我们可以选择使用防火墙的自动阻止功能来临时阻止网络探测的源 IP。它快速且自动,并在设定的时间后过期。
但是,我们目前的做法是手动为源主机设置一个永久块(或在我们不开展业务的国家/地区设置网络块)。我觉得这是无法管理和无效的。
这是我的推理:
这些并不是专门针对我们的老练攻击者,其中大多数可能是随机扫描,以寻找唾手可得的果实。复杂的攻击者不会被防火墙的探测检测捕获,并且会在其他可用的网络块中拥有其他 IP。封锁明显探测的源头,只会震慑那些漫不经心的好奇和小罪犯。
当我们手动响应此事件时,侦察通常已经结束。我们最好在探测发生时阻止它,以免他们有时间获得完整的图像。
其中许多将是动态 IP,稍后可能会重新分配给需要访问我们服务的合法用户。
随着时间的推移,它将变得越来越难以管理(列表已经相当大),并且将构成破坏合法通信的更大潜力。
迄今为止,我们一直坚信永久封锁是保护网络所必需的。我们总是可以结合这两种方法,并在自动块激活后添加一个永久块,但我想知道永久块是否除了创造一种虚假的安全感之外还有什么作用。
对于这种情况,什么被认为是最佳实践,或者有人愿意提供建议吗?
安全,在所有意义上都是一种分层的方法。您拥有的每一种防御措施都是针对可能在您的网络上引发的大量攻击的另一种防御措施。自动或永久禁止正在主动扫描您的 IP 地址很好,它提供了温和的安全级别,因为这些 IP 将无法在不更改 IP 的情况下尝试对您的机器进行更高级的扫描技术。如果运气好的话,他们会认为您完全离线,然后继续前进到下一个目标。通常几天就足够了。
确保您的防火墙配置正确并且在不需要时不响应,这一点很重要。
复杂的攻击者不会被防火墙的探测检测捕获,并且会在其他可用的网络块中拥有其他 IP。
还有其他可用的解决方案,例如入侵检测系统 (IDS),如果他们担心,它们可能能够对抗更复杂的攻击者。
我们最好在探测发生时阻止它,以免他们有时间获得完整的图像。
作为一般规则,您应该丢弃所有与您的入站规则不匹配的流量。如果防火墙随后注意到正在尝试扫描您的网络的流量,则将它们添加到黑名单中(永久或以其他方式)
其中许多将是动态 IP,稍后可能会重新分配给需要访问我们服务的合法用户。随着时间的推移,它将变得越来越难以管理(列表已经相当大),并且将构成破坏合法通信的更大潜力。这就是为什么设置临时块(“x”天)是合理的。
最佳做法是继续阻止(即使是暂时的)任何可疑/恶意 IP 地址。这显然不能是您拥有的唯一安全措施,因此检查您的防火墙规则是否是最新且正确的以及投资 IPS 应该是值得考虑的事情。
希望有帮助。
我相信最好的方法是结合自动+永久阻止最激进的,在一段时间后(例如1个月)你检查阻止某些激进来源的规则是否仍然收到任何点击,如果他们没有你应该简单地清理它们,从而使您的环境易于管理。