El registro está abierto a elección y explicaré por qué. Es más fácil bloquear TODOS (soltar, no rechazar) y permitir SOLO direcciones confiables. Esto le permite hacer UNA regla en lugar de N cantidad de reglas que generaría mediante una lista negra. Eche un vistazo a la lista negra promedio y encontrará que puede haber más de 1k en un día determinado. Lo que ocurre es lo siguiente:
Cortafuegos (si es IPFW, IPTables, un Checkpoint FW, SSG, etc.):
Connection is coming in --> Check against the first rule
Connection is coming in --> Check against the second rule
Connection is coming in --> Check against the ... rule
Su máquina tendrá que procesar N cantidad de reglas, donde N es la cantidad de direcciones IP en su lista negra. Sin mencionar, conozco robots basados en ssh que falsifican direcciones, por lo que también existe la posibilidad de suplantación de identidad: la propia máquina, la ruta predeterminada ... 0.0.0.0/0 (todos). Piense en eso por un momento. Si hiciera lo siguiente:
nmap -sS YOUR.IP.ADDRESS -p 80 -D 0.0.0.0,YOURGATEWAYIP,YOURUPSTREAMGWIP
Sus registros mostrarán las entradas de 0.0.0.0, su IP de Gateway, su IP de GW ascendente, creando a su vez una regla de FW para bloquear conexiones. Para evitar esto, tendría que poner la dirección IP en la lista blanca, creando aún más reglas:
Connection is coming in --> Check against the first rule --> WHITELISTED
Este paquete se enviará inmediatamente dependiendo de la ubicación de la regla (tendría que ser uno de los primeros. De lo contrario:
Connection is coming in --> Check against the first rule
Connection is coming in --> Check against the second rule
Connection is coming in --> Check against the ... rule
Connection is coming in --> Check against the first rule --> WHITELISTED
Cuanto más grandes sean las reglas, más difícil será mantenerlas. Si es posible, es mejor hacer lo siguiente:
firewall --> this Whitelisted address is allowed all others blocked
Una regla para procesar frente a reglas engorrosas. Ahora, de vuelta al registro; ¿Cuál sería el objetivo del registro? Los ataques vienen, los ataques van. El Internet es como el espacio exterior lleno de basura. Muchos de los ataques ssh provienen de hosts comprometidos, no del atacante real. Muchas son partes de redes de bots, algunas de las cuales tienen cientos de miles de personas. No solo está desperdiciando la capacidad de procesamiento, sino que, al final, también está desperdiciando espacio en las unidades, ya que los registros pueden crecer.