Para responder a tu pregunta de tiempo, es importante entender cómo las listas negras realmente te ayudan. Las listas negras son una excelente manera de ralentizar a los atacantes y funcionan bien cuando se activan adecuadamente. Incluso una lista negra de 30 minutos puede tener un gran impacto contra cualquier tipo de ataque automatizado. Existen herramientas como fail2ban (enlace a continuación) que pueden ayudarlo a automatizar fácilmente su lista negra basada en comportamientos maliciosos. Del mismo modo, existen herramientas como ipset (enlace a continuación) que se pueden usar con iptables para crear grandes listas negras o listas blancas que pueden bloquear o permitir fácilmente decenas de miles de IP sin casi afectar el rendimiento.
Pero volvamos a tu pregunta sobre el tiempo. Cada sitio tendrá diferentes necesidades y diferentes requisitos pero, como regla general, agrupa a los que formo una lista negra en tres categorías.
1.) IPs que nunca necesitarán conectarse a estos sistemas
2.) IP que están haciendo cosas realmente dañinas dirigidas a estos sistemas
3.) Las IP que están escaneando o haciendo algo menos dañino, pero aún así son molestas y pueden incluir un sistema infectado por los clientes.
y en base a estos grupos (los suyos pueden ser diferentes) establezco una variedad de diferentes tiempos de bloqueo. En este ejemplo, utilizo los siguientes tiempos de bloqueo en función de los grupos anteriores.
1.) Para siempre
2.) 24-168 horas
3.) 30-60 minutos, siendo los más frecuentes 30 minutos.
Dicho esto, también tomaría en contexto la actividad que está en la lista negra. Si una organización tiene un sitio web público pero veo ataques de shell-shell o un servidor VPN (algo que NO está destinado a ser accesible al público en general), no me importa bloquear esa actividad de tipo por mucho más tiempo en ese puerto o protocolo. Del mismo modo, si veo una dirección de IP que realmente golpea un sitio con decenas de miles de ataques o actividades repetidas durante días, la IP se bloquea durante más tiempo.
Entonces, en cierto sentido, no hay una solución definitiva para su pregunta, pero sí veo muchas compañías de marcas muy grandes que se bloquean durante al menos 30 minutos para interrumpir los ataques automáticos y recomiendo encarecidamente hacerlo porque se elimina. de una gran parte del escaneo de fuerza bruta que finalmente afecta a todos los sitios.
Nota: con el grupo # 2 también es aconsejable enviar un correo electrónico de abuso a los actores malos ISP CC'ing el propietario de IP y / o el propietario del dominio. Con frecuencia, esto ayuda a resolver el problema después de unos días y, si no, siempre puede promocionar esa IP al grupo # 1, si es que también.
Finalmente, también recomendaría crear una lista blanca de su infraestructura y también de sus socios comerciales clave o clientes críticos. Ocasionalmente, los socios comerciales verifican la seguridad de su cadena de suministro y es posible que no desee bloquear automáticamente estas organizaciones si deciden examinar más de cerca lo que está haciendo.
Creo que es muy prudente enlistar activamente a los actores malos, especialmente porque es una defensa muy rentable, pero no limitaría su bloqueo a un solo tipo & marco de tiempo si se puede evitar. Dicho esto, si lo hace, 30 minutos parece ser la norma de la industria en este momento.
enlace
enlace
enlace
Espero que esto ayude.