Я параноик, или корпоративные брандмауэры цензурируют целые страны? [закрыто]

22

В последнее время, в последний год или около того, я заметил, что все более и более трудным становится доступ к определенным типам сайтов, особенно в таких непривилегированных странах, как Иран или Россия.

Например, только что я пытался зайти на сайт Министерства обороны России ( http://eng.mil.ru/en/index.htm ), сайт, на котором у меня есть законные причины, связанные с бизнесом, и истекло время. Я попробовал тот же сайт через европейский прокси и не имел проблем с подключением. Затем я попробовал tracert, и это было результатом:

введите описание изображения здесь

Моя интерпретация этого заключается в том, что IP блокируется брандмауэром компании. Я спросил наш ИТ-отдел, какова политика блокировки IP для сети, и мне сказали, что политика определяется не нашей компанией, а поставщиком услуг брандмауэра и что она является «секретной и проприетарной» для поставщика и что они (то есть ИТ) не контролировал эту политику.

Какая история здесь? Являются ли поставщики брандмауэров всего лишь блокирующими целые страны?

Просто для смеха я решил попробовать разные страны, чтобы увидеть, что произойдет:

Finland       ok
Poland        ok
Russia        blocked
Ukraine       blocked
Estonia       blocked
Turkey        blocked
Saudi Arabia  blocked
Afghanistan   ok
Iraq          blocked
Georgia       ok
Armenia       blocked
Uzbekistan    ok

Хорошо, я могу посещать сайты в Узбекистане и Грузии, но не в Армении или на Украине? Кто составляет эту логику?

Тайлер Дурден
источник
1
Какое отношение имеет система обнаружения вторжений к контентной фильтрации? Ваш ответ ИТ-отделов - полная чушь. IDS и брандмауэр не одно и то же
Ramhound
7
Это все действительно произвольно и основано на специфических потребностях. Но я скажу следующее: я работаю в США и выполняю работу для американских компаний, чьи веб-свойства не имеют никакой ценности для кого-либо за пределами США, и обычно просят, чтобы какая-то фильтрация на уровне сервера блокировала целые страны и диапазоны IP-адресов. не из-за цензуры, а скорее из-за прагматических потребностей, основанных на том факте, что их сайт будет постоянно проверяться - и на них часто будут обнаружены вредоносные программы, - что можно проследить до конкретных стран или диапазонов IP-адресов. Так что это действительно состояние современного интернет-мира.
JakeGould
2
Я сам реализовал региональную блокировку с использованием выборочного черного цвета, чтобы смягчить эффект наводнения DDoS, когда я точно знал, что подавляющее большинство клиентской базы в любом случае было географически ограничено. Очень эффективно, но, вероятно, не поможет, если вы нарисуете гнев чего-то вроде mirai
Дмитрий Д.Б.
1
Это стандартная часть многоуровневого плана защиты, чтобы блокировать подобное. Это, очевидно, имеет ограничения, но является частью более крупного общего плана. Даже возвращаясь к концу 90-х, когда места, где я работал, имели только 56 тыс. Арендных линий (или иногда супер-быстрый T-1!). Конечно, вы вряд ли увидите это для глобальных компаний, но в течение некоторого времени это было стандартом для небольших компаний регионального типа.
Брайан Кноблаух
2
Интересно, почему в этом списке есть Эстония?
Сардж Борщ

Ответы:

17

Я видел множество поставщиков, выполняющих фильтрацию контента в зависимости от страны происхождения. В Китае и России обычно по умолчанию включена фильтрация или, по крайней мере, настроены какие-то оповещения. Это потому, что они часто являются источниками вредоносных атак. Я не покупаю линию, что ваш ИТ-отдел не контролирует ее. Любой достойный поставщик позволит вам изменить настройки по умолчанию для своих продуктов.

Чарльз Бердж
источник
1
Я точно знаю, что если у меня есть дела поважнее, чем слушать, как уходит какой-то сотрудник более низкого уровня, а я - БОФ, я выплюну на них техногенную шумиху, чтобы они убрались с моего лица, чтобы я мог вернуться к делаю то, что я должен делать
Дмитрий Д.Б.
1
Да, я определенно слышу тебя. Я ненавижу того , чтобы объяснить вещи для пользователей , когда они просят причину , почему - то так оно и есть, потому что линия между поливой его до точки , что они могут понять , против говорить вниз к ним невероятно тонкая.
Чарльз Бердж
6

Скорее всего, это делается не на уровне IDS / IPS, а на уровне брандмауэра (с помощью блокировки списка IP-адресов, в некотором роде менее эффективным) или на уровне маршрутизации с помощью метода, известного как выборочное черное удержание (Сильно эффективен и блокирует маршрут от даже заходя на свой роутер вообще).

