web-dev-qa-db-ja.com

特定のGeoIPリージョンを事前にブラックリストに登録することは現実的ですか?

最近の出来事では、私が管理してきたサーバーがいくつかの攻撃にさらされています。これは、Webサーバーをホストする際のリスクです。

ファイアウォールは、使用されているポートを介した接続のみを許可するように適切に設定されています。

問題は、Webサイトの範囲に収まらない特定の国のすべてのIPをブラックリストに登録することについて簡単な議論があったことです。つまり、一部の攻撃の発信元であるいくつかの国のユーザーを自動的にブラックリストに登録することですが、ユーザーはそうではありません。

通常はWebサイトを使用しない地域からGeo-IPでユーザーを自動ブラックリストに登録することは現実的ですか?

私たちは、少なくともバックエンドポートにこの制限を設けることを考えてきました。つまり、許可された人々が住む国だけが通過を許可されます。

firewallswebserverapacheipgeolocation
28
Lighty

これは、本質的にセキュリティ上の決定ではなく、ビジネス上の決定です。ビジネスの観点からのリスクは、その国のユーザー、またはその国にあるVPNからサイトにアクセスしているユーザーを失うことであり、その間本当に可能性は低いですが、理論的にはIP割り当てが変更される可能性があります。つまり、これらのブロックを維持し、最新の割り当てで更新し続けなかった場合、たまたまプールからIPを与えられたターゲット国の正当なユーザーを誤ってブロックする可能性があります以前にブロックされた国に割り当てられていました。

セキュリティの観点からは、攻撃の量を減らし、攻撃者がサイトを標的にするためのコストを増加させる可能性があります(マシンではなく特定の国からマシンを入手する必要があるため)。

地域的に制限された製品がある場合に意味をなす傾向があります。商品が特定の国でのみ出荷されるショップ、特定の地域の人々からのエントリーのみを受け入れるコンテスト、または物理的なビジネスと連携して機能するシステムを考えてください。限られた範囲(たとえば、全国のチェーン店への配達なので、他の場所にいるユーザーがサービスの恩恵を受ける方法はありません)。これらの場合、他の国の人々がサービスを使用する方法がないため、リスクを正当化する方が簡単になる傾向があります(エッジケースの場合に隣接国を含めることは難しくありません-ポルトガルのビジネスにはスペイン語のIP範囲、念のために言っておきます)。

あなたが情報ビジネスやデジタル製品を持っているときはあまり意味がありません。これらの場合、製品を入手したい人が許可された国のVPNに頼るので、最終的にmoreの不要なトラフィックが発生する可能性があります。世界中で映画のリリースがずらされたり、出身国の外で上映されるまでに何ヶ月も遅れるテレビ番組やゲームのリリースなど、人為的な制限を考えてください。

http://www.ipdeny.com/ipblocks/ などのサイトから国固有のIPリストを取得し、ホワイトリストアプローチを使用するかどうかを選択できます(「イタリア南部のみに配信するため、イタリア語とバチカン市国のIPアドレスのみ)またはブラックリストアプローチのみを許可します(「オーストラリアからの攻撃が多いため、すべてのオーストラリアのIPアドレスをブロックします」)。

(すべての国がランダムに選択されているため、特定の国の承認または不承認と見なしてはいけません。)

42
Matthew

IPの範囲を禁止することは、一般に良い考えではありません。範囲が常に大きな問題である場合にのみ、これを行う必要があります。理由は次のとおりです。

  • 多くの人々はVPNやTORなどの匿名化ネットワークを使用しています。つまり、有効なユーザーはターゲットオーディエンスの一部とは見なしていない国のIPを持っているように見える可能性があります。このようなネットワークのユーザーは、接続に問題がある場合、サービスを使用できない場合があります。
  • IPアドレスについて話すとき、場所によって本当に禁止することは不可能ではないにしても困難です。あなたのケースでは、より具体的な場所ではなく国や地域全体を見ているので、より簡単かもしれません。
  • 専用の攻撃者は、IPベースの禁止を簡単に回避できます。スクリプトキディだけを停止します。このような煩わしさは、適切に設定されたファイアウォールを使用して対処できます。復元力のある、適切に構成されたサーバーソフトウェア。安全なバックエンドコード。

バックエンド/管理ポートで特定のIP範囲のみを許可する場合については、許可してください。システム管理者に特定の期待を持たせることができるため(VPNまたは他の匿名化ネットワークでログインする必要がないこと、特定のIP範囲のエリアに住んでいることなど)、これは絶対に良いアイデアです。あなたの顧客を持つことはできません。

18
Rogue

GeoIPブラックリストを維持するために時間を無駄にしないでください。これはひどい反応であり、近視眼的であり、実際には効果がありません。

テロのように考えてください。ティモシーマクベイはオクラホマ州の爆弾を爆発させます。あなたはアメリカ人の白人全員を禁止します。それで本当に問題はなくなりますか?

私が見た実際の攻撃の大半は、ボットネットや匿名プロキシからのものです。したがって、中国をブロックしたとしても、中国の攻撃者は米国またはヨーロッパの侵害されたホストを経由してトラフィックをルーティングするだけです。中国、イラク、トルコ、ロシアをブロック...彼らはそれを迂回します。それこそがインターネットの本質です。

行動プロファイリングは、動的ブラックリストよりも対策としてはるかに効果的です。トラフィックの発信元に関係なく、サービスを操作しているユーザーはブロックする必要があります。

代わりに、保護しようとしているものに応じて、WAFまたはCloudflareのようなプロキシの使用を検討してください。夜によく眠れるのであれば、国ごとに簡単にブロックできますが、より重要な緩和策は、共有インテリジェンスとして機能することです。リポジトリ。 (特にそれらを使用する必要はありません、私はちょうどそれらで良い経験をしました)。

他のユーザーのサイトを攻撃する攻撃者を検出し、それらの同じ攻撃者があなたのサイトを攻撃しようとする場合、それらは広東省やベラルーシに住んでいるという事実ではなく、以前に悪意のある活動に関連付けられていたという事実によってブロックまたは妨害されます。

これはSSHなどでは機能しないため、これらのサービスへの攻撃を阻止するには、fail2banなどを使用する必要があります。しかし、HTTPなどの場合、それは素晴らしいことです。

8
Ivan