Qual è il modo migliore per bloccare tutti gli IP del proxy esterno che potrebbero essere utilizzati per i punti pivot o come sorgente DDOS?

3

Nella forma più semplice - la domanda è bloccare il proxy esterno a causa di un situazione di emergenza a causa della quale la direzione ha costretto i team tecnici a ottenere una soluzione per bloccare tutto il proxy esterno o condividere l'elenco di proxy esterni per il blocco.

Mentre, capisco, c'è un proxy cache multi-million che circonda l'inter-intra-net che non è solo fattibile per estrarre; quali sono alcune delle migliori contromisure che si potrebbero prendere per risolverlo, gli eventi casuali si verificano in tali emergenze come menzionato nel collegamento ipertestuale sopra?

A giudicare dal punto di vista dell'attaccante, questa emergenza potrebbe essere solo un attacco DDoS tramite botnet o proxy esterni e ho visto che il proxy di cache potrebbe servire allo scopo ma sono più aperto a più di una soluzione per questo. Qualsiasi idea sulle soluzioni potrebbe davvero aiutare.

    
posta Shritam Bhowmick 30.12.2015 - 22:07
fonte

1 risposta

4

Un servizio di protezione DDOS di terze parti come cloudflare.com può essere il miglior punto di partenza per il tipico traffico web, ma questi non ti proteggeranno da tutto. In ogni caso, hai sollevato una domanda importante e sapere come proteggere i tuoi server da solo è molto importante.

Quanto segue ti darà le istruzioni su come bloccare i server proxy ma farò anche notare che ottenere l'elenco iniziale degli IP da bloccare, o permettere, può essere un po 'complicato.

In pratica vuoi sapere come implementare le blacklist in modo da poter bloccare tutti gli indirizzi IP di attacco che un'organizzazione potrebbe essere preoccupata o vedere durante un attacco (nel tuo caso l'elenco IP dei server proxy). Detto questo, è importante capire in che modo le blacklist ti aiutano davvero. Le liste nere sono un ottimo modo per rallentare o bloccare temporaneamente gli aggressori e possono funzionare alla grande se attivati in modo appropriato. Anche una lista nera di 30 minuti di invio di traffico dannoso da parte di IP può davvero avere un enorme impatto su qualsiasi tipo di attacco automatico. Esistono strumenti come fail2ban (link sotto) che possono facilmente aiutare ad automatizzare la lista nera in base a comportamenti malevoli. Allo stesso modo ci sono strumenti come ipset (link sotto) che possono essere usati con iptables per creare blacklist o white-list estremamente grandi che possono facilmente bloccare o consentire decine di migliaia di IP con un impatto pressoché nullo sulle prestazioni e bloccare milioni di IP con solo una leggera prestazione all'impatto.

Distribuire efficacemente ipset e iptables in combinazione con l'elenco dei proxy è tutto ciò che serve.

Di seguito sono riportati alcuni suggerimenti che consiglio di configurare le blacklist per un uso a lungo termine:

Fondamentalmente perché ogni organizzazione ha esigenze e requisiti diversi ogni implementazione può essere leggermente diversa ma, come regola generale, raggruppo le persone in una lista nera in tre categorie.

1.) Gli IP che non avranno mai bisogno di connettersi a questi sistemi

2.) Gli IP che stanno facendo roba veramente mirata a questi sistemi

3.) Gli IP che eseguono la scansione o fanno qualcosa di meno dannoso ma sono comunque fastidiosi e potrebbero includere un sistema infetto dei clienti.

e in base a questi gruppi (il tuo potrebbe essere diverso, specialmente in base alla tua preoccupazione immediata) ho impostato una serie di tempi di blocco diversi. In questo esempio, utilizzo i seguenti tempi di blocco in base ai gruppi precedenti.

1.) Sempre

2.) 24-168 ore

3.) 30-60 minuti con 30 minuti è il più comune.

Detto questo vorrei anche prendere in considerazione quale attività tu stia inserendo nella lista nera. Se un'organizzazione ha un sito web pubblico, ma vedo attacchi brute-forcing di secure-shell o un server VPN (qualcosa che NON è inteso per essere accessibile al pubblico in generale) non mi dispiace bloccarlo per molto più tempo su quella porta o protocollo. Allo stesso modo, se vedo un indirizzo IP martellare un sito con decine di migliaia di attacchi o attività ripetute per giorni, l'IP viene bloccato per un tempo più lungo. Dall'articolo che hai collegato a te potresti voler bloccare le cose per almeno 48 ore per iniziare e iniziare a creare la tua white-list di buoni IP immediatamente.

Ci sono sempre dei rischi quando si blocca il traffico per un qualsiasi periodo di tempo, ma ho notato che sta diventando sempre più comune vedere organizzazioni molto grandi bloccare per almeno 30 minuti per interrompere gli attacchi automatici e consiglio vivamente di farlo comunque perché elimina molte delle scansioni a forza bruta che alla fine influiscono su tutti i siti.

Nota: con il gruppo # 2 è anche consigliabile inviare un messaggio di posta elettronica illecito ai cattivi attori ISP CC che fanno il proprietario IP e / o il proprietario del dominio. Spesso questo aiuta a risolvere il problema dopo qualche giorno e, in caso contrario, puoi sempre promuovere quell'IP al gruppo # 1 se ne hai anche tu.

Infine, consiglierei anche di creare una white-list della vostra infrastruttura e anche dei vostri principali partner commerciali o clienti critici. Occasionalmente i business partner controllano la sicurezza della loro supply chain e potresti non voler bloccare automaticamente queste organizzazioni se decidono di dare un'occhiata più da vicino a quello che stai facendo.

Penso che sia molto saggio inserire attivamente nella lista nera i cattivi attori, specialmente perché è una difesa molto economica ma non limiterei il tuo blocco a un singolo tipo & periodo di tempo se puoi evitarlo. Detto questo, se lo fai, 30 minuti sembra essere la norma del settore in questo momento.

link

link

link

Se non altro, questo ti consentirà di ottenere i "ganci" per bloccare un numero elevato di IP in futuro, quindi ti consiglio di farlo indipendentemente dal modo in cui gestisci il tuo problema a breve termine. Spero che questo ti aiuti.

    
risposta data 30.12.2015 - 23:19
fonte

Leggi altre domande sui tag