Niedawno, w ostatnim roku zauważyłem, że coraz trudniej jest dotrzeć do niektórych rodzajów stron, szczególnie tych w krajach o niekorzystnych warunkach gospodarowania, takich jak Iran czy Rosja.
Na przykład, właśnie teraz próbowałem wejść na stronę rosyjskiego Ministerstwa Obrony ( http://eng.mil.ru/en/index.htm ), stronę, którą mam uzasadnione biznesowe powody do odwiedzenia, oraz upłynął limit czasu. Próbowałem tej samej witryny za pośrednictwem europejskiego serwera proxy i nie miałem problemu z połączeniem. Następnie spróbowałem tracert i to był wynik:
Moją interpretacją tego jest to, że adres IP jest blokowany przez zaporę firmową. Zapytałem nasz dział IT, jakie są zasady blokowania adresów IP w sieci i powiedziano mi, że zasady te nie są określane przez naszą firmę, ale przez dostawcę usług zapory ogniowej oraz że są „tajne i zastrzeżone” dla dostawcy i że (co oznacza IT) nie miał kontroli nad tą polityką.
Jaka jest tutaj historia? Czy sprzedawcy produktów zapory blokują całe kraje?
Tylko na chichoty postanowiłem wypróbować różne kraje, aby zobaczyć, co się stanie:
Finland ok
Poland ok
Russia blocked
Ukraine blocked
Estonia blocked
Turkey blocked
Saudi Arabia blocked
Afghanistan ok
Iraq blocked
Georgia ok
Armenia blocked
Uzbekistan ok
W porządku, więc mogę odwiedzać strony internetowe w Uzbekistanie i Gruzji, ale nie w Armenii czy na Ukrainie? Kto wymyśla tę logikę?
źródło
Odpowiedzi:
Widziałem różnych dostawców filtrujących treści na podstawie kraju pochodzenia. Chiny i Rosja są zwykle tymi, w których filtrowanie jest domyślnie włączone, lub przynajmniej skonfigurowano jakieś alarmy. Wynika to z faktu, że często są to źródła ataków złośliwego oprogramowania. Nie kupuję linii, że twój dział IT nie ma nad nią kontroli. Każdy sprzedawca wart swojej soli pozwoliłby modyfikować domyślne ustawienia swoich produktów.
źródło
Prawdopodobnie nie odbywa się to na poziomie IDS / IPS, ale raczej na poziomie zapory ogniowej (poprzez blokowanie listy adresów IP, coś mniej efektywnego) lub na poziomie routingu za pomocą metody znanej jako selektywne blackholing (bardzo skuteczny i blokuje trasę od nawet w ogóle przechodzi do routera).
Przesłanki stojące za tym są niejasne - prawdopodobnie dlatego, że wymienione kraje są często źródłami ataków, choć tak naprawdę nie więcej niż w USA, a zdeterminowani napastnicy i tak by poszli naprzód i omijali w tym przypadku ... Może tak być, jeśli pracując w wystarczająco dużej organizacji, która - są paranoikami - jakoś sami o zagrożeniach pochodzących z adresów IP pochodzących stąd. Tak czy inaczej, jest to rodzaj ograniczającego zabezpieczenia dla wielu celów i celów, a ty nie masz nic do roboty. Wyjście z tunelu lub proxy!
źródło
Geo-lokalizacja IP jest całkowicie możliwa do blokowania zakresów adresów IP powiązanych z niektórymi krajami. Dyskutuje się na temat jego skuteczności i na pewno nie sugerowałbym ślepego przekazywania go komukolwiek, ale to firma musi samodzielnie ustalić, czy ma legalne interesy z firmami z określonego obszaru, a zatem jakie są zagrożenia związane z blokowaniem zakresów adresów związanych z tym obszarem w porównaniu z ryzykiem braku blokowania tych adresów.
Chociaż blokowanie geograficzne nie powstrzyma zdeterminowanych atakujących, zwiększa złożoność ataku na twoją sieć z tej lokalizacji (pamiętaj, że może to oznaczać członków botnetu z tej lokalizacji), a to może również zmniejszyć ilość „szumu tła” z przypadkowi napastnicy i skrypty, dzięki czemu łatwiej dostrzec bardziej zdeterminowane ataki.
Ten przykład pochodzi z artykułu bazy wiedzy Sonicwall na temat konfigurowania tego rodzaju filtrów.
W każdym razie, jeśli potrzebujesz firmy, aby połączyć się z firmą w zablokowanym kraju, nie sugeruję próby wymknięcia się z zapory sieciowej, jak sugerowano w innych odpowiedziach, ale raczej uczynienie z tego problemu zarządzania: porozmawiaj ze swoim menedżerem , poproś ich, aby porozmawiali z kierownikiem działu IT i wyjaśnili, że istnieje wymóg biznesowy umożliwiający taki dostęp. Jest bardzo mało prawdopodobne, że nie ma sposobu na skonfigurowanie tego rodzaju bloków, a na przypadek, że istnieje jakiś incydent bezpieczeństwa i twoje próby obejścia bloków, które są częścią zasad IT firmy, są wysoce prawdopodobne prawdopodobnie zostanie oskarżony o naruszenie bezpieczeństwa.
źródło