Sono paranoico o i firewall aziendali censurano interi paesi? [chiuso]

Chiuso . Questa domanda deve essere più focalizzata . Al momento non accetta risposte.

Vuoi migliorare questa domanda? Aggiorna la domanda in modo che si concentri su un problema solo modificando questo post .

Chiuso 2 anni fa .

Di recente, nell'ultimo anno, ho notato che sembra sempre più difficile raggiungere determinati tipi di siti, in particolare quelli in nazioni non favorite come l'Iran o la Russia.

Ad esempio, proprio ora ho cercato di raggiungere il sito web del Ministero della Difesa russo ( http://eng.mil.ru/en/index.htm ), un sito che ho legittimi motivi commerciali per visitare, e è scaduto. Ho provato lo stesso sito tramite un proxy europeo e non ho avuto problemi di connessione. Ho quindi provato un tracert e questo è stato il risultato:

La mia interpretazione di questo è che l'IP è bloccato dal firewall dell'azienda. Ho chiesto al nostro dipartimento IT qual è la politica di blocco IP per la rete e mi è stato detto che la politica non è determinata dalla nostra azienda, ma dal fornitore di servizi firewall e che è "segreta e proprietaria" per il fornitore e che ( IT) non aveva alcun controllo su tale politica.

Qual è la storia qui? I venditori di prodotti firewall stanno solo bloccando interi paesi?

Solo per ridacchiare ho deciso di provare diversi paesi per vedere cosa sarebbe successo:

Finland       ok
Poland        ok
Russia        blocked
Ukraine       blocked
Estonia       blocked
Turkey        blocked
Saudi Arabia  blocked
Afghanistan   ok
Iraq          blocked
Georgia       ok
Armenia       blocked
Uzbekistan    ok

Bene, quindi posso visitare siti web in Uzbekistan e Georgia, ma non quelli in Armenia o Ucraina? Chi sta inventando questa logica?

networking security firewall

— Tyler Durden
fonte

Che cosa ha a che fare un sistema di rilevamento delle intrusioni con il filtro dei contenuti? La risposta dei dipartimenti IT è una totale assurdità. Un IDS e un firewall non sono gli stessi

— Ramhound,

Tutto ciò è davvero arbitrario e basato su esigenze idiosincratiche. Ma dirò questo: lavoro negli Stati Uniti e ho lavorato per aziende statunitensi le cui proprietà web non hanno assolutamente alcun valore per nessuno al di fuori degli Stati Uniti ed è stato comunemente richiesto che alcuni filtri a livello di server si verificano per bloccare interi paesi e intervalli IP non a causa della censura, ma piuttosto di esigenze pragmatiche basate sul fatto che il loro sito sarebbe costantemente analizzato - e spesso con infezioni da malware - che può essere rintracciato in determinati paesi o intervalli di IP. Quindi questo è davvero lo stato del moderno mondo di Internet.

— Jake Gould il

Ho implementato personalmente il blocco regionale usando blackholing selettivo al fine di mitigare l'effetto dell'inondazione DDoS quando sapevo con certezza che la grande maggioranza della base di clienti era comunque geograficamente limitata. Molto efficace, ma probabilmente non aiuterà se si disegna l'ira di qualcosa come Mirai

— Dmitri DB,

È una parte standard di un piano di difesa a più livelli da bloccare in quel modo. Ovviamente ha dei limiti, ma fa parte di un piano generale più ampio. Anche alla fine degli anni '90, quando i posti in cui avevo lavorato avevano solo 56k linee di leasing (o occasionalmente il T-1 super veloce!). Ovviamente non lo vedresti per le aziende globali, ma è stato lo standard per un po 'di tempo per le aziende di tipo regionale più piccole.

— Brian Knoblauch,

È piuttosto interessante perché ci sia l'Estonia in quella lista.

— Sarge Borsch,

Risposte:

Ho visto una varietà di fornitori che eseguono il filtro dei contenuti in base al paese di origine. Cina e Russia sono in genere quelle con il filtro attivato per impostazione predefinita o almeno hanno un qualche tipo di avviso impostato. Questo perché spesso sono fonti di attacchi di malware. Non compro la linea secondo cui il reparto IT non ha alcun controllo su di esso. Qualsiasi fornitore degno di nota ti consentirebbe di modificare le impostazioni predefinite sui suoi prodotti.

— Charles Burge
fonte

So per certo che se avrò delle cose migliori da fare che ascoltare un dipendente di livello inferiore esplodere e io sono il BOFH, sputerò un po 'di tecnologia per farli uscire dalla mia faccia in modo che io possa tornare a facendo quello che devo fare

— Dmitri DB

Sì, ti sento sicuramente. Odio dover spiegare le cose agli utenti quando chiedono un motivo per cui qualcosa è il modo in cui è, perché il confine tra annaffiare fino a termini che possano capire vs. parlare giù per loro è incredibilmente sottile.

— Charles Burge,

Questo probabilmente non viene fatto a livello di IDS / IPS, ma piuttosto a livello di firewall (tramite blocco dell'elenco IP, una sorta di meno efficace) o al livello di routing con un metodo noto come blackholing selettivo (fortemente efficace e blocca il percorso da arrivando addirittura al tuo router).

