Lista negra durante una prueba de penetración?

Navega tus respuestas
4

Hace poco tuve un debate en el que uno de mis colegas creía que al lanzar una prueba de penetración (una solicitada por nuestros clientes) de uno de nuestros IP, podríamos potencialmente eliminar ese IP / todos los IP de nuestro bloque.

Nos inscribimos en un ISP que permite este tipo de actividad en nuestro enlace (siempre que se realice legalmente), así que mi pregunta es: ¿tienen los ISP la capacidad de detectar y poner en una lista negra el tráfico de ataques en sus redes? ¿Los firewalls de "cliente" de punto final tienen la capacidad de poner en una lista negra las IP no solo en su servidor de seguridad, sino de "informarlas" a algún servidor central en algún lugar que incluya nuestra IP en todo el mundo (a cualquiera que use esa lista negra)? Sé que tales listas negras existen para las fuentes de spam, pero no estoy seguro sobre el tráfico de ataques.

Nota:

  • No estamos utilizando ningún ataque intensivo de ancho de banda (como los ataques DDoS que podrían afectar negativamente al tráfico de ISP)

Espero que alguien pueda ayudar! Gracias

    
pregunta NULLZ 14.02.2013 - 07:38
fuente

1 respuesta

6

La detección del tráfico de ataque de una prueba de penetración requiere una inspección profunda de paquetes. El DPI es muy costoso de implementar en un gran nivel y no genera ingresos directamente.

Los usos comunes de DPI por los ISP son:

  • Intercepción legal. Esto es obligatorio por las autoridades y está dirigido.
  • Publicidad dirigida. $$$
  • Calidad de servicio. Genera ingresos al ofrecer una buena calidad de servicio.
  • Ofreciendo servicios en niveles . También genera ingresos.
  • Cumplimiento de los derechos de autor. Obligado o pagado.

Una forma en que un ISP puede imponer una política de uso aceptable es realizar el DPI en una muestra estadísticamente significativa del tráfico.

  

¿Los firewalls de 'cliente' de punto final tienen la capacidad de poner en una lista negra de IP no   solo en su firewall, pero para 'informar de nuevo' a algún servidor central   en algún lugar que incluya en la lista negra nuestra propiedad intelectual en todo el mundo (para cualquier persona   usando esa lista negra)?

Los productos de administración unificada de amenazas pueden administrar alertas de manera centralizada y enviar reglas derivadas a través de la red.

    
respondido por el Cristian Dobre 14.02.2013 - 08:05
fuente

Lea otras preguntas en las etiquetas

Recursos para crear un currículo de seguridad de red ¿Cómo usar la información de GHDB y FSDB (Google-Dorks)?