web-dev-qa-db-ja.com

ピボットポイントまたはDDOSソースとして使用できるすべての外部プロキシIPをブロックする最良の方法は何ですか?

最も単純な形式では、問題は 緊急事態 のために外部プロキシをブロックすることです。そのため、管理者は技術チームにすべての外部プロキシをブロックするか、ブロックのために外部プロキシリストを共有するソリューションを取得するように強制しました。

私は理解していますが、イントラネットの周りには数百万のキャッシュプロキシが浮かんでおり、それを抽出するだけでは不十分です。上記の ハイパーリンク で述べたような緊急事態でイベントが発生した場合に、解決するために講じることができる最善の対策は何ですか?

攻撃者の観点から判断すると、この緊急事態はボットネットまたは外部プロキシを介したDDoS攻撃である可能性があり、キャッシュプロキシが目的を果たす可能性があることを読んだことがありますが、このソリューションには複数のソリューションを受け入れています。ソリューションに関する洞察は本当に役に立ちます。

2

Cloudflare.comのようなサードパーティのDDOS保護サービスは、一般的なWebトラフィックを開始するのに最適な場所かもしれませんが、これらはすべてからあなたを保護するわけではありません。それにもかかわらず、あなたは重要な質問を提起し、自分で自分のサーバーを保護する方法を知ることは非常に重要です。

以下では、プロキシサーバーをブロックする方法について説明しますが、ブロックまたは許可するIPの初期リストを取得するのは少し難しい場合があることも指摘します。

事実上、ブラックリストを実装する方法を知りたいので、組織が懸念している、または攻撃中に表示される可能性のあるすべての攻撃IPアドレス(この場合はプロキシサーバーのIPリスト)をブロックできます。つまり、ブラックリストが実際にどのように役立つかを理解することが重要です。ブラックリストは、攻撃者の速度を落としたり一時的にブロックしたりするための優れた方法であり、適切にトリガーされるとうまく機能します。悪意のあるトラフィックを送信するIPの30分間のブラックリストでさえ、あらゆるタイプの自動化された攻撃に対して実際に大きな影響を与える可能性があります。悪意のある動作に基づいてブラックリストを自動化するのに簡単に役立つfail2ban(以下のリンク)のようなツールがあります。同様に、ipset(以下のリンク)のようなツールがあり、iptablesで使用して、パフォーマンスにほとんど影響を与えずに数万のIPを簡単にブロックまたは許可し、数百万のIPをブロックできる非常に大きなブラックリストまたはホワイトリストを作成できます。衝撃に対するわずかなパフォーマンスのみ。

必要なのは、プロキシのリストと組み合わせてipsetとiptablesを効果的にデプロイすることだけです。

以下は、長期使用のためにブラックリストを構成するために私が推奨するいくつかのヒントです。

基本的に、組織ごとにニーズと要件が異なるため、各展開は少し異なる場合がありますが、一般的な経験則として、ブラックリストに登録する人を3つのカテゴリにグループ化します。

1.)これらのシステムに接続する必要がないIP

2.)これらのシステムに本当に標的を絞った有害なことをしているIP

3.)スキャンしている、または害の少ないことをしているが、それでも迷惑であり、顧客に感染したシステムが含まれている可能性のあるIP。

そして、これらのグループに基づいて(特にあなたの差し迫った懸念を考えると、あなたは異なるかもしれません)私はさまざまな異なるブロック時間を設定しました。この例では、上記のグループに基づいて次のブロック時間を使用します。

1.)永遠に

2.)24〜168時間

3.)30〜60分、30分が最も一般的です。

これは、あなたがブラックリストに載せている活動についても考慮に入れると述べました。組織に公開Webサイトがあるが、ブルートフォーシングセキュアシェルまたはVPNサーバー(一般の人々がアクセスできるように意図されていないもの)の攻撃を目にした場合、そのポートでそのタイプのアクティビティをずっと長くブロックしてもかまいませんまたはプロトコル。同様に、IPアドレスが何万もの攻撃や数日間の繰り返しのアクティビティでサイトを実際に攻撃しているのを見ると、IPはより長い時間ブロックされます。リンクした記事から、最初は少なくとも48時間ブロックして、すぐに適切なIPのホワイトリストの作成を開始することをお勧めします。

一定期間トラフィックをブロックすることには常にリスクがありますが、非常に大規模な組織が自動攻撃を妨害するために少なくとも30分間ブロックするのを見ることが一般的になっているのを見て、とにかくこれを行うことを強くお勧めします。最終的にすべてのサイトに影響を与えるブルートフォーススキャンの多く。

注:#2グループでは、IP所有者やドメイン所有者を悪用するISPCCに悪用メールを送信することも賢明です。多くの場合、これは数日後に問題を解決するのに役立ちます。そうでない場合は、そのIPをグループ#1に昇格させることができます。

最後に、インフラストラクチャと主要なビジネスパートナーまたは重要なクライアントのホワイトリストを作成することもお勧めします。時折、ビジネスパートナーはサプライチェーンのセキュリティをチェックします。彼らがあなたのしていることを詳しく調べることにした場合、これらの組織を自動ブロックしたくない場合があります。

特に費用対効果の高い防御策であるため、悪意のある攻撃者を積極的にブラックリストに登録することは非常に賢明だと思いますが、回避できる場合は、ブロックを単一のタイプと時間枠に制限しません。そうは言っても、今のところ30分が業界の標準のようです。

http://www.fail2ban.org/

http://ipset.netfilter.org/

http://ipverse.net/ipblocks/data/countries/

これにより、将来的に多数のIPをブロックするための「フック」を設定できるようになるので、短期的に問題をどのように処理するかに関係なく、これをお勧めします。お役に立てれば。

3
Trey Blalock