Имеет ли смысл блокировать подозрительные IP-адреса в Интернете, подключенные к брандмауэрам, в интересах повышения безопасности? Кто-нибудь знает какие-нибудь надежные черные списки?
Спасибо, Марк
Определенно имеет смысл блокировать подозрительные IP-адреса в брандмауэре. На самом деле это обычная мера, применяемая многими поставщиками IDS, IPS или брандмауэров для защиты (Google также ведет свой собственный черный список). Взгляните на эту статью в Википедии о чернокнижник для некоторого понимания.
Существуют различные компании / организации, которые поддерживают и предлагают черные списки бесплатно или за плату в качестве услуги. Какой из них лучше, зависит от конкретной потребности. Есть также очень известное программное обеспечение IDS, такое как Фырканье или дистрибутив брандмауэра, например Pfsense, может создавать черные списки более автоматизированным и эффективным способом.
Еще одно хорошее чтение от SANS: Защита домашних устройств от вредоносных или внесенных в черный список веб-сайтов
Да, использование списков блокировки имеет большой смысл. Особенно часто обновляемые списки включают те, которые используются для DDoS-атак с устройств IoT и тому подобное, которые затем, по крайней мере, временно запускаются при новом использовании в каком-либо ботнете. Тем не менее, он требует регулярного администрирования и проверки, но вы всегда должны проверять журналы, так что это не что-то новое.
Я использую черные списки 4 способами;
В моей локальной сети у меня есть собственный DNS-преобразователь, использующий dnsmasq. Для этого я использую: https://gist.github.com/jult/4eba88bdd34a57cc79d6
На некоторых серверах / маршрутизаторах я использую сценарии CSF / LFD, которые управляют iptables (включая возможности ipset), и для них я довольно успешно использую эти блоки; https://gist.github.com/jult/e2087274f27933ce8574cf6d34ec5cd1#gistcomment-1917871 и я пишу «успешно», потому что я вижу количество блоков, которые были зарегистрированы благодаря всем этим.
Затем я использую много блокировок через postfix на моем собственном почтовом сервере, тоже очень успешно. Также можно найти среди моих сущностей.
И последнее, но не менее важное: я люблю использовать p2p-сети и предпочитаю оградить себя от слежки со стороны правительств и тому подобного. Также перечислен среди моих сущностей на github.