it-swarm.com.de

Ist es praktisch, bestimmte GeoIP-Regionen vorab auf die schwarze Liste zu setzen?

In jüngster Zeit war ein Server, mit dem ich verwaltet habe, einigen Angriffen ausgesetzt, ein Risiko, das Sie beim Hosten eines Webservers eingehen.

Die Firewall wurde ordnungsgemäß eingerichtet, um nur Verbindungen über die verwendeten Ports zuzulassen.

Die Sache ist, es gab eine kurze Diskussion über das Blacklisting aller IPs aus bestimmten Ländern, die nicht in den Umfang der Website passen, was bedeutet, dass die Idee besteht, automatisch jemanden aus mehreren Ländern auf die Blacklist zu setzen, aus dem einige Angriffe stammen, Benutzer jedoch nicht.

Ist es praktisch, Benutzer per Geo-IP aus Regionen, die die Website normalerweise nicht nutzen, automatisch auf die schwarze Liste zu setzen?

Wir haben darüber nachgedacht, diese Grenze zumindest für Back-End-Häfen festzulegen, dh nur für die Länder, in denen autorisierte Personen untergebracht sind.

28
Lighty

Es ist im Wesentlichen eine Geschäftsentscheidung und keine Sicherheitsentscheidung. Aus geschäftlicher Sicht besteht das Risiko, dass Sie Benutzer aus diesem Land verlieren oder über VPNs in diesem Land auf die Site zugreifen, und zwar während wirklich Es ist unwahrscheinlich, dass sich IP-Zuweisungen theoretisch ändern können. Wenn Sie diese Blöcke nicht beibehalten und mit den neuesten Zuweisungen aktualisiert haben, können Sie möglicherweise versehentlich legitime Benutzer aus Zielländern blockieren, denen zufällig IPs aus einem Pool zugewiesen wurden zuvor einem gesperrten Land zugewiesen.

Unter Sicherheitsgesichtspunkten kann dies das Angriffsvolumen verringern und die Kosten für einen Angreifer erhöhen, der auf Ihre Site abzielt (da er Maschinen aus bestimmten Ländern und keine Maschinen erhalten muss).

Es ist in der Regel sinnvoll, wenn Sie ein regional beschränktes Produkt haben - denken Sie an Geschäfte, in denen Waren nur innerhalb eines bestimmten Landes versendet werden, an Wettbewerbe, bei denen nur Beiträge von Personen aus einer bestimmten Region akzeptiert werden, oder an Systeme, die in Verbindung mit physischen Unternehmen mit einem Produkt funktionieren begrenzte Reichweite (z. B. Lieferungen an eine nationale Handelskette, sodass ein Benutzer anderswo nicht von dem Service profitieren kann). In diesen Fällen ist es in der Regel einfacher, die Risiken zu rechtfertigen, da Menschen aus anderen Ländern den Dienst auf keinen Fall nutzen können (und es bei Edge-Fällen nicht schwierig wäre, Nachbarländer einzubeziehen - ein portugiesisches Unternehmen könnte dies einschließen Spanische IP-Bereiche, nur für den Fall, sagen wir).

Es ist weniger sinnvoll, wenn Sie ein Informationsgeschäft oder ein digitales Produkt haben. In diesen Fällen kann es vorkommen, dass Sie mehr unerwünschten Datenverkehr erhalten, da Personen, die das Produkt erhalten möchten, auf VPNs in zulässigen Ländern zurückgreifen. Denken Sie an künstliche Einschränkungen wie weltweit gestaffelte Filmveröffentlichungen, monatelang verzögerte Fernsehsendungen, bevor sie außerhalb des Herkunftslandes gezeigt werden, oder Spielveröffentlichungen.

Sie können länderspezifische IP-Listen von Websites wie http://www.ipdeny.com/ipblocks/ erhalten und dann auswählen, ob ein Whitelist-Ansatz verwendet werden soll ("Wir liefern nur nach Süditalien, dies wird auch der Fall sein." Erlaube nur IP-Adressen aus Italien und der Vatikanstadt ") oder einen Blacklist-Ansatz (" Wir sehen viele Angriffe aus Australien, blockieren also alle australischen IP-Adressen ").

