Czy jestem paranoikiem, czy zapory korporacyjne cenzurują całe kraje? [Zamknięte]

22

Niedawno, w ostatnim roku zauważyłem, że coraz trudniej jest dotrzeć do niektórych rodzajów stron, szczególnie tych w krajach o niekorzystnych warunkach gospodarowania, takich jak Iran czy Rosja.

Na przykład, właśnie teraz próbowałem wejść na stronę rosyjskiego Ministerstwa Obrony ( http://eng.mil.ru/en/index.htm ), stronę, którą mam uzasadnione biznesowe powody do odwiedzenia, oraz upłynął limit czasu. Próbowałem tej samej witryny za pośrednictwem europejskiego serwera proxy i nie miałem problemu z połączeniem. Następnie spróbowałem tracert i to był wynik:

wprowadź opis zdjęcia tutaj

Moją interpretacją tego jest to, że adres IP jest blokowany przez zaporę firmową. Zapytałem nasz dział IT, jakie są zasady blokowania adresów IP w sieci i powiedziano mi, że zasady te nie są określane przez naszą firmę, ale przez dostawcę usług zapory ogniowej oraz że są „tajne i zastrzeżone” dla dostawcy i że (co oznacza IT) nie miał kontroli nad tą polityką.

Jaka jest tutaj historia? Czy sprzedawcy produktów zapory blokują całe kraje?

Tylko na chichoty postanowiłem wypróbować różne kraje, aby zobaczyć, co się stanie:

Finland       ok
Poland        ok
Russia        blocked
Ukraine       blocked
Estonia       blocked
Turkey        blocked
Saudi Arabia  blocked
Afghanistan   ok
Iraq          blocked
Georgia       ok
Armenia       blocked
Uzbekistan    ok

W porządku, więc mogę odwiedzać strony internetowe w Uzbekistanie i Gruzji, ale nie w Armenii czy na Ukrainie? Kto wymyśla tę logikę?

Tyler Durden
źródło
1
Co system wykrywania włamań ma wspólnego z filtrowaniem treści? Odpowiedź twoich działów IT jest kompletną bzdurą. IDS i zapora ogniowa nie są tym samym
Ramhound,
7
To wszystko jest naprawdę arbitralne i oparte na specyficznych potrzebach. Ale powiem to: pracuję w Stanach Zjednoczonych i pracowałem dla amerykańskich firm, których właściwości internetowe nie mają żadnej wartości dla osób spoza USA i często wymagane jest, aby niektóre filtrowanie na poziomie serwera blokowało całe kraje i zakresy adresów IP nie ze względu na cenzurę, ale raczej pragmatyczne potrzeby wynikające z faktu, że ich strona będzie konsekwentnie badana - i często ma na sobie infekcje złośliwym oprogramowaniem - które można przypisać do konkretnych krajów lub zakresów adresów IP. Tak naprawdę jest to stan współczesnego Internetu.
JakeGould
2
Sam zaimplementowałem blokowanie regionalne za pomocą selektywnego blackholingu, aby złagodzić efekt zalewania DDoS, kiedy wiedziałem na pewno, że ogromna większość bazy klientów i tak jest ograniczona geograficznie. Bardzo skuteczny, ale prawdopodobnie nie pomoże, jeśli ściągniesz gniew na coś takiego jak mirai
Dmitri DB
1
Blokowanie tego jest standardową częścią warstwowego planu obrony. Ma oczywiście ograniczenia, ale jest częścią większego ogólnego planu. Nawet wracając do późnych lat 90-tych, kiedy miejsca, w których pracowałem, miały tylko 56 tys. Linii najmu (lub czasami superszybki T-1!). Oczywiście nie zobaczysz go w przypadku globalnych firm, ale już od dłuższego czasu jest standardem dla mniejszych firm regionalnych.
Brian Knoblauch
2
To dość interesujące, dlaczego na tej liście jest Estonia.
Sarge Barszcz

Odpowiedzi:

17

Widziałem różnych dostawców filtrujących treści na podstawie kraju pochodzenia. Chiny i Rosja są zwykle tymi, w których filtrowanie jest domyślnie włączone, lub przynajmniej skonfigurowano jakieś alarmy. Wynika to z faktu, że często są to źródła ataków złośliwego oprogramowania. Nie kupuję linii, że twój dział IT nie ma nad nią kontroli. Każdy sprzedawca wart swojej soli pozwoliłby modyfikować domyślne ustawienia swoich produktów.

