Revisione degli IP che sono stati bloccati dal firewall / router

3

Esiste una best practice su come rivedere gli IP che sono bloccati su firewall / router e determinare se sono sicuri di essere rimossi dalla lista bandita?

Occasionalmente, i membri del firewall vedono un numero elevato di eventi di sicurezza sui dispositivi di sicurezza e procederanno a bloccarli nel firewall o nel router. Nel tempo, questi elenchi diventano troppo lunghi e alcuni IP bloccati potrebbero non essere più pertinenti.

In che modo, come gestiamo questi IP? Grazie.

    
posta Fred1234 27.04.2012 - 04:51
fonte

2 risposte

4

La sicurezza è quasi sempre un compromesso e la tua strategia qui dovrà essere adattata per rendere quel compromesso accettabile per te. Vedo tre aspetti:

  1. Sblocco troppo presto.
  2. Sblocco troppo tardi.
  3. RAM aggiuntiva / CPU / latenza di contenere lunghi elenchi di indirizzi IP nel firewall.

Sbloccare qualsiasi IP che non ha inviato traffico dannoso per un certo periodo di tempo. La quantità di tempo che scegliere inizialmente sarebbe 12 ore. Questo numero crea un equilibrio che favorisce la possibilità di far rientrare in modo errato gli utenti in modo rapido e mantiene le liste brevi. Non ho mai visto una singola pausa dell'indirizzo IP per 12 ore prima di inviare più traffico malevolo, anche se una cosa del genere è possibile.

Si noti che questo è 12 ore dopo che è stato rilevato l'ultimo traffico maliciois, non 12 ore dopo che il blocco è stato posizionato. Se un attaccante continua a provare anche dopo che è stato bloccato, rimane bloccato.

Il numero dovrebbe essere ottimizzato in base a ciò che vedi gli autori degli attacchi e al costo stimato di un utente falsamente bloccato e di un indirizzo IP aggiuntivo nelle regole del firewall.

    
risposta data 27.04.2012 - 09:15
fonte
2

Aggiungendo alla buona risposta di @Labadadada sopra, la mia preoccupazione principale è doverlo fare manualmente. Forse dovresti dare un'occhiata a fail2ban . Anche se non intendi usarlo così com'è, puoi in qualche modo cercare di emulare quello che fa con altri mezzi.

In sostanza, fail2ban controlla i file di registro e i pattern di corrispondenza. Ad esempio, può facilmente rilevare più accessi non riusciti tramite SSH da un IP specifico. Quindi si configurano le azioni da eseguire e dopo quale soglia. Quindi, ad esempio, blocca tutti gli accessi dall'IP dopo 5 accessi SSH falliti per 15 minuti. Puoi bloccare l'intero IP da tutti gli accessi, o limitare il blocco alla porta specifica (22), e puoi impostare il tempo dopo il quale "sbloccarlo", la soglia ecc.

Questo ti dà una specie di combinazione tra IDS / IPS e un firewall.

Credo che l'approccio di fail2ban rappresenti una soluzione davvero buona perché:

  1. non è necessario fare nulla manualmente, a parte la definizione di tali filtri. Sebbene ci siano un sacco di filtri già pronti fuori dalla scatola.
  2. non devi preoccuparti che la tua lista nera diventi troppo lunga, viene automaticamente pulita.
  3. ogni attacco persistente sarà comunque mitigato, bloccato e 're-bloccato' se necessario.
risposta data 27.04.2012 - 14:14
fonte

Leggi altre domande sui tag