Bin ich paranoid oder zensieren Firewalls ganze Länder? [geschlossen]

22

Vor kurzem, in den letzten Jahren oder so, ist mir aufgefallen, dass es immer schwieriger zu werden scheint, bestimmte Arten von Standorten zu erreichen, insbesondere solche in nicht begünstigten Ländern wie dem Iran oder Russland.

Zum Beispiel habe ich gerade versucht, die Website des russischen Verteidigungsministeriums ( http://eng.mil.ru/en/index.htm ) zu erreichen, eine Website, für die ich berechtigte geschäftliche Gründe habe es ist abgelaufen. Ich habe die gleiche Site über einen europäischen Proxy ausprobiert und hatte kein Problem mit der Verbindung. Ich habe dann ein Tracert ausprobiert und dies war das Ergebnis:

Bildbeschreibung hier eingeben

Meiner Interpretation nach wird die IP von der Firewall des Unternehmens blockiert. Ich habe unsere IT - Abteilung nach der IP - Blockierungsrichtlinie für das Netzwerk gefragt und erfahren, dass die Richtlinie nicht von unserem Unternehmen, sondern vom Firewall - Diensteanbieter festgelegt wird und dass sie für den Anbieter "geheim und geschützt" ist und dass sie IT) hatte keine Kontrolle über diese Richtlinie.

Was ist die Geschichte hier? Blockieren Anbieter von Firewall-Produkten nur ganze Länder?

Nur zum Kichern habe ich beschlossen, verschiedene Länder auszuprobieren, um zu sehen, was passieren würde:

Finland       ok
Poland        ok
Russia        blocked
Ukraine       blocked
Estonia       blocked
Turkey        blocked
Saudi Arabia  blocked
Afghanistan   ok
Iraq          blocked
Georgia       ok
Armenia       blocked
Uzbekistan    ok

Okay, also kann ich Websites in Usbekistan und Georgien besuchen, aber nicht die in Armenien oder der Ukraine? Wer erfindet diese Logik?

Tyler Durden
quelle
1
Was hat ein Intrusion Detection-System mit der Inhaltsfilterung zu tun? Die Antwort Ihrer IT-Abteilungen ist völliger Unsinn. Ein IDS und eine Firewall sind nicht das Gleiche
Ramhound
7
Dies alles ist wirklich willkürlich und basiert auf besonderen Bedürfnissen. Aber ich sage Folgendes: Ich arbeite in den USA und habe für US-amerikanische Unternehmen gearbeitet, deren Web-Eigenschaften für niemanden außerhalb der USA von Wert sind, und es wurde allgemein verlangt, dass einige Filter auf Serverebene ganze Länder und IP-Bereiche blockieren Nicht aufgrund von Zensur, sondern aufgrund pragmatischer Anforderungen, die auf der Tatsache beruhen, dass ihre Website regelmäßig überprüft wird und häufig Malware-Infektionen aufweist, die auf bestimmte Länder oder IP-Bereiche zurückgeführt werden können. Das ist also wirklich der Stand der modernen Internetwelt.
JakeGould
2
Ich habe selbst regionale Sperren mit selektivem Blackholing implementiert, um die Auswirkungen von DDoS-Überschwemmungen abzuschwächen, obwohl ich sicher war, dass die überwiegende Mehrheit der Kunden geografisch begrenzt war. Sehr effektiv, aber wird wahrscheinlich nicht helfen, wenn Sie den Zorn von etwas wie Mirai ziehen
Dmitri DB
1
Es ist ein Standardbestandteil eines mehrschichtigen Verteidigungsplans, so etwas zu blockieren. Es hat offensichtlich Einschränkungen, ist aber Teil eines größeren Gesamtplans. Sogar in die späten 90er Jahre, als ich an Orten gearbeitet hatte, an denen es nur 56.000 Mietleitungen gab (oder gelegentlich das superschnelle T-1!). Sie werden es wahrscheinlich nicht für globale Unternehmen sehen, aber es ist seit einiger Zeit Standard für kleinere, regionale Unternehmen.
Brian Knoblauch
2
Es ist ziemlich interessant, warum Estland auf dieser Liste steht.
Sarge Borsch

Antworten:

17

Ich habe eine Vielzahl von Anbietern gesehen, die Inhaltsfilterung basierend auf dem Herkunftsland durchgeführt haben. In China und Russland ist normalerweise die Filterung standardmäßig aktiviert, oder es ist zumindest eine Art Alarm eingerichtet. Dies liegt daran, dass dies häufig Quellen für Malware-Angriffe sind. Ich kaufe keine Leitung, über die Ihre IT-Abteilung keine Kontrolle hat. Jeder Anbieter, der sein Geld wert ist, kann die Standardeinstellungen für seine Produkte ändern.

