Bin ich paranoid oder zensieren Firewalls ganze Länder? [geschlossen]

Geschlossen . Diese Frage muss gezielter gestellt werden . Derzeit werden keine Antworten akzeptiert.

Möchten Sie diese Frage verbessern? Aktualisieren Sie die Frage so, dass sie sich nur auf ein Problem konzentriert, indem Sie diesen Beitrag bearbeiten .

Geschlossen vor 2 Jahren .

Vor kurzem, in den letzten Jahren oder so, ist mir aufgefallen, dass es immer schwieriger zu werden scheint, bestimmte Arten von Standorten zu erreichen, insbesondere solche in nicht begünstigten Ländern wie dem Iran oder Russland.

Zum Beispiel habe ich gerade versucht, die Website des russischen Verteidigungsministeriums ( http://eng.mil.ru/en/index.htm ) zu erreichen, eine Website, für die ich berechtigte geschäftliche Gründe habe es ist abgelaufen. Ich habe die gleiche Site über einen europäischen Proxy ausprobiert und hatte kein Problem mit der Verbindung. Ich habe dann ein Tracert ausprobiert und dies war das Ergebnis:

Meiner Interpretation nach wird die IP von der Firewall des Unternehmens blockiert. Ich habe unsere IT - Abteilung nach der IP - Blockierungsrichtlinie für das Netzwerk gefragt und erfahren, dass die Richtlinie nicht von unserem Unternehmen, sondern vom Firewall - Diensteanbieter festgelegt wird und dass sie für den Anbieter "geheim und geschützt" ist und dass sie IT) hatte keine Kontrolle über diese Richtlinie.

Was ist die Geschichte hier? Blockieren Anbieter von Firewall-Produkten nur ganze Länder?

Nur zum Kichern habe ich beschlossen, verschiedene Länder auszuprobieren, um zu sehen, was passieren würde:

Finland       ok
Poland        ok
Russia        blocked
Ukraine       blocked
Estonia       blocked
Turkey        blocked
Saudi Arabia  blocked
Afghanistan   ok
Iraq          blocked
Georgia       ok
Armenia       blocked
Uzbekistan    ok

Okay, also kann ich Websites in Usbekistan und Georgien besuchen, aber nicht die in Armenien oder der Ukraine? Wer erfindet diese Logik?

networking security firewall

— Tyler Durden
quelle

Was hat ein Intrusion Detection-System mit der Inhaltsfilterung zu tun? Die Antwort Ihrer IT-Abteilungen ist völliger Unsinn. Ein IDS und eine Firewall sind nicht das Gleiche

— Ramhound

Dies alles ist wirklich willkürlich und basiert auf besonderen Bedürfnissen. Aber ich sage Folgendes: Ich arbeite in den USA und habe für US-amerikanische Unternehmen gearbeitet, deren Web-Eigenschaften für niemanden außerhalb der USA von Wert sind, und es wurde allgemein verlangt, dass einige Filter auf Serverebene ganze Länder und IP-Bereiche blockieren Nicht aufgrund von Zensur, sondern aufgrund pragmatischer Anforderungen, die auf der Tatsache beruhen, dass ihre Website regelmäßig überprüft wird und häufig Malware-Infektionen aufweist, die auf bestimmte Länder oder IP-Bereiche zurückgeführt werden können. Das ist also wirklich der Stand der modernen Internetwelt.

— JakeGould

Ich habe selbst regionale Sperren mit selektivem Blackholing implementiert, um die Auswirkungen von DDoS-Überschwemmungen abzuschwächen, obwohl ich sicher war, dass die überwiegende Mehrheit der Kunden geografisch begrenzt war. Sehr effektiv, aber wird wahrscheinlich nicht helfen, wenn Sie den Zorn von etwas wie Mirai ziehen

— Dmitri DB

Es ist ein Standardbestandteil eines mehrschichtigen Verteidigungsplans, so etwas zu blockieren. Es hat offensichtlich Einschränkungen, ist aber Teil eines größeren Gesamtplans. Sogar in die späten 90er Jahre, als ich an Orten gearbeitet hatte, an denen es nur 56.000 Mietleitungen gab (oder gelegentlich das superschnelle T-1!). Sie werden es wahrscheinlich nicht für globale Unternehmen sehen, aber es ist seit einiger Zeit Standard für kleinere, regionale Unternehmen.

