Tenemos la opción de utilizar una función de bloqueo automático de nuestro firewall para bloquear temporalmente las IP de origen de las sondas de red. Es rápido y automático, y caduca después de un período de tiempo establecido.
Sin embargo, nuestra práctica actual es establecer manualmente un bloqueo permanente para el host de origen (o un bloqueo de red para los países donde no hacemos negocios). Siento que esto es inmanejable e ineficaz.
Aquí está mi razonamiento:
-
Estos no son atacantes sofisticados que nos atacan específicamente, la mayoría de estos son probablemente escaneos aleatorios en busca de fruta de baja pendiente. Un atacante sofisticado no será atrapado por la detección de la sonda del firewall, y tendrá otras IP en otros bloques de red disponibles. Bloquear la fuente de las pruebas obvias solo disuadirá a los curiosos casuales ya los pequeños delincuentes.
-
En el momento en que respondemos manualmente a este evento, el reconocimiento generalmente termina. Estaríamos mejor bloqueando la sonda a medida que se produce, antes de que tengan tiempo de obtener una imagen completa.
-
Muchos de estos serán direcciones IP dinámicas, que luego se podrán reasignar a usuarios legítimos que necesitan acceder a nuestros servicios.
-
Con el tiempo, se volverá cada vez más inmanejable (la lista ya es bastante grande) y presentará un mayor potencial para interrumpir una comunicación legítima.
Hasta la fecha, hemos actuado en la creencia de que es necesario un bloqueo permanente para proteger la red. Siempre podríamos combinar los dos enfoques y agregar un bloqueo permanente después de que se active el bloqueo automático, pero me pregunto si los bloques permanentes lograrán algo más que crear una falsa sensación de seguridad.
¿Cuál se considera la mejor práctica para esta situación, o alguien se preocupa por ofrecer recomendaciones?