¿Alguien tiene anécdotas sobre cómo suscribirse a un servicio de reputación de IP los llevó a descubrir compromisos internos?
En el pasado, he usado OpenDNS para un cliente. OpenDNS detectó que no solo había malware llamando a casa en la red, sino que también había tráfico de Botnet proveniente de la red. El problema era que como OpenDNS se encuentra fuera de la red, solo ve la IP pública de la red. Dado que había más de 150 máquinas en la red interna, no había una manera fácil de saber cuál estaba infectada.
Por lo tanto, mi advertencia sería que, a menos que haya una relación 1 a 1 con la IP pública y la computadora (servidor web o algo así), o el servicio de representantes de IP detectó el tráfico antes de que fuera NATed, entonces no estoy seguro lo valioso que será, excepto como un mecanismo de alerta de que hay algo nefasto en la red interna.
-Josh