli IP che eseguono la scansione o fanno qualcosa di meno dannoso ma sono comunque fastidiosi e potrebbero includere un sistema infetto dei clienti.
e basato su questi gruppi (il tuo potrebbe essere diverso) ho impostato una varietà di tempi di blocco diversi. In questo esempio, utilizzo i seguenti tempi di blocco in base ai gruppi precedenti.
1.) Sempre
2.) 24-168 ore
3.) 30-60 minuti con 30 minuti è il più comune.
Detto questo vorrei anche prendere in considerazione quale attività tu stia inserendo nella lista nera. Se un'organizzazione ha un sito web pubblico, ma vedo attacchi brute-forcing di secure-shell o un server VPN (qualcosa che NON è inteso per essere accessibile al pubblico in generale) non mi dispiace bloccarlo per molto più tempo su quella porta o protocollo. Allo stesso modo, se vedo un indirizzo IP martellare un sito con decine di migliaia di attacchi o attività ripetute per giorni, l'IP viene bloccato per un periodo più lungo.
Quindi in un certo senso non esiste una risposta completa alla tua domanda, ma vedo un sacco di grandi aziende di marca che bloccano per almeno 30 minuti per interrompere gli attacchi automatici e consiglio vivamente di farlo perché si libera di molte delle scansioni a forza bruta che alla fine influiscono su tutti i siti.
Nota: con il gruppo # 2 è anche consigliabile inviare un messaggio di posta elettronica illecito ai cattivi attori ISP CC che fanno il proprietario IP e / o il proprietario del dominio. Spesso questo aiuta a risolvere il problema dopo qualche giorno e, in caso contrario, puoi sempre promuovere quell'IP al gruppo # 1 se ne hai anche tu.
Infine, consiglierei anche di creare una white-list della vostra infrastruttura e anche dei vostri principali partner commerciali o clienti critici. Occasionalmente i business partner controllano la sicurezza della loro supply chain e potresti non voler bloccare automaticamente queste organizzazioni se decidono di dare un'occhiata più da vicino a ciò che stai facendo.
Penso che sia molto saggio inserire attivamente nella lista nera i cattivi attori, specialmente perché è una difesa molto economica ma non limiterei il tuo blocco a un singolo tipo & periodo di tempo se puoi evitarlo. Detto questo, se lo fai, 30 minuti sembra essere la norma del settore in questo momento.
link
link
link
Spero che questo aiuti.