Revisar las IP que han sido bloqueadas por el firewall / enrutador

3

¿Existe alguna práctica recomendada sobre cómo revisar las IP que están bloqueadas en el firewall / enrutador y determinar si es seguro eliminarlas de la lista prohibida?

Ocasionalmente, los tipos de firewall ven una gran cantidad de eventos de seguridad en los dispositivos de seguridad y los bloquearán en el firewall o enrutador. Con el tiempo, estas listas se vuelven demasiado largas y es posible que algunas direcciones IP bloqueadas ya no sean relevantes.

Como tal, ¿cómo lidiamos con estos IP (s)? Gracias.

    
pregunta Fred1234 27.04.2012 - 04:51
fuente

2 respuestas

4

La seguridad es casi siempre una compensación y su estrategia aquí deberá ajustarse para que esa compensación sea aceptable para usted. Veo tres aspectos:

  1. Desbloqueo demasiado pronto.
  2. Desbloqueo demasiado tarde.
  3. RAM / CPU extra / latencia de mantener largas listas de direcciones IP en su firewall.

Desbloquearía cualquier IP que no haya enviado ningún tráfico malicioso por algún tiempo. La cantidad de tiempo que inicialmente elegiría sería 12 horas. Este número encuentra un equilibrio que favorece que los usuarios falsamente bloqueados vuelvan a ingresar rápidamente y mantiene las listas cortas. Nunca he visto una sola dirección IP detenida durante 12 horas antes de enviar más tráfico malicioso, aunque es posible.

Tenga en cuenta que esto es 12 horas después de que se detectó el último tráfico malicio, no 12 horas después de que se puso en marcha el bloqueo. Si un atacante sigue intentándolo incluso después de que está bloqueado, permanece bloqueado.

El número debe ajustarse según lo que ve que hacen los atacantes y el costo estimado de un usuario bloqueado falsamente y una dirección IP adicional en las reglas del firewall.

    
respondido por el Ladadadada 27.04.2012 - 09:15
fuente
2

Agregando a la buena respuesta de @Labadadada arriba, mi principal preocupación es tener que hacer esto manualmente. Quizás quieras echar un vistazo a fail2ban . Incluso si no pretende usarlo como está, puede intentar emular lo que hace por otros medios.

En esencia, fail2ban vigila tus archivos de registro y compara patrones. Por ejemplo, puede detectar fácilmente múltiples inicios de sesión fallidos a través de SSH desde una IP específica. A continuación, configura qué acciones realizar y después de qué umbral. Entonces, por ejemplo, bloquee todos los accesos desde la IP después de 5 inicios de sesión SSH fallidos durante 15 minutos. Puede bloquear la IP completa de todos los accesos, o limitar el bloqueo al puerto específico (22), y puede configurar el tiempo después del cual 'desbloquearlo', el umbral, etc.

Esto le da algún tipo de combinación entre IDS / IPS y un firewall.

Creo que el enfoque de fail2ban ofrece una muy buena solución porque:

  1. no es necesario que haga nada manualmente, aparte de definir esos filtros. Aunque hay muchos filtros listos para usar listos para usar.
  2. no tienes que preocuparte si tu lista negra se alarga demasiado, se limpia automáticamente.
  3. cualquier ataque persistente aún será mitigado, bloqueado y 're-bloqueado' si es necesario.
respondido por el Yoav Aner 27.04.2012 - 14:14
fuente

Lea otras preguntas en las etiquetas