— Brian Knoblauch

Es ist ziemlich interessant, warum Estland auf dieser Liste steht.

— Sarge Borsch

Antworten:

Ich habe eine Vielzahl von Anbietern gesehen, die Inhaltsfilterung basierend auf dem Herkunftsland durchgeführt haben. In China und Russland ist normalerweise die Filterung standardmäßig aktiviert, oder es ist zumindest eine Art Alarm eingerichtet. Dies liegt daran, dass dies häufig Quellen für Malware-Angriffe sind. Ich kaufe keine Leitung, über die Ihre IT-Abteilung keine Kontrolle hat. Jeder Anbieter, der sein Geld wert ist, kann die Standardeinstellungen für seine Produkte ändern.

— Charles Burge
quelle

Ich weiß mit Sicherheit, dass wenn ich bessere Dinge zu tun habe, als einem Angestellten zuzuhören, der untergeordnet ist, und ich der BOFH bin, ich sie mit ein bisschen Technik anspucken werde, damit sie aus meinem Gesicht verschwinden, damit ich zurückkehren kann tun, was ich tun muss

— Dmitri DB

Ja, ich höre dich definitiv. Ich hasse es, Benutzern Dinge erklären zu müssen, wenn sie nach einem Grund fragen, warum etwas so ist, wie es ist, weil die Grenze zwischen dem Verwässern zu Begriffen, die sie verstehen können, und dem Heruntersprechen mit ihnen unglaublich gering ist.

— Charles Burge

Dies geschieht wahrscheinlich nicht auf der Ebene des IDS / IPS, sondern auf der Firewall-Ebene (Blockierung der IP-Liste, weniger effektiv) oder auf der Routing-Ebene mit einer Methode, die als selektives Blackholing bezeichnet wird (Stark effektiv und blockiert die Route von) sogar überhaupt zu Ihrem Router durchkommen).

Die Gründe dafür sind unklar - wahrscheinlich, weil die von Ihnen aufgelisteten Länder oftmals Angriffsquellen sind, wenn auch nicht mehr als die USA, und entschlossene Angreifer würden in diesem Fall einfach vorgehen und sowieso umgehen ... Könnte das sein, wenn Sie es sind Sie arbeiten in einer Organisation, die groß genug ist - sie sind paranoid -, um sich selbst mit Bedrohungen durch IPs zu befassen, die von dort ausgehen. In beiden Fällen handelt es sich in vielerlei Hinsicht um eine Sicherheitsmaßnahme, und Sie müssen sich keine Sorgen machen. Tunnel oder Proxy raus!

— Dmitri DB
quelle

Das ist jedoch eine seltsame Lösung - Sie ermutigen grundsätzlich jemanden, die Firewall zu umgehen, wenn die Firewall ihre Aufgabe erfüllen soll. Wenn die Firewall nicht richtig funktioniert und nicht korrigiert werden kann, ist es an der Zeit, sie zu reparieren.

— oldmud0

Das wäre großartig für ihn, aber es ist ziemlich offensichtlich, wenn Sie lesen, was diese Person gesagt hat, dass sie nicht in der Lage ist, Entscheidungen zu treffen, um bis zum Ende des von Ihnen vorgeschlagenen Effekts zu wirken, und das hört sich so an Er muss seinen Job machen, also ...

— Dmitri DB

In meinem Netzwerk waren bei meinem letzten Auftrag sowohl die Geoblockierung als auch die Anwendungsblockierung aktiviert, um die Verwendung von Zwiebelroutern, VPNs usw. unter vielen anderen gesperrten Diensten zu verhindern. Einer der Gründe ist, dass in einigen Ländern zwar eine große Anzahl von schlechten Akteuren in weniger regulierten Umgebungen zu Hause ist, jedoch keine Orte sind, an denen wir jemals legitimen Verkehr senden würden. Ein vollständiges Verbot wirkt sich also positiv auf die Sicherheit aus, was die Benutzerfreundlichkeit fast beeinträchtigt . Sie können Ihren ukrainischen Familienmitgliedern über Ihr Smartphone eine E-Mail senden.

