Tôi có bị hoang tưởng không, hay các tường lửa của công ty đang kiểm duyệt toàn bộ các quốc gia? [đóng cửa]

Đã đóng cửa . Câu hỏi này cần được tập trung hơn . Nó hiện không chấp nhận câu trả lời.

Bạn muốn cải thiện câu hỏi này? Cập nhật câu hỏi để nó chỉ tập trung vào một vấn đề bằng cách chỉnh sửa bài đăng này .

Đóng cửa 2 năm trước .

Gần đây, trong khoảng một năm trở lại đây, tôi đã nhận thấy rằng dường như ngày càng khó tiếp cận các loại trang web nhất định, đặc biệt là các trang web ở các quốc gia không được ưa chuộng như Iran hoặc Nga.

Ví dụ, vừa nãy tôi đã cố gắng truy cập trang web của Bộ Quốc phòng Nga ( http://eng.mil.ru/en/index.htm ), một trang web mà tôi có lý do liên quan đến kinh doanh hợp pháp để truy cập và nó đã hết thời gian Tôi đã thử cùng một trang web thông qua một proxy châu Âu và không có vấn đề kết nối. Sau đó tôi đã thử một tracert và đây là kết quả:

Giải thích của tôi về điều này là IP đang bị chặn bởi tường lửa của công ty. Tôi đã hỏi bộ phận CNTT của chúng tôi chính sách chặn IP cho mạng là gì và được cho biết rằng chính sách này không phải do công ty chúng tôi xác định, mà bởi nhà cung cấp dịch vụ tường lửa và đó là "bí mật và độc quyền" đối với nhà cung cấp và họ (có nghĩa là CNTT) không có quyền kiểm soát chính sách đó.

có chuyện gì ở đây? Có phải các nhà cung cấp sản phẩm tường lửa chỉ chặn chăn toàn bộ các quốc gia?

Chỉ để cười khúc khích, tôi quyết định thử các quốc gia khác nhau để xem điều gì sẽ xảy ra:

Finland       ok
Poland        ok
Russia        blocked
Ukraine       blocked
Estonia       blocked
Turkey        blocked
Saudi Arabia  blocked
Afghanistan   ok
Iraq          blocked
Georgia       ok
Armenia       blocked
Uzbekistan    ok

Được rồi, vì vậy tôi có thể truy cập các trang web ở Uzbekistan và Georgia, nhưng không phải là các trang web ở Armenia hoặc Ukraine? Ai đang tạo nên logic này?

networking security firewall

— Tyler Durden
nguồn

Hệ thống phát hiện xâm nhập có liên quan gì đến lọc nội dung? Phản ứng của bộ phận CNTT của bạn là hoàn toàn vô nghĩa. IDS và tường lửa không phải là sự lấy mẫu

— Ramhound

Đây là tất cả thực sự độc đoán và dựa trên nhu cầu idiosyncratic. Nhưng tôi sẽ nói điều này: Tôi làm việc ở Mỹ và đã làm việc cho các công ty Hoa Kỳ có tài sản web hoàn toàn không có giá trị với bất kỳ ai bên ngoài Hoa Kỳ và người ta thường yêu cầu một số bộ lọc cấp máy chủ xảy ra để chặn toàn bộ các quốc gia và phạm vi IP không phải vì kiểm duyệt, mà là các nhu cầu thực dụng dựa trên thực tế rằng trang web của họ sẽ liên tục được kiểm tra và thường bị nhiễm phần mềm độc hại trên họ có thể truy tìm các quốc gia hoặc phạm vi IP cụ thể. Vì vậy, đây thực sự là trạng thái của thế giới Internet hiện đại.

— JakeGould

Tôi đã tự mình ngăn chặn khu vực bằng cách sử dụng lớp phủ đen có chọn lọc để giảm thiểu ảnh hưởng của lũ lụt DDoS khi tôi biết chắc rằng phần lớn cơ sở khách hàng bị hạn chế về mặt địa lý. Rất hiệu quả nhưng có lẽ sẽ không giúp ích gì nếu bạn vẽ cơn thịnh nộ của một thứ gì đó như mirai

— Dmitri DB

Đó là một phần tiêu chuẩn của kế hoạch phòng thủ nhiều lớp để ngăn chặn như thế. Nó rõ ràng có những hạn chế, nhưng là một phần của kế hoạch tổng thể lớn hơn. Thậm chí quay trở lại vào cuối thập niên 90 khi những nơi tôi từng làm việc chỉ có 56k dây chuyền cho thuê (hoặc đôi khi là T-1 siêu nhanh!). Tất nhiên, bạn không thể thấy nó cho các công ty toàn cầu, nhưng đã được tiêu chuẩn trong một thời gian khá lâu cho các công ty loại nhỏ hơn trong khu vực.