Charles Burge
quelle
1
Ich weiß mit Sicherheit, dass wenn ich bessere Dinge zu tun habe, als einem Angestellten zuzuhören, der untergeordnet ist, und ich der BOFH bin, ich sie mit ein bisschen Technik anspucken werde, damit sie aus meinem Gesicht verschwinden, damit ich zurückkehren kann tun, was ich tun muss
Dmitri DB
1
Ja, ich höre dich definitiv. Ich hasse es, Benutzern Dinge erklären zu müssen, wenn sie nach einem Grund fragen, warum etwas so ist, wie es ist, weil die Grenze zwischen dem Verwässern zu Begriffen, die sie verstehen können, und dem Heruntersprechen mit ihnen unglaublich gering ist.
Charles Burge
6

Dies geschieht wahrscheinlich nicht auf der Ebene des IDS / IPS, sondern auf der Firewall-Ebene (Blockierung der IP-Liste, weniger effektiv) oder auf der Routing-Ebene mit einer Methode, die als selektives Blackholing bezeichnet wird (Stark effektiv und blockiert die Route von) sogar überhaupt zu Ihrem Router durchkommen).

Die Gründe dafür sind unklar - wahrscheinlich, weil die von Ihnen aufgelisteten Länder oftmals Angriffsquellen sind, wenn auch nicht mehr als die USA, und entschlossene Angreifer würden in diesem Fall einfach vorgehen und sowieso umgehen ... Könnte das sein, wenn Sie es sind Sie arbeiten in einer Organisation, die groß genug ist - sie sind paranoid -, um sich selbst mit Bedrohungen durch IPs zu befassen, die von dort ausgehen. In beiden Fällen handelt es sich in vielerlei Hinsicht um eine Sicherheitsmaßnahme, und Sie müssen sich keine Sorgen machen. Tunnel oder Proxy raus!

Dmitri DB
quelle
3
Das ist jedoch eine seltsame Lösung - Sie ermutigen grundsätzlich jemanden, die Firewall zu umgehen, wenn die Firewall ihre Aufgabe erfüllen soll. Wenn die Firewall nicht richtig funktioniert und nicht korrigiert werden kann, ist es an der Zeit, sie zu reparieren.
oldmud0
Das wäre großartig für ihn, aber es ist ziemlich offensichtlich, wenn Sie lesen, was diese Person gesagt hat, dass sie nicht in der Lage ist, Entscheidungen zu treffen, um bis zum Ende des von Ihnen vorgeschlagenen Effekts zu wirken, und das hört sich so an Er muss seinen Job machen, also ...
Dmitri DB
1
In meinem Netzwerk waren bei meinem letzten Auftrag sowohl die Geoblockierung als auch die Anwendungsblockierung aktiviert, um die Verwendung von Zwiebelroutern, VPNs usw. unter vielen anderen gesperrten Diensten zu verhindern. Einer der Gründe ist, dass in einigen Ländern zwar eine große Anzahl von schlechten Akteuren in weniger regulierten Umgebungen zu Hause ist, jedoch keine Orte sind, an denen wir jemals legitimen Verkehr senden würden. Ein vollständiges Verbot wirkt sich also positiv auf die Sicherheit aus, was die Benutzerfreundlichkeit fast beeinträchtigt . Sie können Ihren ukrainischen Familienmitgliedern über Ihr Smartphone eine E-Mail senden.
Todd Wilcox
4
"Könnte sein, dass Sie, wenn Sie in einer Organisation arbeiten, die groß genug ist, dass sie selbst in Bezug auf Bedrohungen durch IPs, die von dort ausgehen, paranoid sind." Oder es könnte Frachtkult-Sicherheit sein.
jpmc26
6

