Я параноїк, чи корпоративний брандмауер цензуру цілих країн? [зачинено]


22

Останнім часом, за останній рік чи більше, я помітив, що здається, що все важче дістатись до певних видів сайтів, особливо тих, що не впадають у країни, як Іран чи Росія.

Наприклад, зараз я намагався зайти на веб-сайт Міністерства оборони Росії ( http://eng.mil.ru/en/index.htm ), на сайт, на якому я маю законні причини для відвідування, і це вичерпано. Я спробував той самий сайт через європейський проксі і не мав проблем з підключенням. Потім я спробував трасерт, і це був результат:

введіть тут опис зображення

Моя інтерпретація цього полягає в тому, що IP захищається брандмауером компанії. Я запитав наш ІТ-відділ, що таке політика блокування IP для мережі, і мені відповіли, що політика визначається не нашою компанією, а постачальником брандмауера і що вона "секретна і захищена" для провайдера і що вони (мається на увазі IT) не мали контролю над цією політикою.

Про що тут розповідь? Чи постачальники продуктів брандмауера просто ковдру блокують цілі країни?

Тільки для хихикань я вирішив спробувати різні країни, щоб побачити, що буде:

Finland       ok
Poland        ok
Russia        blocked
Ukraine       blocked
Estonia       blocked
Turkey        blocked
Saudi Arabia  blocked
Afghanistan   ok
Iraq          blocked
Georgia       ok
Armenia       blocked
Uzbekistan    ok

Добре, тож я можу відвідувати веб-сайти в Узбекистані та Грузії, але не ті, що знаходяться у Вірменії чи Україні? Хто вигадує цю логіку?


1
Що стосується системи виявлення вторгнень із фільтруванням вмісту? Відповідь ваших відділів ІТ - цілковита дурниця. IDS і брандмауер - це не те саме
Ramhound

7
Це все насправді довільно і ґрунтується на особливостях потреб. Але я скажу так: я працюю в США і робив роботу для американських компаній, веб-властивості яких абсолютно не мають значення для тих, хто не є в США, і зазвичай вимагається, щоб деякі фільтри на рівні сервера траплялися для блокування цілих країн та діапазонів IP не через цензуру, а скоріше прагматичні потреби, засновані на тому, що їх сайт буде постійно перевірятися - і часто матимуть зараження зловмисним програмним забезпеченням - що можна простежити в конкретних країнах чи діапазонах ІС. Тож це справді стан сучасного Інтернет-світу.
JakeGould

2
Я реалізував регіональне блокування, використовуючи селективний blackholing для того, щоб пом’якшити ефект затоплення DDoS, коли точно знав, що переважна більшість клієнтських баз в будь-якому разі географічно обмежена. Дуже ефективно, але, ймовірно, не допоможе, якщо ви намалюєте гнів на кшталт mirai
Дмитро БД

1
Це стандартна частина багатошарового плану оборони, щоб блокувати подібне. Він, очевидно, має обмеження, але є частиною більшого загального плану. Навіть повертаючись до кінця 90-х, коли в місцях, де я працював, було лише 56к лізингових ліній (або інколи супер швидкий Т-1!). Звичайно, ви, швидше за все, не побачите це для глобальних компаній, але це вже досить тривалий час для невеликих компаній регіонального типу.
Брайан Кноблауш

2
Досить цікаво, чому в цьому списку є Естонія.
Sarge Borsch

Відповіді:


17

Я бачив, як різноманітні постачальники фільтрують вміст залежно від країни походження. Китай і Росія, як правило, ті, у кого фільтр увімкнено за замовчуванням, або, принаймні, налаштовано якесь попередження. Це тому, що вони часто є джерелами атак зловмисних програм. Я не купую те, що ваш ІТ-відділ не має над цим контролю. Будь-який постачальник, який коштує його солі, дозволить вам змінити налаштування за замовчуванням на його продуктах.


1
Я точно знаю, що якщо у мене будуть кращі справи, ніж слухати, як якийсь працівник нижчого рівня піде, і я БОФХ, я плюю їм якийсь технобаб, щоб змусити їх вийти з обличчя, щоб я міг повернутися до робити те, що я повинен робити
Дмитро ДБ

1
Так, я тебе точно чую. Я ненавиджу того , щоб пояснити речі для користувачів , коли вони просять причину , чому - то так воно і є, тому що лінія між поливою його до точки , що вони можуть зрозуміти , проти говорити вниз до них неймовірно тонка.
Чарльз Бердж

6

Це, швидше за все, не робиться на рівні IDS / IPS, а скоріше на рівні брандмауера (через блокування списку IP, на зразок менш ефективного) або рівня маршрутизації методом, відомим як селективний чорнолінг (Сильно ефективний і блокує маршрут від навіть взагалі потрапляючи на ваш роутер).

