¿Debo bloquear direcciones IP que hicieron intentos de ataque y se bloquearon de un IPS a través de las reglas?

3

Tenemos un NIPS bloqueando ataques basados en malos comportamientos (reglas que verifican los datos en los paquetes de red). ¿Debo bloquear la IP que los NIPS vincularon a los intentos de ataque? Parece que los NIPS ya están bloqueando el ataque.

Al mismo tiempo, ¿cuál es el riesgo de que una IP se reutilice varias veces con diferentes ataques? (y la posibilidad de que uno de estos ataques de la misma IP no sea conocido por los NIPS)

Estoy hablando principalmente de tráfico entrante desde el exterior.

    
pregunta VBTech 24.10.2018 - 17:22
fuente

3 respuestas

2

Consideración nº 1

Rendimiento. Con dispositivos de tamaño adecuado (IPS y firewalls), los firewalls son generalmente más eficientes para bloquear el tráfico.

Consideración nº 2

Asegurar que el bloque se encuentre en el perímetro de la red. Querrá bloquear el tráfico lo más cerca posible del borde de la red para reducir la carga, el riesgo, etc.

Consideración nº 3

No se trata solo de que un atacante reutilice una IP, se trata de detener un ataque antes de que tenga éxito. Por lo general, la mejor práctica de seguridad es bloquear las direcciones IP identificadas como acciones maliciosas contra la infraestructura de su organización (por ejemplo, adivinación de contraseña de fuerza bruta, escaneo de puertos persistentes, análisis de vulnerabilidad no autorizados) después de que se hayan confirmado como malicioso Es decir, si las direcciones IP se bloquean permanentemente, debería haber algún nivel de validación manual, ya que existen fallas legítimas que pueden parecerse a ataques (por ejemplo, fallas de inicio de sesión desde el dispositivo de un usuario después de un cambio de contraseña), por lo que no desea para bloquear negocios legítimos. Hay una pregunta que escuché hace un rato que puede ayudar a reforzar la necesidad de verificación manual: ¿Cuál es la diferencia entre un ataque DDoS y solo un sitio web exitoso?

    
respondido por el HashHazard 24.10.2018 - 21:45
fuente
2

Sí, deberías.

Pero también debe preguntarse por cuánto tiempo bloqueará cualquier dirección que haya ingresado en su lista negra. Los valores razonables pueden variar de minutos a semanas, dependiendo del tema de la disponibilidad, como se menciona en el comentario de @Philipp.

Por supuesto, al bloquear una IP, corre el riesgo de bloquear a un usuario legítimo. Pero al mismo tiempo, debe asegurarse de mantener su servicio y también para todos los demás usuarios.

Si simplemente está ignorando las direcciones IP que detectan sus NIPS, también podría apagarlas.

    
respondido por el TorstenS 24.10.2018 - 19:09
fuente
0

Hay varios puntos de vista sobre esto, un usuario mencionado anteriormente, lo importante que es la disponibilidad para usted, otras cosas que debe considerar, qué tan buenas son sus copias de seguridad, qué tan grave es la amenaza, ¿tiene un WAF que pueda utilizar? , ¿puede mover su infraestructura pública hacia la nube y utilizar DDOS, WAF y cortafuegos adecuados?

Siempre me equivoco al advertir e importar las listas negras que nos envió el FBI y el OTX de la bóveda alienígena que son relevantes para mis verticales o simplemente son desagradables.

Desafortunadamente, gran parte de esto depende de su infraestructura, las necesidades de los clientes y la seguridad que necesita / desea estar.

Con cualquier servidor web que haya ejecutado personalmente en el pasado, lo tuve bloqueado con las reglas de la lista negra mantenidas automáticamente, si alguien intentaba intentar algo malicioso, fueron rechazados automáticamente por un corto período de tiempo, luego más y más hasta que se les dieron algunas oportunidades y perma en la lista negra.

    
respondido por el Matt 25.10.2018 - 17:07
fuente

Lea otras preguntas en las etiquetas