— Brian Knoblauch

Thật thú vị tại sao lại có Estonia trong danh sách đó.

— Sange Borsch

Câu trả lời:

Tôi đã thấy một loạt các nhà cung cấp thực hiện lọc nội dung dựa trên nước xuất xứ. Trung Quốc và Nga thường là những quốc gia có chức năng lọc được bật theo mặc định hoặc ít nhất có một số loại cảnh báo được thiết lập. Điều này là do đó thường là các nguồn tấn công phần mềm độc hại. Tôi không mua dòng mà bộ phận CNTT của bạn không kiểm soát được. Bất kỳ nhà cung cấp nào xứng đáng với muối của nó sẽ cho phép bạn sửa đổi cài đặt mặc định trên các sản phẩm của mình.

— Charles Burge
nguồn

Tôi biết chắc chắn rằng nếu tôi có nhiều việc phải làm hơn là nghe một số nhân viên cấp thấp đi và tôi là BOFH, tôi sẽ nhổ một số công nghệ vào họ để khiến họ thoát ra khỏi mặt tôi để tôi có thể quay lại làm những gì tôi phải làm

— Dmitri DB

Vâng, tôi chắc chắn nghe thấy bạn. Tôi ghét phải giải thích mọi thứ cho người dùng khi họ yêu cầu một lý do tại sao một cái gì đó là cách nó được, vì ranh giới giữa tưới nó xuống với các điều khoản mà họ có thể hiểu vs nói xuống với họ thì không thể mỏng.

— Charles Burge

Điều này có thể không được thực hiện ở cấp IDS / IPS, mà là ở cấp độ tường lửa (Chặn danh sách IP, loại kém hiệu quả) hoặc mức định tuyến bằng phương pháp được gọi là phủ đen chọn lọc (Hiệu quả mạnh mẽ và chặn tuyến đường từ thậm chí đến thông qua bộ định tuyến của bạn ở tất cả).

Lý do đằng sau điều này không rõ ràng - có thể là do các quốc gia bạn liệt kê thường là nguồn tấn công, mặc dù thực sự không nhiều hơn Mỹ và những kẻ tấn công quyết tâm sẽ chỉ đi trước và phá vỡ mọi trường hợp trong trường hợp đó ... Có thể là nếu bạn làm việc trong một tổ chức đủ lớn - họ hoang tưởng - bằng cách nào đó chính họ về các mối đe dọa từ các IP bắt nguồn từ đó. Dù bằng cách nào, đây cũng là một biện pháp bảo mật dừng lại cho nhiều mục đích và mục đích, và bạn không có gì phải tự hào về bản thân. Đường hầm hoặc proxy ra!

— Dmitri DB
nguồn

Tuy nhiên, đó là một giải pháp kỳ lạ - về cơ bản, bạn đang khuyến khích ai đó vượt qua tường lửa khi tường lửa được cho là đang thực hiện công việc của mình. Nếu tường lửa không hoạt động chính xác và không thể sửa được, có vẻ như đã đến lúc phải tặc lưỡi.

— oldmud0

Điều đó thật tuyệt vời khi anh ấy làm điều đó, nhưng thật rõ ràng nếu bạn đọc những gì người này nói rằng họ không làm việc trong khả năng ra quyết định để tạo ra hiệu ứng đến cuối những gì bạn đề xuất, và nghe có vẻ như anh ta cần phải làm công việc của mình, vì vậy ...

— Dmitri DB

Mạng của tôi trong công việc cuối cùng của tôi đã bật cả chặn địa lý và chặn ứng dụng để ngăn sử dụng bộ định tuyến củ hành hoặc VPN, v.v., trong số nhiều dịch vụ bị cấm khác. Một trong những lý do là có, một số quốc gia là nơi có số lượng lớn các tác nhân xấu trong môi trường ít điều tiết trong khi đó cũng không phải là nơi chúng tôi sẽ gửi lưu lượng truy cập hợp pháp, do đó, việc cấm hoàn toàn ảnh hưởng đến an ninh với khả năng sử dụng gần như bất lợi . Bạn có thể gửi email cho các thành viên gia đình Ukraine từ điện thoại thông minh của bạn.