Charles Burge
źródło
1
Wiem na pewno, że jeśli mam lepsze rzeczy do roboty niż wysłuchanie jakiegoś pracownika niższego szczebla, a ja jestem BOFH, wypluję na nich trochę technobabble, aby sprawili, że zejdą mi z twarzy, żebym mógł wrócić do robienie tego, co muszę
Dmitri DB
1
Tak, zdecydowanie cię słyszę. Nienawidzę konieczności wyjaśnić rzeczy do użytkowników, gdy pytają o powód, dlaczego coś jest tak jest, ponieważ linia między podlewanie go do terminów, które mogą zrozumieć vs. rozmowy w dół do nich jest niewiarygodnie cienki.
Charles Burge
6

Prawdopodobnie nie odbywa się to na poziomie IDS / IPS, ale raczej na poziomie zapory ogniowej (poprzez blokowanie listy adresów IP, coś mniej efektywnego) lub na poziomie routingu za pomocą metody znanej jako selektywne blackholing (bardzo skuteczny i blokuje trasę od nawet w ogóle przechodzi do routera).

Przesłanki stojące za tym są niejasne - prawdopodobnie dlatego, że wymienione kraje są często źródłami ataków, choć tak naprawdę nie więcej niż w USA, a zdeterminowani napastnicy i tak by poszli naprzód i omijali w tym przypadku ... Może tak być, jeśli pracując w wystarczająco dużej organizacji, która - są paranoikami - jakoś sami o zagrożeniach pochodzących z adresów IP pochodzących stąd. Tak czy inaczej, jest to rodzaj ograniczającego zabezpieczenia dla wielu celów i celów, a ty nie masz nic do roboty. Wyjście z tunelu lub proxy!

Dmitri DB
źródło
3
To dziwne rozwiązanie - zasadniczo zachęcasz kogoś do ominięcia zapory ogniowej, gdy zapora ogniowa ma wykonywać swoją pracę. Jeśli zapora ogniowa nie działa poprawnie i nie można jej poprawić, wygląda na to, że nadszedł czas, aby ją odrzucić.
oldmud0
Byłoby świetnie, gdyby to zrobił, ale to całkiem oczywiste, jeśli przeczytasz, co ta osoba powiedziała, że ​​nie działa ona jako osoba decyzyjna, która może wpłynąć na koniec tego, co zasugerowałeś, i brzmi to jak musi wykonywać swoją pracę, więc ...
Dmitri DB
1
Moja sieć w ostatnim zadaniu miała zarówno blokowanie geograficzne, jak i blokowanie aplikacji, aby uniemożliwić korzystanie z routerów cebulowych lub VPN itp. Wśród wielu innych zabronionych usług. Jednym z uzasadnień jest to, że tak, niektóre kraje są domem dla dużej liczby złych aktorów w mniej regulowanych środowiskach, a jednocześnie nie są miejscami, w których kiedykolwiek wysyłalibyśmy legalny ruch, więc ich całkowite zablokowanie ma pozytywny wpływ na bezpieczeństwo z niemal szkodliwą użytecznością . Możesz wysłać wiadomość e-mail do członków ukraińskiej rodziny ze smartfona.
Todd Wilcox,
4
„Może się zdarzyć, że jeśli pracujesz w wystarczająco dużej organizacji, że sami paranoiją się w związku z zagrożeniami pochodzącymi z adresów IP pochodzących z tego miejsca”. Lub może to być ochrona kultu ładunku.
jpmc26,
6