— Todd Wilcox

"Könnte sein, dass Sie, wenn Sie in einer Organisation arbeiten, die groß genug ist, dass sie selbst in Bezug auf Bedrohungen durch IPs, die von dort ausgehen, paranoid sind." Oder es könnte Frachtkult-Sicherheit sein.

— jpmc26

Es ist durchaus möglich, IP-Geolokalisierung zu verwenden, um IP-Adressbereiche zu blockieren, die bestimmten Ländern zugeordnet sind. Es wird viel darüber diskutiert, wie effektiv es ist, und ich würde sicherlich nicht vorschlagen, es blindlings an jemanden zu richten, aber es liegt an einem Unternehmen, selbst zu bestimmen, ob es legitime Geschäfte mit Unternehmen aus einem bestimmten Bereich hat oder nicht und daher Wie groß das Risiko ist, mit diesem Bereich verbundene Adressbereiche zu blockieren, ist das Risiko, diese Adressen nicht zu blockieren.

Geoblocking kann zwar entschlossene Angreifer nicht stoppen, erhöht jedoch die Komplexität des Angriffs auf Ihr Netzwerk von diesem Standort aus (und bedenken Sie, dass dies möglicherweise Botnet-Mitglieder von diesem Standort aus bedeuten kann) Gelegenheitsangreifer und Script-Kiddies erleichtern das Erkennen zielgerichteterer Angriffe.

Dieses Beispiel stammt aus einem Sonicwall Knowledge Base-Artikel zum Einrichten solcher Filter.

In jedem Fall, wenn Sie ein Unternehmen haben, das eine Verbindung zu einem Unternehmen in einem gesperrten Land herstellen muss, schlage ich nicht vor, die Firewall zu umgehen, wie in anderen Antworten vorgeschlagen, sondern dies zu einem Verwaltungsproblem zu machen: Sprechen Sie mit Ihrem Manager Lassen Sie sie mit dem IT-Abteilungsleiter sprechen und verdeutlichen Sie, dass es eine geschäftliche Anforderung gibt, einen solchen Zugriff zuzulassen. Es ist sehr unwahrscheinlich, dass es keine Möglichkeit gibt, diese Art von Blöcken zu konfigurieren, und wenn die Wahrscheinlichkeit gering ist, dass es zu einem Sicherheitsvorfall kommt und Sie versuchen, Blöcke zu umgehen, die Teil der Unternehmens-IT-Richtlinie sind, werden Sie in hohem Maße erkannt Wahrscheinlich bleibt die Schuld für die Sicherheitsverletzung.

— Rob Moir
quelle

Stimmte dem zu, was du sagst. Zumindest sollte es der Lage sein, die weiße Liste der russische Verteidigungsministerium oder einer anderen Stelle , dass OP benötigt Zugriff auf

— chue x

Ich kann die meisten Megakorps, in denen ich gearbeitet habe, als solche Anfragen bezeichnen, die Ihnen vom Management Schwierigkeiten bereiten und die möglicherweise nie eintreten, und in kleineren Organisationen als etwas, das haltbarer ist. Zählen wir nur die Zeit, in der sie Facebook bei einem der größeren Unternehmen blockierten, für das ich arbeitete, und es führte dazu, dass das Management nicht einmal das Facebook-Profil dieses Typen überprüfte, der alles vermasselte

— Dmitri DB

Nun, es ist offensichtlich Ihre Entscheidung, @DmitriDB. Ich würde nicht verlangen, dass mein Manager "die IT dazu bringt, x freizugeben ". Ich würde jedoch sagen, in einem schriftlichen Vermerk : „Um Zuordnung zu erreichen foo , muss ich Zugangsstelle Bar , die derzeit in Übereinstimmung mit der Unternehmenspolitik blockiert wird. Wie kann man schlagen wir vorgehen?“. Schließlich (und abgesehen von der Debatte über die Wirksamkeit von Geoblocking) könnte das Unternehmen durchaus entscheiden, dass das Risiko, ein Land zu entsperren, größer ist als das Risiko, die Aufgabe nicht zu erledigen. Ihr Manager wird dafür bezahlt, dass er sich darum kümmert. Lass sie.

— Rob Moir

Ich erinnere mich nur, dass ich angeschrien wurde, weil ich solche Dinge vorgeschlagen hatte. Wahrscheinlich, warum ich seit Jahren nicht mehr in einem Megacorp gearbeitet habe

— Dmitri DB