Обґрунтування цього незрозуміле - ймовірно, тому, що перераховані вами країни часто є джерелами атак, хоча насправді не більше, ніж США, і рішучі зловмисники в цьому випадку просто йдуть вперед і обійдуться ... працюючи в достатньо великій організації, яка - вони параноїчні - якось самі по собі загрожують ІС, що надходять звідти. Так чи інакше, це своєрідний захід безпеки для зупинки для багатьох намірів і цілей, і ви нічого не маєте бути в курсі про себе. Тунель або проксі-сервер!


3
Це дивне рішення, проте ви в основному закликаєте когось обійти брандмауер, коли брандмауер повинен виконувати свою роботу. Якщо брандмауер не працює належним чином і його неможливо виправити, звучить так, що настав час його зафіксувати.
oldmud0

Це було б здорово для нього, але це цілком очевидно, якщо ви прочитаєте, що ця людина сказала, що вони не працюють в якості прийняття рішень, щоб зробити ефект до кінця запропонованого вами, і це звучить як йому потрібно робити свою роботу, так що ...
Дмитро БД

1
У моїй мережі на моїй останній роботі було включено як геоблокування, так і блокування додатків, щоб запобігти використанню маршрутизаторів цибулі або VPN тощо, серед багатьох інших заборонених служб. Одне з обґрунтування полягає в тому, що так, у деяких країнах є велика кількість поганих суб'єктів у менш регламентованих умовах, а також не є місцями, куди ми коли-небудь відправлятимемо законний трафік, тому заборона їх цілком позитивно впливає на безпеку з майже шкодою для зручності використання . Ви можете надіслати електронною поштою членам своєї української сім’ї зі свого смартфона.
Тодд Вілкокс

4
"Можливо, якщо ви працюєте в достатньо великій організації, що вони параноїдують себе якось з приводу загроз від IP-адрес, що надходять звідти". Або це може бути вантажний культ безпеки.
jpmc26

6

Цілком можливо використовувати геолокацію IP для блокування діапазонів IP-адрес, пов'язаних з певними країнами. Існує багато дискусій про те, наскільки це ефективно, і я, звичайно, не пропоную сліпо вмикати це комусь, але бізнес повинен сам визначити, чи має він законний бізнес з компаніями, що походять з певної сфери, і тому які ризики є блокуванням діапазонів адрес, пов'язаних із цією областю, порівняно з ризиками не блокування цих адрес.

Хоча геоблокування не зупинить визначених зловмисників, це збільшує складність атаки на вашу мережу з цього місця (і майте на увазі, це може означати членів ботнету з цього місця), і це також може зменшити кількість "фонового шуму" від випадкові зловмисники та сценарії дітлахів, що полегшує розгляд більш рішучих атак.

введіть тут опис зображенняЦей приклад із статті бази знань Sonicwall про те, як налаштувати такі види фільтрів.

У будь-якому випадку, якщо у вас є необхідність підключитися до бізнесу в заблокованій країні, я не пропоную спробувати прокрастися навколо брандмауера, як пропонується в інших відповідях, а скоріше зробити це питання управління: поговоріть зі своїм менеджером , попросіть їх поговорити з менеджером відділу інформаційних технологій та уточнити, що для такого дозволу потрібна бізнес-вимога. Це малоймовірно, що немає способу налаштувати такі типи блоків, і, навряд чи, трапиться якийсь інцидент із безпекою і виявляються ваші спроби обійти блоки, які є частиною корпоративної політики ІТ, ви високо ймовірно, буде залишено провину за порушення безпеки.


1
Погодився з тим, що ти кажеш. Принаймні, ІТ повинні мати можливість дозволити Міноборони Росії чи іншого веб-сайту, до якого ОП потребує доступу
chue

Я можу вважати більшість мегакорпусів, над якими я працював, як такий запит, який є тим, що дає вам важкий час від управління і може ніколи не траплятися, а в менших оргах бути чимось більш придатним. Давайте просто порахуємо час, коли вони заблокували facebook в одній з найбільших компаній, над якою я працював, і це призвело до того, що керівництво навіть не перевіряло фейсбук-профіль цього чувака, який все псував - він був явно високий у екстазі в МОСТІ своїх публічних фото
Дмитро ДБ

Ну, це ваше рішення @DmitriDB, очевидно. Я б не вимагав, щоб мій менеджер "отримав ІТ для розблокування x ". Однак я б сказав у письмовій записці: "Для того, щоб виконати foo завдання , мені потрібно отримати доступ до панелі сайту, яка наразі заблокована відповідно до корпоративної політики. Як ви пропонуєте нам діяти?". Зрештою (і відклавши дискусію щодо ефективності геоблокування на даний момент) бізнес цілком може вирішити, що ризик розблокувати країну більший, ніж ризики не виконати завдання. Ваш менеджер платить, щоб взяти тепло на цьому. Нехай.
Роб Моїр

1
Я просто пам'ятаю, як кричали, що пропонували такі речі. Напевно, чому я ніколи не працював у мегакорпусі років
Дмитро БД
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.