La logica alla base di questo non è chiara - probabilmente perché i paesi che hai elencato sono spesso fonti di attacchi, anche se in realtà non più degli Stati Uniti, e determinati aggressori andrebbero avanti e aggirerebbero comunque in quel caso ... Potrebbe essere che se tu lavorare in un'organizzazione abbastanza grande che - sono paranoici - in qualche modo se stessi sulle minacce da IP provenienti da lì. In entrambi i casi è una specie di misura di sicurezza di stopgap per molti scopi e scopi, e tu non hai nulla di cui essere disturbato su te stesso. Tunnel o proxy out!

— Dmitri DB
fonte

Questa è una strana soluzione, tuttavia: stai sostanzialmente incoraggiando qualcuno a bypassare il firewall quando si suppone che il firewall stia facendo il suo lavoro. Se il firewall non funziona correttamente e non può essere corretto, sembra che sia il momento di lanciarlo.

— oldmud0

Sarebbe bello per lui farlo, ma è abbastanza ovvio se leggi quello che questa persona ha detto che non lavorano in una capacità decisionale per fare un effetto fino alla fine di ciò che hai suggerito, e sembra deve fare il suo lavoro, quindi ...

— Dmitri DB,

La mia rete nel mio ultimo lavoro aveva attivato sia il blocco geografico che il blocco delle applicazioni per impedire l'uso di router di cipolla o VPN, ecc., Tra molti altri servizi vietati. Una delle ragioni è che sì, alcuni paesi ospitano un gran numero di cattivi attori in ambienti meno regolamentati pur non essendo luoghi in cui avremmo mai inviato traffico legittimo, quindi vietarli del tutto ha un effetto positivo sulla sicurezza con quasi un danno per l'usabilità . Puoi inviare per e-mail i tuoi familiari ucraini dal tuo smartphone.

— Todd Wilcox,

"Potrebbe essere che se lavori in un'organizzazione abbastanza grande da essere paranoico in qualche modo sulle minacce da IP provenienti da lì." O potrebbe essere la sicurezza del culto del carico.

— jpmc26,

È perfettamente possibile utilizzare la geolocalizzazione IP per bloccare gli intervalli di indirizzi IP associati a determinati paesi. C'è un sacco di dibattito su quanto sia efficace e certamente non consiglierei di accenderlo ciecamente a nessuno, ma spetta a un'impresa determinare da sola se ha affari legittimi con aziende provenienti da una determinata area e quindi quali sono i rischi di bloccare intervalli di indirizzi associati a quell'area rispetto ai rischi di non bloccare tali indirizzi.

Sebbene il blocco geografico non fermi determinati aggressori, aumenta la complessità dell'attacco alla tua rete da questa posizione (e tieni presente che ciò potrebbe significare membri botnet da quella posizione) e questo potrebbe anche ridurre la quantità di "rumore di fondo" da aggressori casuali e script kiddie, rendendo più facile vedere gli attacchi più determinati.

Questo esempio è tratto da un articolo della Knowledge Base di Sonicwall su come impostare questi tipi di filtri.

In ogni caso, se hai un'azienda che ha bisogno di connettersi a un'azienda in un paese bloccato, non suggerisco di provare a sgattaiolare intorno al firewall come suggerito in altre risposte, ma piuttosto a renderlo un problema di gestione: parla con il tuo manager , inducili a parlare con il responsabile del reparto IT e a chiarire che esiste un requisito aziendale per consentire tale accesso. È altamente improbabile che non ci sia modo di configurare questo tipo di blocchi, e nel caso in cui si verifichino incidenti di sicurezza e vengano rilevati i tuoi tentativi di aggirare i blocchi che fanno parte della politica IT aziendale, sei altamente è probabile che rimanga responsabile della violazione della sicurezza.

— Rob Moir
fonte

D'accordo con quello che dici. Almeno l'IT dovrebbe essere in grado di autorizzare il Ministero della Difesa russo o un altro sito a cui OP deve accedere

— chue x

Posso contare la maggior parte dei megacorpo in cui ho lavorato poiché quel tipo di richiesta è il tipo di cosa che ti fa passare un brutto periodo dalla gestione e potrebbe non accadere mai, e nelle organizzazioni più piccole di essere qualcosa che è più sostenibile. Contiamo solo il tempo in cui hanno bloccato Facebook in una delle aziende più grandi per cui ho lavorato e questo ha portato il management a non controllare nemmeno il profilo Facebook di questo tizio che stava rovinando tutto - era chiaramente molto colpito dall'estasi nella maggior parte delle sue foto pubbliche

— Dmitri DB,

Beh, è una tua decisione @DmitriDB, ovviamente. Non chiederei al mio manager "di sbloccare l'IT x ". Vorrei però dire che, in una nota scritta, "Al fine di realizzare assegnazione foo , ho bisogno di sito di accesso bar che è attualmente bloccata in conformità con la politica aziendale. Come si suggerisce di procedere?". Dopotutto (e mettendo da parte il dibattito sull'efficacia del blocco geografico per ora), l'azienda potrebbe decidere che il rischio di sbloccare un paese è maggiore dei rischi di non svolgere il compito. Il tuo manager viene pagato per prenderne il controllo. Lasciarli.

— Rob Moir,

Ricordo solo di essere stato urlato per aver suggerito cose del genere. Probabilmente perché non ho mai lavorato in un megacorp per anni ormai

— Dmitri DB