¿Alguna seguridad adicional con un archivo de hosts de gran lista negra?

7

Ejecuto Windows con un archivo bastante fuerte c: / windows / system32 / drivers / etc / hosts obtenido de enlace . Actualizo este archivo tan regularmente como lo recuerdo y lo coloco en capas con los complementos apropiados en mi navegador web moderno de elección, A / V y soluciones de firewall.

Básicamente, me doy cuenta de que un gran archivo (generalmente estático) de hosts de la lista negra es una protección contra las amenazas CONOCIDAS (¡y solo las que tienen nombres!), y muy poca ayuda contra amenazas desconocidas y emergentes (o IPs directas). Debo admitir que no he comprobado si hay estadísticas con respecto a las tasas de ataque / infección de las nuevas amenazas frente a las amenazas conocidas, aunque espero que las amenazas antiguas y conocidas probablemente aún superen a las nuevas amenazas simplemente debido al volumen.

PREGUNTA : ¿Hay algún valor agregado al ejecutarse con un archivo de hosts de gran tamaño (generalmente estático) cuando se usa con las soluciones modernas de antivirus y firewall de nivel de consumidor? ¿Es una capa redundante? Admito que A / V es generalmente una caja negra para mí, por lo que no estoy seguro de qué tipo de firmas buscan sus motores, y si los nombres de host son parte de esas firmas.

Aunque parece una capa de seguridad adicional gratuita, existen "costos" al actualizar manualmente el archivo, y el hecho de que desactivo el almacenamiento en caché de DNS para evitar que todo el archivo se cuelgue de la máquina cada vez que se vuelve a cargar. ser frecuente). (En cambio, he migrado el almacenamiento en caché de DNS al enrutador, lo que no me ayuda cuando uso mi computadora portátil en otro lugar).

    
pregunta logicalscope 16.12.2011 - 18:02
fuente

3 respuestas

7

Las listas negras de archivos de hosts solo proporcionan protección al asignar dominios específicos fuera de sus objetivos previstos (generalmente a locales). Esto no bloquea las IP o la transferencia de datos, solo la búsqueda de la IP. Yo diría que el valor agregado es mínimo, especialmente si está utilizando bloqueo local como AdBlock o Ghostery. Si desea incluir en la lista negra las "amenazas conocidas", use un software de bloqueo de IP con una lista bien mantenida. Si desea estar totalmente seguro, desconecte el cable Ethernet.

Como ha señalado, provoca una desaceleración importante con las búsquedas de DNS (analiza linealmente el archivo de texto en la falta de memoria caché de DNS). Esto se debe a que el archivo hosts nunca fue diseñado como una lista negra.

editar: Aquí hay un script para usar el Firewall de Windows para bloquear las direcciones IP: enlace

    
respondido por el pdubs 16.12.2011 - 18:24
fuente
2

Si no es así, la lista negra de sitios conocidos elimina el ruido de sus registros, por lo que es más probable que se detecten amenazas reales.

    
respondido por el ddyer 16.12.2011 - 23:43
fuente
2

Digo que sí, hay un valor agregado al usar el archivo hosts. A continuación hay algunos beneficios:

  1. Menos registros para buscar cuando se busca tráfico sospechoso.
  2. La mayoría de los empleados no sabrán qué es el archivo de hosts, por lo que también puede bloquear el tráfico a Facebook, etc. Además, en el servidor de seguridad, pero el archivo host mostrará un error "no se puede mostrar" en lugar de estar bloqueado por el servidor de seguridad. Esto disuade a la mayoría de los usuarios de tratar de encontrar una forma de "evitar" el bloque.
  3. se utiliza menos ancho de banda, ya que bloquea la mayoría de los anuncios (lo que también puede evitar el envenenamiento de los anuncios).

Personalmente, uso esta estructura en un entorno requerido conforme a HIPAA junto con AV en el firewall (Kaspersky) y AV en las máquinas locales (AVG). Elegí deliberadamente 2 programas antivirus diferentes, ya que nunca hay una cura para todos, especialmente para infecciones 0Day, 1Day, etc., por lo que la probabilidad de bloquearlos es mayor.

También los firewalls más decentes tienen algún tipo de filtrado de GEO IP para bloquear todo el tráfico de países específicos. No detendrá todos los ataques, pero disminuyó drásticamente la cantidad de alertas de IDS que recibía a las 3 am, así que soy un fanático del bloqueo de GEO IP.

Para hacer que la implementación sea menos laboriosa, puede copiar el archivo de hosts con una secuencia de comandos de inicio de sesión si se conecta a un controlador de dominio O simplemente escribí un archivo por lotes que ejecuto como:

copy hosts \192.168.1.2\c$\windows\system32\drivers\etc
copy hosts \192.168.1.3\c$\windows\system32\drivers\etc
copy hosts \192.168.1.4\c$\windows\system32\drivers\etc
copy hosts \192.168.1.5\c$\windows\system32\drivers\etc

etc.

y para las cajas viejas de Win2000 / NT que todavía están disponibles, use:

copy hosts \192.168.1.6\c$\winNT\system32\drivers\etc

Simplemente reemplace los IP y verifique que tenga acceso a los recursos compartidos de administración en las máquinas. Esto toma aproximadamente 2 minutos para actualizar cerca de 60 máquinas para mí.

    
respondido por el Brad 17.04.2012 - 01:28
fuente

Lea otras preguntas en las etiquetas