— Todd Wilcox

"Có thể là nếu bạn đang làm việc trong một tổ chức đủ lớn, họ tự hoang tưởng bằng cách nào đó về các mối đe dọa từ các IP có nguồn gốc từ đó." Hoặc nó có thể là an ninh sùng bái hàng hóa.

— jpmc26

Hoàn toàn có thể sử dụng vị trí địa lý IP để chặn phạm vi địa chỉ IP được liên kết với một số quốc gia nhất định. Có rất nhiều tranh luận về hiệu quả của nó và tôi chắc chắn sẽ không đề xuất một cách mù quáng cho bất cứ ai, nhưng việc một doanh nghiệp tự xác định liệu có kinh doanh hợp pháp với các công ty có nguồn gốc từ một khu vực cụ thể hay không những rủi ro của việc chặn phạm vi địa chỉ liên quan đến khu vực đó là gì so với rủi ro không chặn các địa chỉ đó.

Mặc dù chặn địa lý sẽ không ngăn chặn những kẻ tấn công xác định, nhưng điều này làm tăng sự phức tạp của việc tấn công mạng của bạn từ vị trí này (và hãy nhớ điều này có nghĩa là các thành viên botnet từ vị trí đó) và điều này cũng có thể làm giảm lượng "nhiễu nền" từ kẻ tấn công thông thường & kiddies kịch bản, làm cho nó dễ dàng hơn để xem các cuộc tấn công quyết tâm hơn.

Ví dụ này là từ một bài viết của Sonicwall Knowledge Base về cách thiết lập các loại bộ lọc này.

Trong mọi trường hợp, nếu bạn có nhu cầu kết nối với doanh nghiệp ở một quốc gia bị chặn, tôi không khuyên bạn nên lén lút tìm tường lửa như đề xuất trong các câu trả lời khác, mà là biến vấn đề này thành quản lý: nói chuyện với người quản lý của bạn , yêu cầu họ nói chuyện với người quản lý bộ phận CNTT và làm rõ rằng có một yêu cầu kinh doanh để cho phép truy cập đó. Rất khó có khả năng không có cách nào để định cấu hình các loại khối này và nếu không có khả năng xảy ra sự cố bảo mật nào đó và các nỗ lực của bạn để khắc phục các khối là một phần của chính sách CNTT của công ty được phát hiện, bạn đánh giá cao có khả năng bị bỏ lại trong việc đổ lỗi cho vi phạm an ninh.

— Rob Moir
nguồn

Đồng ý với những gì bạn nói. Ít nhất CNTT phải có thể đưa vào danh sách trắng Bộ Quốc phòng Nga hoặc trang web khác mà OP cần truy cập

— chue x

Tôi có thể đếm hầu hết các megacorps mà tôi đã làm vì loại yêu cầu đó là loại điều khiến bạn gặp khó khăn trong việc quản lý và có thể không bao giờ xảy ra, và trong các tổ chức nhỏ hơn là điều có thể thực hiện được hơn. Chúng ta hãy chỉ cần đếm thời gian họ bị chặn facebook tại một trong những công ty lớn hơn tôi đã làm việc cho và nó đã dẫn đến quản lý thậm chí không kiểm tra hồ sơ cá nhân facebook của anh chàng này đang rối tung mọi thứ lên - ông rõ ràng là cao trên ecstasy trong hầu hết các bức ảnh công khai của Người

— Dmitri DB

Vâng, đó là quyết định của bạn @DmitriDB, rõ ràng. Tôi sẽ không yêu cầu người quản lý của mình "yêu cầu IT bỏ chặn x ". Tuy nhiên, tôi sẽ nói, trong một bản ghi nhớ bằng văn bản, "Để hoàn thành nhiệm vụ foo , tôi cần truy cập vào thanh trang web hiện đang bị chặn theo chính sách của công ty. Bạn đề nghị chúng tôi tiến hành như thế nào?". Sau tất cả (và tạm gác lại cuộc tranh luận về hiệu quả của việc chặn địa lý), doanh nghiệp có thể quyết định rằng rủi ro bỏ chặn một quốc gia lớn hơn rủi ro không hoàn thành nhiệm vụ. Người quản lý của bạn đang được trả tiền để nhận nhiệt. Để họ.

— Rob Moir

Tôi chỉ nhớ bị mắng vì đã gợi ý những điều như thế. Có lẽ tại sao tôi chưa bao giờ làm việc trong một megacorp trong nhiều năm nay

— Dmitri DB