¿Es práctico pre-listar ciertas regiones de GeoIP?

Es esencialmente una decisión de negocios, en lugar de una decisión de seguridad. Los riesgos desde una perspectiva empresarial son que pierde usuarios de ese país, o que acceden al sitio desde las VPN ubicadas en ese país, y aunque realmente es poco probable, teóricamente es posible que las asignaciones de IP cambien , lo que significa que si no mantuvo estos bloques mantenidos y actualizados con las últimas asignaciones, podría bloquear accidentalmente usuarios legítimos de los países de destino, a quienes se les ha dado direcciones IP de un grupo asignado previamente a un país bloqueado.

Desde un punto de vista de seguridad, puede reducir el volumen de ataques y aumentar los costos para un atacante de apuntar a su sitio (ya que necesitan obtener máquinas de países específicos, en lugar de cualquier máquina).

Tiende a tener sentido cuando tiene un producto restringido regionalmente: piense en tiendas donde los productos solo se envían dentro de un país específico, competiciones que solo aceptan entradas de personas en una región determinada o sistemas que funcionan en conjunto con negocios físicos que tienen un rango limitado (por ejemplo, entregas a una cadena nacional de tiendas, por lo que no habría manera de que un usuario en otro lugar se beneficie del servicio). En esos casos, tiende a ser más fácil justificar los riesgos, ya que no hay manera de que las personas de otros países puedan usar el servicio (y no sería difícil incluir a los países vecinos en caso de casos de ventaja: una empresa portuguesa podría incluir Rangos de IP en español, por si acaso, digamos).

Tiene menos sentido cuando tiene un negocio de información o un producto digital. En estos casos, podría terminar obteniendo más tráfico no deseado, ya que las personas que desean obtener el producto recurren a VPN dentro de los países permitidos. Piense en restricciones artificiales, como los estrenos de películas en todo el mundo, los programas de televisión con meses de retraso antes de que se muestren fuera del país de origen o los lanzamientos de juegos.

Puede obtener listas de IP específicas de países de sitios como enlace y luego elegir si desea utilizar un enfoque de lista blanca ("nosotros solo haga envíos al sur de Italia, por lo que solo se permitirán las direcciones IP de Italia y Ciudad del Vaticano "o un enfoque de lista negra (" vemos muchos ataques desde Australia, así que bloquearemos todas las direcciones IP de Australia ").

_{(Tenga en cuenta que todos los países se seleccionan al azar y no deben tomarse como aprobación o desaprobación de determinados países).}

La prohibición de los rangos de IP generalmente no es una buena idea. Solo debes hacer esto si un rango es siempre un gran problema para ti. He aquí por qué:

• Muchas personas usan VPN o redes anónimas como TOR, lo que significa que los usuarios válidos parecen tener una IP de un país que no consideras parte de tu público objetivo. Los usuarios de dichas redes no pueden usar su servicio si tienen dificultades para conectarse.
• Es difícil, si no imposible, prohibir realmente la ubicación cuando se habla de direcciones IP. En su caso, podría ser más fácil, ya que busca países y regiones enteras en lugar de lugares más específicos.
• Un atacante dedicado puede eludir fácilmente las prohibiciones basadas en IP. Solo estarás parando de guiones de niños. Las molestias como esta pueden tratarse mediante el uso de firewalls bien configurados; software de servidor resistente y bien configurado; y código de seguridad.

En cuanto a solo permitir ciertos rangos de IP en puertos backend / administrativos: inténtelo. Esto es absolutamente una buena idea, ya que puede tener ciertas expectativas de sus administradores de sistemas (que no es necesario que inicien sesión con una VPN u otra red anónima, que vivan en un área con un cierto rango de IP, etc.) No puedo tener de tus clientes.

No pierdas el tiempo intentando mantener listas negras de GeoIP. Es una respuesta instintiva, y es miope e ineficaz en la práctica.

Piénsalo como si se tratara de terrorismo: Timothy McVeigh detona una bomba en Oklahoma. Prohiben a todos los hombres blancos de América. ¿Eso realmente detiene el problema?

La mayoría de los ataques reales que he visto provienen de botnets y / o proxies anónimos. Así que incluso si bloquea a China, los atacantes chinos solo van a enrutar su tráfico a través de hosts comprometidos en los Estados Unidos o Europa. Bloquearán a China, Irak, Turquía, Rusia ... lo recorrerán. Es la naturaleza misma de internet.

Los perfiles conductuales son mucho más efectivos como contramedidas que las listas negras dinámicas. Alguien que golpee un servicio debe ser bloqueado sin importar donde se origine el tráfico.

En cambio, dependiendo de lo que intenta proteger, considere usar un WAF o un proxy como Cloudflare-- puede bloquear fácilmente por país si le ayuda a dormir mejor por la noche, pero el mitigador más importante es que funcionan como un repositorio de inteligencia compartida. (No tienes que usarlos específicamente, solo he tenido una buena experiencia con ellos).

Si detectan atacantes que atacan el sitio de otra persona, y esos mismos atacantes intentan atacar el suyo, serán bloqueados u obstaculizados por el hecho de que anteriormente están asociados con actividades maliciosas, no por el hecho de que viven en ellos. Guangdong o Bielorrusia.

Esto no funcionará con SSH y similares, por lo que aún tendrá que usar algo como fail2ban para evitar ataques en esos servicios. Pero para HTTP y similares, ha sido genial.