Geo-lokalizacja IP jest całkowicie możliwa do blokowania zakresów adresów IP powiązanych z niektórymi krajami. Dyskutuje się na temat jego skuteczności i na pewno nie sugerowałbym ślepego przekazywania go komukolwiek, ale to firma musi samodzielnie ustalić, czy ma legalne interesy z firmami z określonego obszaru, a zatem jakie są zagrożenia związane z blokowaniem zakresów adresów związanych z tym obszarem w porównaniu z ryzykiem braku blokowania tych adresów.

Chociaż blokowanie geograficzne nie powstrzyma zdeterminowanych atakujących, zwiększa złożoność ataku na twoją sieć z tej lokalizacji (pamiętaj, że może to oznaczać członków botnetu z tej lokalizacji), a to może również zmniejszyć ilość „szumu tła” z przypadkowi napastnicy i skrypty, dzięki czemu łatwiej dostrzec bardziej zdeterminowane ataki.

wprowadź opis zdjęcia tutajTen przykład pochodzi z artykułu bazy wiedzy Sonicwall na temat konfigurowania tego rodzaju filtrów.

W każdym razie, jeśli potrzebujesz firmy, aby połączyć się z firmą w zablokowanym kraju, nie sugeruję próby wymknięcia się z zapory sieciowej, jak sugerowano w innych odpowiedziach, ale raczej uczynienie z tego problemu zarządzania: porozmawiaj ze swoim menedżerem , poproś ich, aby porozmawiali z kierownikiem działu IT i wyjaśnili, że istnieje wymóg biznesowy umożliwiający taki dostęp. Jest bardzo mało prawdopodobne, że nie ma sposobu na skonfigurowanie tego rodzaju bloków, a na przypadek, że istnieje jakiś incydent bezpieczeństwa i twoje próby obejścia bloków, które są częścią zasad IT firmy, są wysoce prawdopodobne prawdopodobnie zostanie oskarżony o naruszenie bezpieczeństwa.

Rob Moir
źródło
1
Zgadzam się z tym, co mówisz. Przynajmniej IT powinno mieć możliwość umieszczenia na białej liście rosyjskiego Ministerstwa Obrony lub innej strony, do której OP potrzebuje dostępu
chue x
Mogę policzyć większość megakorupów, w których pracowałem, jako tego rodzaju prośba, która daje ci trudność w zarządzaniu i może nigdy się nie wydarzyć, aw mniejszych organizacjach jest czymś, co jest bardziej trwałe. Policzmy tylko czas, w którym zablokowali facebooka w jednej z większych firm, dla których pracowałem, co doprowadziło do tego, że zarząd nawet nie sprawdził profilu facebooka tego faceta, który wszystko zepsuł - najwyraźniej był na wysokim poziomie ekstazy w większości swoich publicznych zdjęć
Dmitri DB
Cóż, to oczywiście twoja decyzja @DmitriDB. Nie wymagałbym od mojego menedżera „uzyskania IT, aby odblokował x ”. Powiedziałbym jednak w pisemnej notatce: „Aby wykonać zadanie foo , muszę uzyskać dostęp do paska witryny, który jest obecnie zablokowany zgodnie z polityką korporacyjną. Jak sugerujesz, aby kontynuować?”. W końcu (i odkładając na razie debatę na temat skuteczności blokowania geograficznego) firma może równie dobrze zdecydować, że ryzyko odblokowania kraju jest większe niż ryzyko niewykonania zadania. Twój menadżer otrzymuje wynagrodzenie za to, że się tym zajmuje. Pozwól im.
Rob Moir
1
Pamiętam tylko, jak krzyczałem za sugerowanie takich rzeczy. Prawdopodobnie dlatego od lat nigdy nie pracowałem w megakorpcie
Dmitri DB