La blacklisting degli indirizzi IP è una perdita di tempo?

Il blocco di un paio di migliaia di indirizzi IP non comporta un carico significativo sul server web. Se stai utilizzando iptables , il sovraccarico è piuttosto trascurabile.

Ho implementato fail2ban sul mio server e blacklist tutti quelli che cercano una bruteforce sul mio server. Portscanning ottiene anche il martello del divieto. Dà un ban temporaneo (l'ho configurato a 6 ore), quindi non ho una lista enorme di indirizzi nella lista nera, e l'attaccante si arrende sul mio server prima che il bando scada.

Puoi usare fail2ban per proteggere anche Wordpress e Apache. Se qualcuno riceve troppi errori HTTP-404 in un lasso di tempo, mettili al bando. Se inviano spam, vietali.

Poiché la stragrande maggioranza degli attacchi oggi non sono attacchi diretti, una lista nera renderà l'attaccante (o il bot) fuori dal server e attaccherà il prossimo nella lista. Non è rendere il tuo server imbattibile, ma renderlo meno interessante del prossimo della lista.

Le blacklist IP sono ancora valide, ma è necessario comprendere l'ambito. Se un IP esegue la scansione, il sondaggio, il DoSing, allora un semplice ban a livello di firewall è un modo semplice, facile e veloce per impedire a ONE IP di fare del male. Ma, in nessun modo si dovrebbe considerare che l'IP sia la vera minaccia. È una singola minaccia adesso . Gli aggressori possono modificare l'IP e l'IP bloccato può finire per essere assegnato a un utente legittimo.

Le blacklist IP sono utili a breve termine per fornire un rimedio immediato a un singolo vettore di attacco. Se comprendi tale ambito, puoi valutarlo meglio rispetto ai rischi per il tuo ambiente.

La tua domanda è così ampia da rispondere in quanto c'è così tanto che potresti fare.

Dovresti davvero guardare tutte le porte usate sul tuo server e filtrarle il più possibile. Non usare o bisogno di una porta? Quindi bloccalo completamente.

Ad esempio del criterio firewall:

1. SSH dovrebbe essere IP di whitelist
2. L'FTP dovrebbe essere l'IP della whitelist (a seconda di cosa può fare l'account)
3. HTTP / HTTPS dovrebbe utilizzare solo gli IP della lista nera, ma ricorda cosa @Travis Pessetto ha detto sopra.
4. Blocca qualsiasi altro traffico sulle porte che non vengono utilizzate.

WordPress ora le tue attività specifiche relative al venditore parlante:

• Utilizza un URL personalizzato per la tua pagina di amministrazione
• Utilizza l'attributo nofollow per dire al crawler del motore di ricerca di fermarsi ma non elencare nel tuo .htaccess mentre esponi i link nascosti a tutti

Caricamento dei link di spamming?

• Utilizza un captcha per i post e carica le caselle
• Limita l'attività dell'utente di x post per y quantità di tempo per account utente.
• Limita l'attività dell'utente di x post per y quantità di tempo per IP (Soglia molto più alta rispetto all'account utente)

L'elenco potrebbe continuare all'infinito. Spero di aver compreso alcune nozioni di base alle quali puoi dare un'occhiata.

Direi che la lista nera di un IP pubblico è abbastanza inutile se l'attaccante è motivato, semplicemente lo cambierà.

La lista nera di un IP interno d'altra parte può fornire alcuni vantaggi (ad esempio se hai il tuo sito web pubblico o una parte di esso ospitata dalla tua rete interna) sarebbe estremamente prudente mettere in blacklist quell'indirizzo IP da altrettante macchine come pratico. Dal momento che non vuoi che un intruso entri in un buco in Wordpress e si trovi ad un passo dal tuo sistema di gestione stipendi.

inserire in blacklist un IP pubblico è utile solo se fatto per un breve periodo di tempo operativo, diciamo 8 ore. Abbastanza per liberare il server per un po 'di tempo e abbastanza a lungo perché l'attaccante si arrenda.