¿Soy paranoico o los firewalls corporativos censuran países enteros? [cerrado]

Cerrada . Esta pregunta necesita estar más centrada . Actualmente no está aceptando respuestas.

¿Quieres mejorar esta pregunta?Actualice la pregunta para que se centre en un problema solo editando esta publicación .

Cerrado hace 2 años .

Recientemente, en el último año más o menos, me di cuenta de que parece cada vez más difícil llegar a ciertos tipos de sitios, especialmente aquellos en países no favorecidos como Irán o Rusia.

Por ejemplo, hace un momento intenté acceder al sitio web del Ministerio de Defensa ruso ( http://eng.mil.ru/en/index.htm ), un sitio que tengo motivos legítimos relacionados con los negocios para visitar, y se agotó el tiempo. Probé el mismo sitio a través de un proxy europeo y no tuve problemas para conectarme. Luego probé un tracert y este fue el resultado:

Mi interpretación de esto es que la IP está siendo bloqueada por el firewall de la compañía. Le pregunté a nuestro departamento de TI cuál es la política de bloqueo de IP para la red y me dijeron que la política no está determinada por nuestra empresa, sino por el proveedor de servicios de firewall y que es "secreta y patentada" para el proveedor y que ellos (es decir IT) no tenía control sobre esa política.

¿Cuál es la historia aquí? ¿Los proveedores de productos de firewall simplemente bloquean países enteros?

Solo por risas, decidí probar diferentes países para ver qué pasaría:

Finland       ok
Poland        ok
Russia        blocked
Ukraine       blocked
Estonia       blocked
Turkey        blocked
Saudi Arabia  blocked
Afghanistan   ok
Iraq          blocked
Georgia       ok
Armenia       blocked
Uzbekistan    ok

Muy bien, ¿puedo visitar sitios web en Uzbekistán y Georgia, pero no en Armenia o Ucrania? ¿Quién está inventando esta lógica?

networking security firewall

— Tyler Durden
fuente

¿Qué tiene que ver un sistema de detección de intrusos con el filtrado de contenido? La respuesta de su departamento de TI es un completo disparate. Un IDS y un firewall no son lo mismo

— Ramhound

Todo esto es realmente arbitrario y se basa en necesidades idiosincrásicas. Pero diré esto: trabajo en los EE. UU. Y he trabajado para empresas estadounidenses cuyas propiedades web no tienen ningún valor para nadie fuera de los EE. UU. Y comúnmente se solicita que algún filtrado a nivel de servidor bloquee países enteros y rangos de IP no debido a la censura, sino a las necesidades pragmáticas basadas en el hecho de que su sitio sería sondeado constantemente, y a menudo tendría infecciones de malware, que pueden rastrearse a países específicos o rangos de IP. Así que este es realmente el estado del mundo moderno de Internet.

— JakeGould

He implementado el bloqueo regional usando el blackholing selectivo para mitigar el efecto de las inundaciones DDoS cuando supe con certeza que la gran mayoría de la base de clientes estaba geográficamente limitada de todos modos. Muy efectivo pero probablemente no ayudará si dibujas la ira de algo como mirai

— Dmitri DB

Es una parte estándar de un plan de defensa en capas para bloquear así. Obviamente tiene limitaciones, pero es parte de un plan general más amplio. Incluso volviendo a finales de los 90 cuando los lugares en los que había trabajado solo tenían 56 mil líneas de arrendamiento (¡u ocasionalmente el súper rápido T-1!). Por supuesto, no es probable que lo veas en compañías globales, pero ha sido estándar durante bastante tiempo para compañías más pequeñas de tipo regional.

— Brian Knoblauch

Es bastante interesante por qué hay Estonia en esa lista.

— Sarge Borsch

Respuestas:

He visto una variedad de proveedores que realizan filtros de contenido según el país de origen. Por lo general, China y Rusia son los que tienen el filtro activado de forma predeterminada, o al menos tienen algún tipo de alerta configurada. Esto se debe a que a menudo son fuentes de ataques de malware. No compro línea que su departamento de TI no tiene control sobre ella. Cualquier proveedor que valga la pena le permitiría modificar la configuración predeterminada de sus productos.

— Charles Burge
fuente

Sé con certeza que si tengo mejores cosas que hacer que escuchar a un empleado de nivel inferior irse y yo soy el BOFH, les escupiré un poco de technobabble para que salgan de mi cara y pueda volver a haciendo lo que tengo que hacer

— Dmitri DB

Sí, definitivamente te escucho. Odio tener que explicar las cosas a los usuarios cuando preguntan por qué algo es así, porque la línea entre diluirlo en términos que pueden entender y hablar en contra de ellos es increíblemente delgado.

— Charles Burge

Es probable que esto no se haga a nivel de IDS / IPS, sino a nivel de firewall (a través del bloqueo de la lista de IP, algo menos efectivo) o el nivel de enrutamiento con un método conocido como blackholing selectivo (Muy eficaz y bloquea la ruta desde incluso llegando a su enrutador).

