攻撃を試み、IPSからブロックされたIPアドレスをルールでブロックする必要がありますか?
不正な動作(ネットワークパケットのデータをチェックするルール)に基づくNIPSブロック攻撃があります。 NIPSが攻撃の試みにリンクしたIPをブロックする必要がありますか? NIPSはすでに攻撃をブロックしているようです。
同時に、異なる攻撃でIPが複数回再利用されるリスクは何ですか? (および同じIPからのこれらの攻撃の1つがNIPSに知られていない可能性)
私は主に外部からの着信トラフィックについて話しています。
検討事項#1
パフォーマンス。適切なサイズのデバイス(IPSおよびファイアウォール)を使用すると、ファイアウォールは一般にトラフィックのブロックにおいてより効率的になります。
検討#2
ブロックがネットワーク境界にあることを確認します。負荷やリスクなどを軽減するために、ネットワークエッジのできるだけ近くでトラフィックをブロックする必要があります。
考慮事項#
それは単に攻撃者についてIPを再利用するだけでなく、攻撃を阻止することbefore成功します。一般に、セキュリティのベストプラクティスは、組織のインフラストラクチャに対して悪意のあるアクションを実行していると識別されたIPをブロックすることです(たとえば、ブルートフォースパスワード推測、永続的なポートスキャン、不正な脆弱性スキャン)後確認されました悪意のあるものとして。つまり、IPが永続的にブロックされている場合は、攻撃に似た正当な障害(たとえば、パスワード変更後のユーザーのデバイスからのログイン障害)があるため、手動による検証がある程度必要になるため、正当なビジネスをブロックする。私が以前聞いた質問は、手動検証の必要性を強化するのに役立ちます:DDoS攻撃と単なる成功したWebサイトの違いは何ですか?
はい、そうすべきです。
しかし、ブラックリストに載ったアドレスをどれだけブロックするかについても自問する必要があります。 @Philippのコメントで言及されているように、実際の値は、数分から数週間の範囲である可能性があります。
もちろん、IPをブロックすると、それ以外は正当なユーザーをブロックするリスクが生じます。ただし、同時に、他のすべてのユーザーにもサービスを提供できるようにする必要があります。
NIPSが検出したIPを無視しているだけの場合は、オフにしても切り替えられます。
これについては複数の考え方があります。上記のユーザーは、可用性がどの程度重要であるか、他に考慮すべきこと、バックアップの有効性、脅威の深刻度、WAFを利用できるか、パブリックインフラストラクチャをクラウドに移動し、適切なDDOS、WAF、ファイアウォールを利用します。
私は常に注意を怠って、FBIおよびエイリアンの金庫OTXから私に送信されたブラックリストをインポートします。これらのリストは、自分のカテゴリまたは単純な厄介なものに関連しています。
残念ながら、これの多くはインフラストラクチャ、クライアントのニーズ、およびセキュリティの必要性/必要性に依存しています。
私が個人的に過去に実行したWebサーバーでは、自動維持されたブラックリストルールでロックダウンされました。誰かが悪意のあるものを試みようとした場合、短時間の間自動排除され、その後、長くなるまで長くなりました。いくつかのチャンスを与え、パーマをブラックリストに載せました。