Creo que es necesario abordar este problema desde una dirección diferente. Hay un
número de problemas con su solución propuesta
- Es una pesadilla de mantenimiento.
- Es una solución reactiva en lugar de proactiva. Solo agregarás IPs bloqueadas una vez
las IPs han intentado entrar. Esto podría ser demasiado tarde
- Ignora el problema de que muchas direcciones IP se asignan dinámicamente. Solo porque tu
fueron atacados desde una IP específica ayer, no es necesario mantener que lo mismo
El individuo está usando esa IP hoy.
En general, el punto de partida con los firewalls tradicionales es que comienzas por el bloqueo.
Todo y luego empezar a abrir solo lo que se necesita. Cuando esto comienza a ser un
problema, con frecuencia identifica una debilidad de la arquitectura subyacente.
Por ejemplo, si tengo un servidor, comenzaré por bloquear todas las conexiones entrantes
y luego mire los servicios que estoy ejecutando y evalúe dónde deben ser accedidos
desde. Si estoy ejecutando un servidor web, ¿necesita acceso desde cualquier lugar?
¿Solo necesito acceso desde la red de mi empresa o una subred dentro de esa red?
Si necesita acceso desde cualquier parte, permitiré el acceso a todas las direcciones IP
eso. Si solo se necesita acceder desde la red de mi empresa, solo permitiré el acceso
de ese rango de IP.
Según la arquitectura del sistema y los requisitos de la aplicación, un cortafuegos básico
puede no ser suficiente Por ejemplo, usted tiene una aplicación web que en general necesita
estar abierto al mundo, pero hay direcciones URL dentro de la aplicación utilizada para
Administración que desea bloquear solo a una pequeña cantidad de direcciones IP. En
En este caso, la aplicación proporcionará el nivel de control de acceso que necesita.
es decir, muestra un error de página prohibida para solicitudes de cualquier IP que no sea parte de
la lista de administradores o tiene un firewall de aplicación que se encuentra entre su frontera
firewall y su aplicación.
A veces, el problema es que necesita proporcionar acceso de administrador a un recurso, pero
no sabes de qué dirección IP vendrá el usuario. En estas situaciones, usted
podría tener que insistir en que la persona administradora utilice una VPN de la empresa, lo que les permitirá
para conectarse desde cualquier lugar, pero restringirá su dirección de cliente a un rango dentro de
su subred VPN. Alternativamente, puede usar alguna forma de proxy inverso donde el
La persona de administración debe conectarse a través de un proxy autenticado y la dirección IP para
El recurso está restringido a la IP del proxy. El problema con esta solución es
que posiblemente ahora verás ataques contra tu proxy. Sin embargo, esto podría estar bien
Como ha agregado otra capa de complejidad que puede proporcionar suficiente
Protección: ahora los atacantes primero deben comprometer su proxy y ellos deben comprometer su
Servicio de administración (suponiendo que usen contraseñas diferentes, por supuesto).
También hay firewalls que proporcionan instalaciones de IDS + IPS. El IDS busca
comportamiento sospechoso, como un gran número de solicitudes de autenticación fallidas a un
Servicio. Cuando se detecta un evento de este tipo, se activa el IPS para poner una
Bloquear / soltar en la IP de origen. Tales sistemas pueden ser muy buenos, pero pueden ser difíciles
Para configurarse correctamente, a menudo se necesita un poco de mantenimiento y se necesita
monitoreado para detectar problemas con cosas como falsos positivos que podrían resultar en
tráfico legítimo siendo bloqueado.
El otro enfoque que puede hacer es limitar el índice de recursos. Intentos de fuerza bruta
Depende de poder realizar un gran número de intentos en un corto período. Si tu
límite de velocidad de la solicitud, los ataques de fuerza bruta pueden volverse imprácticos porque toman
demasiado largo. Un ejemplo común es tener una página de inicio de sesión donde se usa un retraso en
respondiendo a intentos fallidos de inicio de sesión. A medida que aumenta el número de intentos de inicio de sesión,
el retraso aumenta.
En lugar de bloquear direcciones, buscaría una solución que le permita
Sólo permita direcciones específicas a las áreas que le preocupan. Si esto no es
posible porque es algo así como una página de inicio de sesión general para sus clientes y usted
no puedo saber de qué direcciones IP provienen, entonces estaría mirando qué
IDS / IPS adicionales que puede implementar en la aplicación o
Nivel de firewall de la aplicación. Si no tiene otra solución que bloquear direcciones IP,
Estaría buscando una solución que permita el bloqueo temporal y que elimine
Los bloques después de un período aceptable. Para ser efectivo, el bloqueo debe ser un
proceso automatizado: bloqueo de direcciones IP después de un intento de ataque de fuerza bruta
Por lo general, cerrando la puerta después de que el caballo ha huido.