(Bitte beachten Sie, dass alle Länder nach dem Zufallsprinzip ausgewählt werden und nicht als Zustimmung oder Ablehnung bestimmter Länder angesehen werden sollten.)

42
Matthew

Das Verbot von IP-Bereichen ist im Allgemeinen keine gute Idee. Sie sollten dies nur tun, wenn ein Bereich für Sie durchweg ein großes Problem darstellt. Hier ist der Grund:

  • Viele Benutzer verwenden VPNs oder anonymisieren Netzwerke wie TOR. Dies bedeutet, dass gültige Benutzer möglicherweise eine IP aus einem Land haben, das Sie nicht als Teil Ihrer Zielgruppe betrachten. Benutzer solcher Netzwerke können Ihren Dienst möglicherweise nicht nutzen, wenn sie Schwierigkeiten beim Herstellen einer Verbindung haben.
  • Es ist schwierig, wenn nicht unmöglich, wirklich nach Standort zu verbieten, wenn es um IP-Adressen geht. In Ihrem Fall ist dies möglicherweise einfacher, da Sie eher ganze Länder und Regionen als spezifischere Orte betrachten.
  • Ein dedizierter Angreifer kann IP-basierte Verbote leicht umgehen. Sie werden nur Skriptkinder stoppen. Solche Belästigungen können mit gut eingerichteten Firewalls behoben werden. belastbare, gut konfigurierte Serversoftware; und sicherer Backend-Code.

Wenn Sie nur bestimmte IP-Bereiche für Backend-/Verwaltungsports zulassen möchten, wählen Sie diese Option. Dies ist absolut eine gute Idee, da Sie bestimmte Erwartungen an Ihre Systemadministratoren haben können (dass sie sich nicht mit einem VPN oder einem anderen anonymisierenden Netzwerk anmelden müssen, dass sie in einem Gebiet mit einem bestimmten IP-Bereich leben usw.), die Sie haben kann nicht von Ihren Kunden haben.

18
Rogue

Verschwenden Sie keine Zeit damit, GeoIP-Blacklists zu pflegen. Es ist eine Knie-Ruck-Reaktion, kurzsichtig und in der Praxis ineffektiv.

Betrachten Sie es als Terrorismus - Timothy McVeigh zündet eine Bombe in Oklahoma. Sie verbannen alle weißen Männer aus Amerika. Stoppt das das Problem wirklich?

Die meisten Angriffe, die ich tatsächlich gesehen habe, stammen von Botnetzen und/oder anonymen Proxys. Selbst wenn Sie China blockieren, werden chinesische Angreifer ihren Datenverkehr nur über kompromittierte Hosts in den USA oder Europa leiten. Block China, Irak, Türkei, Russland ... sie werden es umgehen. Es liegt in der Natur des Internets.

Verhaltensprofile sind als Gegenmaßnahme viel effektiver als dynamische Blacklists. Jemand, der auf einen Dienst hämmert, sollte blockiert werden, unabhängig davon, woher sein Verkehr stammt.

Je nachdem, was Sie schützen möchten, sollten Sie stattdessen eine WAF oder einen Proxy wie Cloudflare verwenden. Sie können problemlos nach Ländern blockieren, wenn dies Ihnen hilft, nachts besser zu schlafen. Der wichtigere Schadensbegrenzer ist jedoch, dass sie als gemeinsame Intelligenz fungieren Repository. (Sie müssen sie nicht speziell verwenden, ich habe gerade gute Erfahrungen mit ihnen gemacht).

Wenn sie Angreifer entdecken, die auf die Website eines anderen hämmern, und dieselben Angreifer versuchen, Ihre zu hämmern, werden sie blockiert oder behindert, weil sie zuvor mit böswilligen Aktivitäten in Verbindung gebracht wurden - nicht aufgrund der Tatsache, dass sie in Guangdong oder Weißrussland leben .

Dies funktioniert nicht mit SSH und dergleichen, daher müssen Sie immer noch etwas wie fail2ban verwenden, um Angriffe auf diese Dienste abzuwehren. Aber für HTTP und dergleichen war es großartig.

8
Ivan