Test degli ACL di rete dagli intervalli CIDR bloccati

Naviga le tue risposte
0

Ho l'obbligo di eliminare il traffico di rete dai paesi con cui gli Stati Uniti sono soggetti a un embargo. Eliminare il traffico da determinati blocchi CIDR è banale con AWS VPC, ma sono curioso di sapere come verificare se la mia implementazione funziona correttamente.

Le opzioni che ho determinato sono:

  1. Blocca l'intervallo CIDR del mio traffico basato negli Stati Uniti per determinare se scende
  2. Individua un servizio VPN che termina in uno dei Paesi sottoposti a embargo

Nel 2016 i Paesi sottoposti a embargo sono:

  • Iran
  • Corea del Nord
  • Sudan
  • Siria
  • Myanmar

Sono preoccupato per le ramificazioni legali dell'opzione 2 e per la validità dei risultati generati dall'opzione 1.

Ci sono suggerimenti su come procedere?

    
posta TFerrell 12.10.2016 - 15:51
fonte

2 risposte

1

Un modo semplice per testare i filtri consiste nello spoofing di un pacchetto SYN TCP con uno degli IP elencati in nero.

Un altro modo è controllare il FW offerto da AWS se ha una funzione di simulazione in cui inserisci le informazioni del pacchetto desiderate (IP di origine, Porta di origine, IP di destinazione, Porta di destinazione) e guarda cosa farà il firewall con la sua configurazione attuale.

Riguardo alla validità degli elenchi offerti che non è qualcosa che posso commentare poiché non so dove AWS stia ottenendo queste liste.

Spero che questo aiuti

    
risposta data 12.10.2016 - 18:35
fonte
-1

Il CIDR ha a che fare con il subnetting e gli indirizzi disponibili con una certa subnet mask. Ad esempio: ci sono 32 schemi CIDR. Lo schema CIDR / 28 ha una subnet mask di 255.255.255.240 che significa che ci sono 16 indirizzi IP per sottorete che possono essere assegnati utilizzando questo schema. / 27 ha 32 indirizzi IP per sottorete, / 26 ha 64 indirizzi IP per sottorete e così in basso si va. Quindi bloccare i CIDR non ha senso. Utilizzare il seguente link per verificare i blocchi di indirizzi IP provenienti da paesi stranieri che è necessario eliminare:

link

link

Mentre hai detto che vuoi far cadere il traffico da quei paesi, devo coprirmi aggiungendo che non raccomando di creare una VPN negli Stati Uniti da uno dei paesi che hai elencato. Un giorno potresti decidere di disattivarlo e le parti coinvolte avranno probabilmente risorse che si basano sulla VPN che hai creato. Non iniziare una situazione che non puoi uscire in RW. Né ti consiglio di cercarne uno in quei paesi. Non sto dicendo che nessuno in quei paesi sia malvagio, ma il detto dice "Quando studi il male, sei studiato dal male". Calpestare leggermente.

    
risposta data 01.01.2018 - 20:21
fonte

Leggi altre domande sui tag

Il server di posta che invia molte e-mail Modo alternativo per applicare l'autenticazione nella sicurezza della rete