Es ist durchaus möglich, IP-Geolokalisierung zu verwenden, um IP-Adressbereiche zu blockieren, die bestimmten Ländern zugeordnet sind. Es wird viel darüber diskutiert, wie effektiv es ist, und ich würde sicherlich nicht vorschlagen, es blindlings an jemanden zu richten, aber es liegt an einem Unternehmen, selbst zu bestimmen, ob es legitime Geschäfte mit Unternehmen aus einem bestimmten Bereich hat oder nicht und daher Wie groß das Risiko ist, mit diesem Bereich verbundene Adressbereiche zu blockieren, ist das Risiko, diese Adressen nicht zu blockieren.

Geoblocking kann zwar entschlossene Angreifer nicht stoppen, erhöht jedoch die Komplexität des Angriffs auf Ihr Netzwerk von diesem Standort aus (und bedenken Sie, dass dies möglicherweise Botnet-Mitglieder von diesem Standort aus bedeuten kann) Gelegenheitsangreifer und Script-Kiddies erleichtern das Erkennen zielgerichteterer Angriffe.

Bildbeschreibung hier eingebenDieses Beispiel stammt aus einem Sonicwall Knowledge Base-Artikel zum Einrichten solcher Filter.

In jedem Fall, wenn Sie ein Unternehmen haben, das eine Verbindung zu einem Unternehmen in einem gesperrten Land herstellen muss, schlage ich nicht vor, die Firewall zu umgehen, wie in anderen Antworten vorgeschlagen, sondern dies zu einem Verwaltungsproblem zu machen: Sprechen Sie mit Ihrem Manager Lassen Sie sie mit dem IT-Abteilungsleiter sprechen und verdeutlichen Sie, dass es eine geschäftliche Anforderung gibt, einen solchen Zugriff zuzulassen. Es ist sehr unwahrscheinlich, dass es keine Möglichkeit gibt, diese Art von Blöcken zu konfigurieren, und wenn die Wahrscheinlichkeit gering ist, dass es zu einem Sicherheitsvorfall kommt und Sie versuchen, Blöcke zu umgehen, die Teil der Unternehmens-IT-Richtlinie sind, werden Sie in hohem Maße erkannt Wahrscheinlich bleibt die Schuld für die Sicherheitsverletzung.

Rob Moir
quelle
1
Stimmte dem zu, was du sagst. Zumindest sollte es der Lage sein, die weiße Liste der russische Verteidigungsministerium oder einer anderen Stelle , dass OP benötigt Zugriff auf
chue x
Ich kann die meisten Megakorps, in denen ich gearbeitet habe, als solche Anfragen bezeichnen, die Ihnen vom Management Schwierigkeiten bereiten und die möglicherweise nie eintreten, und in kleineren Organisationen als etwas, das haltbarer ist. Zählen wir nur die Zeit, in der sie Facebook bei einem der größeren Unternehmen blockierten, für das ich arbeitete, und es führte dazu, dass das Management nicht einmal das Facebook-Profil dieses Typen überprüfte, der alles vermasselte
Dmitri DB
Nun, es ist offensichtlich Ihre Entscheidung, @DmitriDB. Ich würde nicht verlangen, dass mein Manager "die IT dazu bringt, x freizugeben ". Ich würde jedoch sagen, in einem schriftlichen Vermerk : „Um Zuordnung zu erreichen foo , muss ich Zugangsstelle Bar , die derzeit in Übereinstimmung mit der Unternehmenspolitik blockiert wird. Wie kann man schlagen wir vorgehen?“. Schließlich (und abgesehen von der Debatte über die Wirksamkeit von Geoblocking) könnte das Unternehmen durchaus entscheiden, dass das Risiko, ein Land zu entsperren, größer ist als das Risiko, die Aufgabe nicht zu erledigen. Ihr Manager wird dafür bezahlt, dass er sich darum kümmert. Lass sie.
Rob Moir
1
Ich erinnere mich nur, dass ich angeschrien wurde, weil ich solche Dinge vorgeschlagen hatte. Wahrscheinlich, warum ich seit Jahren nicht mehr in einem Megacorp gearbeitet habe
Dmitri DB