Lista negra de direcciones IP: ¿cuándo debemos actuar?

4

Soy responsable de proteger un entorno de AWS y estoy notando varios ataques de reconocimiento contra el entorno. Tenemos la opción de bloquear las direcciones IP en nuestro firewall, pero el entorno se escanea con diferentes ataques varias veces a la semana (es decir, la administración de esto no es simple). Este entorno es principalmente para B2B y no aloja gran cantidad de tráfico, por lo que creo que deberíamos bloquearlo.

Creo que para otros entornos que son muy altos en el tráfico de consumidores, las IP de la lista negra pueden no ser la mejor idea porque, como sabemos, las direcciones IP pueden cambiar con frecuencia y asignarse a usuarios no maliciosos. No queremos bloquear a un cliente potencial de nuestro sitio web.

Una pregunta de seguimiento sería: ¿es una buena práctica eliminar luego estas IP de lista negra después de algún tiempo en caso de que ya no estén asociadas con un atacante?

    
pregunta jay-charles 30.11.2015 - 20:26
fuente

2 respuestas

8

Para responder a tu pregunta de tiempo, es importante entender cómo las listas negras realmente te ayudan. Las listas negras son una excelente manera de ralentizar a los atacantes y funcionan bien cuando se activan adecuadamente. Incluso una lista negra de 30 minutos puede tener un gran impacto contra cualquier tipo de ataque automatizado. Existen herramientas como fail2ban (enlace a continuación) que pueden ayudarlo a automatizar fácilmente su lista negra basada en comportamientos maliciosos. Del mismo modo, existen herramientas como ipset (enlace a continuación) que se pueden usar con iptables para crear grandes listas negras o listas blancas que pueden bloquear o permitir fácilmente decenas de miles de IP sin casi afectar el rendimiento.

Pero volvamos a tu pregunta sobre el tiempo. Cada sitio tendrá diferentes necesidades y diferentes requisitos pero, como regla general, agrupa a los que formo una lista negra en tres categorías.

1.) IPs que nunca necesitarán conectarse a estos sistemas

2.) IP que están haciendo cosas realmente dañinas dirigidas a estos sistemas

3.) Las IP que están escaneando o haciendo algo menos dañino, pero aún así son molestas y pueden incluir un sistema infectado por los clientes.

y en base a estos grupos (los suyos pueden ser diferentes) establezco una variedad de diferentes tiempos de bloqueo. En este ejemplo, utilizo los siguientes tiempos de bloqueo en función de los grupos anteriores.

1.) Para siempre

2.) 24-168 horas

3.) 30-60 minutos, siendo los más frecuentes 30 minutos.

Dicho esto, también tomaría en contexto la actividad que está en la lista negra. Si una organización tiene un sitio web público pero veo ataques de shell-shell o un servidor VPN (algo que NO está destinado a ser accesible al público en general), no me importa bloquear esa actividad de tipo por mucho más tiempo en ese puerto o protocolo. Del mismo modo, si veo una dirección de IP que realmente golpea un sitio con decenas de miles de ataques o actividades repetidas durante días, la IP se bloquea durante más tiempo.

Entonces, en cierto sentido, no hay una solución definitiva para su pregunta, pero sí veo muchas compañías de marcas muy grandes que se bloquean durante al menos 30 minutos para interrumpir los ataques automáticos y recomiendo encarecidamente hacerlo porque se elimina. de una gran parte del escaneo de fuerza bruta que finalmente afecta a todos los sitios.

Nota: con el grupo # 2 también es aconsejable enviar un correo electrónico de abuso a los actores malos ISP CC'ing el propietario de IP y / o el propietario del dominio. Con frecuencia, esto ayuda a resolver el problema después de unos días y, si no, siempre puede promocionar esa IP al grupo # 1, si es que también.

Finalmente, también recomendaría crear una lista blanca de su infraestructura y también de sus socios comerciales clave o clientes críticos. Ocasionalmente, los socios comerciales verifican la seguridad de su cadena de suministro y es posible que no desee bloquear automáticamente estas organizaciones si deciden examinar más de cerca lo que está haciendo.

Creo que es muy prudente enlistar activamente a los actores malos, especialmente porque es una defensa muy rentable, pero no limitaría su bloqueo a un solo tipo & marco de tiempo si se puede evitar. Dicho esto, si lo hace, 30 minutos parece ser la norma de la industria en este momento.

enlace

enlace

enlace

Espero que esto ayude.

    
respondido por el Trey Blalock 30.11.2015 - 23:42
fuente
2

Siempre puede crear una lista blanca de direcciones IP o validación de nombres de dominio como solo aceptar desde .example1.org o .example2.org. Ya sea el nombre de dominio o la dirección IP. Las listas negras son malas porque un atacante podría usar una dirección IP diferente. (es decir, para una red de bot) o una red de bots) administrar esa lista sería una pesadilla. Una lista blanca lo hace más fácil, ya que no tiene que administrar las direcciones IP de la lista negra, pero si tiene diferentes negocios, es posible que también sea una pesadilla.

    
respondido por el bdawg 30.11.2015 - 23:00
fuente

Lea otras preguntas en las etiquetas