ファイアウォール/ルーターによってブロックされたIPの確認
ファイアウォール/ルーターでブロックされているIPを確認し、それらを禁止リストから安全に削除できるかどうかを判断する方法のベストプラクティスはありますか?
ときどき、ファイアウォールの担当者がセキュリティデバイスで大量のセキュリティイベントを確認し、ファイアウォールまたはルーターでそれらをブロックします。時間の経過とともに、これらのリストは長くなりすぎ、ブロックされた一部のIPは関連しなくなる可能性があります。
そのため、これらのIPをどのように処理しますか?ありがとう。
セキュリティはほぼ常にトレードオフであり、ここでの戦略は、そのトレードオフを受け入れられるように調整する必要があります。私は3つの側面を見る:
- ブロック解除が早すぎます。
- ブロック解除が遅すぎます。
- ファイアウォールにIPアドレスの長いリストを保持するための追加のRAM/CPU /待機時間。
悪意のあるトラフィックを一定期間送信していないIPのブロックを解除します。最初に選択する時間は12時間です。この数は、誤ってブロックされたユーザーをすばやく元に戻してリストを短く保つことを支持するバランスをとっています。このようなことは可能ですが、1つのIPアドレスが12時間以上停止してから、さらに悪意のあるトラフィックを送信することはありません。
これは、最後のマリシオトラフィックが検出されてから12時間後であって、ブロックが配置されてから12時間後ではないことに注意してください。攻撃者がブロックされた後も攻撃を続けると、ブロックされたままになります。
この数は、攻撃者が何をしているのか、誤ってブロックされたユーザーの推定コストとファイアウォールルールの1つの追加IPアドレスに基づいて調整する必要があります。
上記の@Labadadadaによる良い答えに加えて、私の最大の懸念はこれを手動で行うことです。たぶん、あなたは fail2ban を見たいと思うでしょう。そのまま使用するつもりがない場合でも、他の方法でなんとかエミュレートすることができます。
本質的に、 fail2banログファイルを監視し、パターンに一致させます。たとえば、特定のIPからSSH経由で複数の失敗したログインを簡単に検出できます。次に、実行するアクションとそのしきい値の後に設定します。したがって、たとえば、5分間のSSHログインが15分間失敗した後、IPからのすべてのアクセスをブロックします。 IP全体をすべてのアクセスからブロックするか、ブロックを特定のポート(22)に制限し、IPを「ブロック解除」するまでの時間、しきい値などを設定できます。
これにより、IDS/IPSとファイアウォールの間に何らかの組み合わせができます。
おもう fail2banのアプローチは、次の理由から非常に優れたソリューションを提供します。
- これらのフィルターを定義する以外に、手動で行う必要はありません。箱から出してすぐに使える既製のフィルターがたくさんありますが。
- ブラックリストが長くなりすぎることを心配する必要はありません。自動的に削除されます。
- 持続的な攻撃は軽減され、ブロックされ、必要に応じて「再ブロック」されます。