¿Son los bloques temporales suficientes para responder a las sondas de red?

7

Tenemos la opción de utilizar una función de bloqueo automático de nuestro firewall para bloquear temporalmente las IP de origen de las sondas de red. Es rápido y automático, y caduca después de un período de tiempo establecido.

Sin embargo, nuestra práctica actual es establecer manualmente un bloqueo permanente para el host de origen (o un bloqueo de red para los países donde no hacemos negocios). Siento que esto es inmanejable e ineficaz.

Aquí está mi razonamiento:

  1. Estos no son atacantes sofisticados que nos atacan específicamente, la mayoría de estos son probablemente escaneos aleatorios en busca de fruta de baja pendiente. Un atacante sofisticado no será atrapado por la detección de la sonda del firewall, y tendrá otras IP en otros bloques de red disponibles. Bloquear la fuente de las pruebas obvias solo disuadirá a los curiosos casuales ya los pequeños delincuentes.

  2. En el momento en que respondemos manualmente a este evento, el reconocimiento generalmente termina. Estaríamos mejor bloqueando la sonda a medida que se produce, antes de que tengan tiempo de obtener una imagen completa.

  3. Muchos de estos serán direcciones IP dinámicas, que luego se podrán reasignar a usuarios legítimos que necesitan acceder a nuestros servicios.

  4. Con el tiempo, se volverá cada vez más inmanejable (la lista ya es bastante grande) y presentará un mayor potencial para interrumpir una comunicación legítima.

Hasta la fecha, hemos actuado en la creencia de que es necesario un bloqueo permanente para proteger la red. Siempre podríamos combinar los dos enfoques y agregar un bloqueo permanente después de que se active el bloqueo automático, pero me pregunto si los bloques permanentes lograrán algo más que crear una falsa sensación de seguridad.

¿Cuál se considera la mejor práctica para esta situación, o alguien se preocupa por ofrecer recomendaciones?

    
pregunta Ed C 30.01.2013 - 02:40
fuente

2 respuestas

1

La seguridad, en todos los sentidos, es un enfoque en capas. Cada defensa que tienes es una más contra la gran cantidad de ataques que pueden lanzarse a tu red. Prohibir automáticamente o permanentemente las direcciones IP que lo escanean activamente está bien, proporciona un nivel de seguridad moderado en el sentido de que esas IP no podrán intentar técnicas de escaneo más avanzadas contra sus máquinas sin cambiar las IP. Con un poco de suerte, creerán que estás desconectado del todo y simplemente se moverán al siguiente objetivo. Por lo general, un bloque de unos pocos días es más que suficiente.

Es importante que se asegure de que su firewall esté configurado correctamente y no responda cuando no sea necesario.

  

Un atacante sofisticado no será atrapado por la sonda del firewall   detección, y tendrá otras IP en otros netblocks disponibles.

Hay otras soluciones disponibles, como los Sistemas de detección de intrusos (IDS), que pueden ser capaces de combatir a atacantes más sofisticados si son una preocupación.

  

Estaríamos mejor bloqueando la sonda a medida que se produce, antes de que   tener tiempo para obtener una imagen completa.

como regla general, debería eliminar todo el tráfico que no coincida con sus reglas de entrada de todos modos. Si el cortafuegos nota el tráfico que está intentando escanear su red, agréguelos a la lista negra (de forma permanente o no)

  

Muchos de estos serán IP dinámicos, que luego podrían ser   reasignado a usuarios legítimos que necesitan acceder a nuestros servicios. Terminado   tiempo, se volverá cada vez más inmanejable (la lista ya está   bastante grande), y presentará un mayor potencial para interrumpir legítimos   comunicación.   Esta es la razón por la cual es razonable tener los bloques temporales (para 'x' número de días) en su lugar.

Las mejores prácticas son seguir bloqueando (aunque sea temporalmente) cualquier dirección IP sospechosa / hostil. Obviamente, esto no puede ser la única seguridad que tiene, por lo que comprobar que las reglas de su firewall estén actualizadas y sean correctas, así como invertir en un IPS debería ser algo en lo que valga la pena pensar.

Espero que ayude.

    
respondido por el NULLZ 30.01.2013 - 02:59
fuente
0

Creo que el mejor enfoque es combinar el bloqueo automático + permanente para los más agresivos, después de un período de tiempo (1 mes, por ejemplo), comprueba si las reglas que bloquean cierto origen agresivo siguen recibiendo algún golpe, si no lo hacen. No debería simplemente limpiarlos, por lo tanto, mantener un entorno manejable.

    
respondido por el drak 21.06.2013 - 06:39
fuente

Lea otras preguntas en las etiquetas