web-dev-qa-db-ja.com

一時ブロックはネットワークプローブへの十分な応答ですか?

ファイアウォールの自動ブロック機能を使用して、ネットワークプローブのソースIPを一時的にブロックするオプションがあります。これは高速で自動であり、設定された時間が経過すると期限切れになります。

ただし、現在の慣行では、ソースホストの永続的なブロック(またはビジネスを行っていない国のネットブロック)を手動で配置します。これは手に負えず、効果がないと感じています。

これが私の推論です:

  1. これらは特に私たちを標的とする洗練された攻撃者ではありません。これらのほとんどはおそらく、ぶら下がっている果物を探すランダムスキャンです。高度な攻撃者はファイアウォールのプローブ検出に捕らわれることはなく、他のネットブロック内の他のIPを利用できるようになります。明らかな調査のソースをブロックすることは、何気なく好奇心旺盛でささいな犯罪者を思いとどまらせるだけです。

  2. このイベントに手動で対応するまでに、通常、偵察は終了しています。プローブが全体像を把握する前に、プローブが発生したときにブロックすることをお勧めします。

  3. これらの多くは動的IPになり、後で当社のサービスにアクセスする必要がある正当なユーザーに再割り当てされる可能性があります。

  4. 時間が経つにつれて、それはますます管理不能になり(リストはすでにかなり大きくなります)、正当なコミュニケーションを混乱させる可能性が高くなります。

これまで、ネットワークを保護するには永続的なブロックが必要であると考えて行動してきました。常に2つのアプローチを組み合わせて、自動ブロックがアクティブになった後に永続ブロックを追加することはできますが、永続ブロックが誤った安心感を生み出す以外の何かを達成するのではないかと思います。

この状況のベストプラクティスと見なされるものは何ですか、または誰かが推奨事項を提供することを気にしますか?

7
Ed C

セキュリティは、あらゆる意味で、階層化されたアプローチです。あなたが持っているそれぞれの防御は、あなたのネットワークで投げられる可能性のある大量の攻撃に対するもう1つの防御です。アクティブにスキャンしているIPアドレスを自動的にまたは永続的に禁止することは問題ありません。IPを変更せずにそれらのIPがマシンに対してより高度なスキャン技術を試みることができないという点で、穏やかなレベルのセキュリティを提供します。運が良ければ、彼らはあなたが完全にオフラインであると信じて、次のターゲットに進むだけです。通常、数日のブロックで十分です。

ファイアウォールが正しく構成されていて、必要のないときに応答しないことを確認することが重要です。

高度な攻撃者はファイアウォールのプローブ検出に捕らわれることはなく、他のネットブロック内の他のIPを利用できるようになります。

侵入検知システム(IDS)のような利用可能な他のソリューションがあり、心配している場合は、より高度な攻撃者と戦うことができます。

プローブが全体像を把握する前に、プローブが発生したときにブロックすることをお勧めします。

原則として、とにかくインバウンドルールに一致しないすべてのトラフィックをドロップする必要があります。その後、ファイアウォールがネットワークをスキャンしようとしているトラフィックに気付いた場合は、それらをブラックリストに追加します(永続的またはその他の方法で)

これらの多くは動的IPになり、後で当社のサービスにアクセスする必要がある正当なユーザーに再割り当てされる可能性があります。時間が経つにつれて、それはますます管理不能になり(リストはすでにかなり大きくなります)、正当なコミュニケーションを混乱させる可能性が高くなります。これが、一時ブロック(「x」日数)を設定することが合理的である理由です。

ベストプラクティスは、疑わしい/敵対的なIPアドレスを(一時的であっても)ブロックし続けることです。これは明らかにあなたが実施している唯一のセキュリティではないので、ファイアウォールルールが最新で正しいことを確認し、IPSに投資することは検討する価値のあることです。

お役に立てば幸いです。

1
NULLZ

最善のアプローチは、最も攻撃的なブロックに自動+永続ブロックを組み合わせることだと思います。一定期間(たとえば1か月)後に、特定の攻撃的なオリジンをブロックするルールがヒットを受信して​​いるかどうかを確認します。単にそれらをクリーンアップして、環境を管理しやすくする必要があります。

0
drak