Смысл этого неясен - возможно, потому что страны, которые вы перечислили, часто являются источниками атак, хотя на самом деле не больше, чем США, и решительные злоумышленники в любом случае просто пойдут дальше и обойдут стороной ... Может быть, если вы работая в достаточно большой организации, которая - они параноики - так или иначе сами по себе об угрозах от IP-адресов, исходящих оттуда. В любом случае, это своего рода временная мера безопасности для многих целей и целей, и вам нечего в себе знать. Туннель или прокси!

Дмитрий Д.Б.
источник
3
Однако это странное решение - вы в основном поощряете кого-либо обходить брандмауэр, когда брандмауэр должен выполнять свою работу. Если брандмауэр не работает правильно и не может быть исправлен, похоже, пришло время бросить его.
oldmud0
Было бы здорово, если бы он это сделал, но совершенно очевидно, если вы прочитаете, что сказал этот человек, что они не работают в качестве принимающего решения для достижения эффекта того, что вы предложили, и это звучит как он должен делать свою работу, так что ...
Дмитрий Д.Б.
1
В моей сети на моей последней работе были включены как геоблокировка, так и блокировка приложений, чтобы предотвратить использование луковых маршрутизаторов, VPN и т. Д. Среди многих других запрещенных сервисов. Одно из обоснований заключается в том, что да, в некоторых странах проживает большое количество плохих игроков в менее регулируемых средах, но при этом мы не являемся местами, куда мы могли бы отправлять законный трафик, поэтому полный запрет на них положительно влияет на безопасность, почти в ущерб удобству использования , Вы можете отправить электронное письмо членам своей украинской семьи со своего смартфона.
Тодд Уилкокс
4
«Может быть, если вы работаете в достаточно большой организации, они сами как-то параноидально относятся к угрозам со стороны IP-адресов, исходящих оттуда». Или это может быть охрана культа грузов.
jpmc26
6

Вполне возможно использовать IP-местоположение для блокировки диапазонов IP-адресов, связанных с определенными странами. Существует много споров о том, насколько это эффективно, и я бы, конечно, не предложил слепо включать его кому-либо, но дело за самим бизнесом, чтобы определить, имеет ли он законный бизнес с компаниями, происходящими из определенной области и, следовательно, риски блокирования диапазонов адресов, связанных с этой областью, и риски не блокирования этих адресов.

Хотя геоблокировка не остановит определенных злоумышленников, она увеличивает сложность атаки на вашу сеть из этого места (и имейте в виду, что это может означать, что участники ботнета находятся в этом месте), и это также может уменьшить количество «фонового шума» от случайные злоумышленники и сценаристы, облегчающие просмотр более решительных атак.

введите описание изображения здесьЭтот пример взят из статьи базы знаний Sonicwall о том, как настроить фильтры такого типа.

В любом случае, если у вас есть бизнес-необходимость подключиться к бизнесу в заблокированной стране, я не предлагаю пытаться проникнуть через брандмауэр, как предлагалось в других ответах, а скорее сделать это проблемой управления: поговорите с вашим менеджером попросите их поговорить с менеджером ИТ-отдела и дать понять, что для такого доступа существует бизнес-требование. Маловероятно, что нет никакого способа сконфигурировать блоки такого типа, и если нет вероятности того, что произойдет какой-либо инцидент безопасности, и ваши попытки обойти блоки, которые являются частью корпоративной ИТ-политики, обнаружены, вы очень скорее всего, останется виновным в нарушении безопасности.

Роб Моир
источник
1
Согласна с тем, что вы говорите. По крайней мере, ИТ-специалисты должны иметь возможность вносить в белый список Министерство обороны России или другой сайт, к которому ОП должен иметь доступ
chue x
Я могу посчитать большинство мегакорпусов, в которых я работал, запросом такого рода, который доставляет вам трудности с управлением и может никогда не произойти, а в небольших организациях это будет более надежным. Давайте просто посчитаем время, когда они заблокировали Facebook в одной из крупнейших компаний, на которую я работал, и это привело к тому, что руководство даже не проверило профиль этого чувака, который все испортил - он был явно в восторге от большинства своих публичных фото
Дмитрий ДБ
Ну, это ваше решение @DmitriDB, очевидно. Я бы не потребовал, чтобы мой менеджер "заставил ИТ разблокировать х ". Однако в письменной заметке я хотел бы сказать: «Чтобы выполнить задание foo , мне нужно получить доступ к панели сайта, которая в настоящее время заблокирована в соответствии с корпоративной политикой. Как вы предлагаете нам действовать?». В конце концов (и откладывая дискуссию об эффективности геоблокировки на данный момент), бизнес вполне может решить, что риск разблокирования страны выше, чем риск невыполнения задачи. Твоему менеджеру платят за это. Позволь им.
Роб Мойр
1
Я просто помню, как на меня кричали, что я предлагаю такие вещи. Вероятно, почему я никогда не работал в мегакорпе в течение многих лет
Дмитрий Д.Б.