Sou paranóico ou os firewalls corporativos estão censurando países inteiros? [fechadas]

Fechado . Esta questão precisa ser mais focada . No momento, não está aceitando respostas.

Deseja melhorar esta pergunta? Atualize a pergunta para que ela se concentre apenas em um problema editando esta postagem .

Fechado há 2 anos .

Recentemente, no último ano, mais ou menos, notei que parece cada vez mais difícil alcançar certos tipos de sites, especialmente aqueles em países não favorecidos como o Irã ou a Rússia.

Por exemplo, agora eu tentei acessar o site do Ministério da Defesa da Rússia ( http://eng.mil.ru/en/index.htm ), um site em que tenho razões legítimas relacionadas à empresa para visitar e expirou. Tentei o mesmo site por meio de um proxy europeu e não tive problemas para conectar. Eu tentei um tracert e este foi o resultado:

Minha interpretação disso é que o IP está sendo bloqueado pelo firewall da empresa. Perguntei ao nosso departamento de TI qual é a política de bloqueio de IP para a rede e me disseram que a política não é determinada por nossa empresa, mas pelo provedor de serviços de firewall e que é "secreta e proprietária" para o provedor e que eles (ou seja, TI) não tinha controle sobre essa política.

Qual é a história aqui? Os fornecedores de produtos de firewall estão apenas bloqueando países inteiros?

Só para rir, decidi tentar diferentes países para ver o que aconteceria:

Finland       ok
Poland        ok
Russia        blocked
Ukraine       blocked
Estonia       blocked
Turkey        blocked
Saudi Arabia  blocked
Afghanistan   ok
Iraq          blocked
Georgia       ok
Armenia       blocked
Uzbekistan    ok

Tudo bem, para que eu possa visitar sites no Uzbequistão e na Geórgia, mas não na Armênia ou na Ucrânia? Quem está inventando essa lógica?

networking security firewall

— Tyler Durden
fonte

O que um sistema de detecção de intrusões tem a ver com a filtragem de conteúdo? A resposta dos departamentos de TI é um absurdo completo. A IDS e firewall não são o samething

— Ramhound

Tudo isso é realmente arbitrário e baseado em necessidades idiossincráticas. Mas direi o seguinte: trabalho nos EUA e trabalhei para empresas norte-americanas cujas propriedades da Web não têm nenhum valor para ninguém fora dos EUA e geralmente é solicitado que alguma filtragem no nível do servidor bloqueie países e intervalos de IP inteiros não por causa da censura, mas por necessidades pragmáticas baseadas no fato de que seu site seria constantemente investigado - e geralmente tem infecções por malware - que podem ser rastreados para países ou intervalos de IP específicos. Portanto, esse é realmente o estado do mundo moderno da Internet.

— JakeGould

Eu implementei o bloqueio regional usando blackholing seletivo para mitigar o efeito da inundação de DDoS quando tive certeza de que a grande maioria da base de clientes estava geograficamente limitada de qualquer maneira. Muito eficaz, mas provavelmente não vai ajudar se você desenhar a ira de algo como mirai

— Dmitri DB

É uma parte padrão de um plano de defesa em camadas para bloquear assim. Obviamente, possui limitações, mas faz parte de um plano geral maior. Mesmo voltando ao final dos anos 90, quando os lugares em que eu trabalhava tinham apenas 56 mil linhas de locação (ou ocasionalmente o super rápido T-1!). É provável que você não o veja para empresas globais, mas é padrão há bastante tempo para empresas menores e do tipo regional.

— Brian Knoblauch

É bastante interessante o porquê da Estônia estar nessa lista.

— Sarge Borsch

Respostas:

Eu já vi vários fornecedores fazendo filtragem de conteúdo com base no país de origem. Normalmente, a China e a Rússia estão com a filtragem ativada ou, pelo menos, têm algum tipo de alerta configurado. Isso ocorre porque geralmente são fontes de ataques de malware. Eu não compro linha que seu departamento de TI não tem controle sobre ela. Qualquer fornecedor que se preze permitiria modificar as configurações padrão de seus produtos.

— Charles Burge
fonte

Eu tenho certeza que se eu tiver coisas melhores para fazer do que ouvir algum funcionário de nível inferior sair e eu sou o BOFH, eu vou cuspir algumas tecnobabble neles para fazê-los sair da minha cara para que eu possa voltar para fazendo o que eu tenho que fazer

— Dmitri DB

Sim, eu definitivamente te ouço. Eu odeio ter que explicar as coisas para os usuários quando eles pedem uma razão pela qual algo é do jeito que está, porque a linha entre regando-a para baixo para termos que possam compreender vs. falar baixo para eles é incrivelmente fino.

— Charles Burge

Provavelmente isso não é feito no nível do IDS / IPS, mas no nível do firewall (via bloqueio de lista de IPs, meio menos eficaz) ou no nível de roteamento com um método conhecido como blackholing seletivo (fortemente eficaz e impede a rota de mesmo chegando ao seu roteador).