La razón detrás de esto no está clara, probablemente porque los países que usted enumeró a menudo son fuentes de ataques, aunque en realidad no son más que los EE. UU., Y los atacantes determinados simplemente avanzarían y eludirían de todos modos en ese caso ... Podría ser eso si usted es trabajando en una organización lo suficientemente grande que, son paranoicos , de alguna manera sobre las amenazas de los IP que se originan desde allí. De cualquier manera, es una especie de medida de seguridad provisional para muchos intentos y propósitos, y no tiene nada de lo que no se pueda hablar. ¡Túnel o proxy fuera!

— Dmitri DB
fuente

Sin embargo, esa es una solución extraña: básicamente estás alentando a alguien a pasar por alto el firewall cuando se supone que el firewall está haciendo su trabajo. Si el firewall no funciona correctamente y no se puede corregir, parece que es hora de tirarlo.

— oldmud0

Sería genial para él hacer eso, pero es bastante obvio si lees lo que esta persona dijo que no trabaja en una capacidad de toma de decisiones para lograr un efecto al final de lo que sugeriste, y parece que necesita hacer su trabajo, así que ...

— Dmitri DB

Mi red en mi último trabajo tenía el bloqueo geográfico y el bloqueo de aplicaciones activados para evitar el uso de enrutadores de cebolla o VPN, etc., entre muchos otros servicios prohibidos. Una de las razones es que sí, algunos países albergan a un gran número de actores malos en entornos menos regulados y, al mismo tiempo, no son lugares a los que enviaríamos tráfico legítimo, por lo que prohibirlos por completo tiene un efecto positivo en la seguridad, casi en detrimento de la usabilidad. . Puede enviar un correo electrónico a los miembros de su familia ucraniana desde su teléfono inteligente.

— Todd Wilcox

"Podría ser que si trabajas en una organización lo suficientemente grande como para ser paranoicos de alguna manera sobre las amenazas de los IP que se originan desde allí". O podría ser seguridad de culto de carga.

— jpmc26

Es perfectamente posible utilizar la ubicación geográfica de IP para bloquear los rangos de direcciones IP asociados con ciertos países. Hay mucho debate sobre cuán efectivo es y ciertamente no sugeriría encenderlo a ciegas a nadie, pero depende de un negocio determinar por sí mismo si tiene negocios legítimos con compañías originarias de un área en particular y, por lo tanto, cuáles son los riesgos de bloquear rangos de direcciones asociados con esa área frente a los riesgos de no bloquear esas direcciones.

Si bien el bloqueo geográfico no detendrá a los atacantes determinados, aumenta la complejidad de atacar su red desde esta ubicación (y tenga en cuenta que esto podría significar miembros de la botnet desde esa ubicación) y esto también podría reducir la cantidad de "ruido de fondo" atacantes casuales y kiddies de guiones, lo que facilita ver los ataques más decididos.

Este ejemplo es de un artículo de la Base de conocimiento de Sonicwall sobre cómo configurar este tipo de filtros.

En cualquier caso, si tiene una necesidad comercial de conectarse a una empresa en un país bloqueado, no le sugiero que intente escabullirse del cortafuegos como se sugiere en otras respuestas, sino más bien hacer de esto un problema de gestión: hable con su gerente , haga que hablen con el gerente del departamento de TI y aclare que hay un requisito comercial para permitir dicho acceso. Es muy improbable que no haya forma de configurar este tipo de bloques, y si hay algún tipo de incidente de seguridad y se detectan sus intentos de evitar los bloques que forman parte de la política de TI corporativa, está altamente probablemente se quedará con la culpa de la violación de seguridad.

— Rob Moir
fuente

De acuerdo con lo que dices. Al menos, TI debería ser capaz de incluir en la lista blanca al Ministerio de Defensa ruso u otro sitio al que OP necesite acceder

— chue x

Puedo contar la mayoría de los megacorps en los que he trabajado como ese tipo de solicitud que es el tipo de cosa que le da dificultades a la administración y puede que nunca suceda, y en organizaciones más pequeñas para ser algo más sostenible. Solo cuentemos el tiempo que bloquearon Facebook en una de las compañías más grandes para las que trabajé y esto llevó a que la gerencia ni siquiera revisara el perfil de Facebook de este tipo que estaba arruinando todo: estaba claramente en éxtasis en la MAYORÍA de sus fotografías públicas

— Dmitri DB

Bueno, es tu decisión @DmitriDB, obviamente. No exigiría que mi gerente "haga que TI desbloquee x ". Sin embargo yo diría, en un memorando escrito, "Con el fin de lograr la asignación foo , necesito sitio de acceso de barras que está bloqueado actualmente, de acuerdo con la política corporativa. ¿Cómo sugiere procedemos?". Después de todo (y dejando de lado el debate sobre la efectividad del bloqueo geográfico por ahora), la empresa bien podría decidir que el riesgo de desbloquear un país es mayor que el riesgo de no realizar la tarea. Se le paga a su gerente para que se encargue de eso. Déjalos.

— Rob Moir

Solo recuerdo que me gritaron por sugerir cosas como esas. Probablemente por qué nunca he trabajado en un megacorp durante años ahora

— Dmitri DB