A lógica por trás disso não é clara - provavelmente porque os países que você listou são frequentemente fontes de ataques, embora não sejam realmente mais do que os EUA, e determinados atacantes simplesmente seguiriam em frente e contornariam de qualquer maneira nesse caso ... Pode ser que, se você estiver trabalhando em uma organização grande o suficiente que - eles são paranóicos - de alguma forma eles mesmos sobre ameaças de IPs originárias de lá. De qualquer maneira, é uma espécie de medida de segurança temporária para muitas intenções e propósitos, e você não tem nada para se preocupar. Saída do túnel ou proxy!

— Dmitri DB
fonte

Essa é uma solução estranha, no entanto - você está basicamente incentivando alguém a ignorar o firewall quando o firewall deve fazer seu trabalho. Se o firewall não estiver funcionando corretamente e não puder ser corrigido, parece que é hora de lançá-lo.

— oldmud0

Seria ótimo para ele fazer isso, mas é bastante óbvio se você ler o que essa pessoa disse que não funciona na capacidade de tomada de decisão para causar um efeito no final do que você sugeriu, e parece que ele precisa fazer seu trabalho, então ...

— Dmitri DB

Minha rede no meu último trabalho tinha o bloqueio geográfico e o bloqueio de aplicativos ativados para evitar o uso de roteadores de cebola ou VPNs, etc., entre muitos outros serviços proibidos. Uma das justificativas é que sim, alguns países abrigam um grande número de maus atores em ambientes menos regulamentados, além de não serem lugares para onde algum dia enviaríamos tráfego legítimo; portanto, bani-los inteiramente tem um efeito positivo na segurança, quase prejudicando a usabilidade. . Você pode enviar e-mail aos membros da sua família ucraniana a partir do seu smartphone.

— Todd Wilcox

"Pode ser que se você estiver trabalhando em uma organização grande o suficiente, eles sejam paranóicos de alguma forma sobre ameaças de IPs originárias de lá". Ou poderia ser a segurança do culto à carga.

— Jpmc26

É perfeitamente possível usar a localização geográfica IP para bloquear os intervalos de endereços IP associados a determinados países. Há muito debate sobre o quão eficaz é e eu certamente não sugeriria cegá-lo para ninguém, mas cabe a uma empresa determinar por si mesma se possui ou não negócios legítimos com empresas originárias de uma área específica e, portanto, quais são os riscos de bloquear os intervalos de endereços associados a essa área versus os riscos de não bloquear esses endereços.

Embora o bloqueio geográfico não pare determinados invasores, ele aumenta a complexidade de atacar sua rede a partir desse local (e lembre-se de que isso pode significar membros de botnets desse local) e isso também pode reduzir a quantidade de "ruído de fundo" de atacantes casuais e crianças com scripts, facilitando a visualização dos ataques mais determinados.

Este exemplo é de um artigo da Sonicwall Knowledge Base sobre como configurar esses tipos de filtros.

De qualquer forma, se você tiver uma empresa que precisa se conectar a uma empresa em um país bloqueado, não sugiro tentar desviar do firewall, como sugerido em outras respostas, mas sim tornar isso um problema de gerenciamento: fale com seu gerente , peça que eles conversem com o gerente do departamento de TI e deixe claro que há um requisito comercial para permitir esse acesso. É altamente improvável que não haja maneira de configurar esses tipos de blocos, e com a chance de ocorrer algum tipo de incidente de segurança e suas tentativas de contornar os blocos que fazem parte da política corporativa de TI sejam detectadas, você é altamente provavelmente ficará com a culpa pela violação de segurança.

— Rob Moir
fonte

Concordo com o que você diz. Pelo menos, a TI deve ser capaz de colocar na lista branca o Ministério da Defesa russo ou outro site ao qual o OP precisa acessar

— chue x

Posso contar a maioria dos megacorpos em que trabalhei, pois esse tipo de solicitação é o tipo de coisa que dificulta o gerenciamento e pode nunca acontecer, e em organizações menores, isso é mais sustentável. Vamos contar o tempo em que eles bloquearam o facebook em uma das maiores empresas em que trabalhei e isso levou a gerência a nem checar o perfil no facebook desse cara que estava bagunçando tudo - ele estava claramente em êxtase na maioria das fotos públicas

— Dmitri DB

Bem, a decisão é sua @DmitriDB, obviamente. Eu não exigiria que meu gerente "conseguisse desbloquear x ". No entanto, gostaria dizer, em um memorando escrito: "A fim de conseguir atribuição foo , eu preciso local de acesso bar que atualmente está bloqueado, de acordo com a política corporativa. Como você sugere que proceder?". Afinal (e deixando de lado o debate sobre a eficácia do bloqueio geográfico por enquanto), as empresas podem decidir que o risco de desbloquear um país é maior do que o risco de não realizar a tarefa. Seu gerente está sendo pago para aguentar isso. Deixe eles.

— precisa

Só me lembro de ter sido gritado por sugerir coisas assim. Provavelmente porque eu nunca trabalhei em um megacorp há anos

— Dmitri DB