要約: IP の禁止は、自動禁止と手動禁止に分けられますが、この記事では主に手動禁止の方法を紹介します。手動ブロッキングの鍵は、シームレスなコラボレーション、便利な操作、バッチ、ワンクリック、アンチミスブロッキング、および大容量です。
IP ブロッキングは、ネットワーク攻撃に対処する最も直接的で効果的な方法です。
ネットワーク セキュリティ防御システムでは、一部のシステムやデバイスを TCP リセット、HTTP エラーの返信などによって自動的にブロックしたり、自動ブロックのためにファイアウォールにリンクしたりすることができますが、これだけでは十分ではありません。実際の防御シナリオでは、手動での禁止が不可欠です。
手動ブロックは主に、監視とインテリジェンス送信によって発見された悪意のある IP をブロックします。短時間で複数のファイアウォール (企業には複数のインターネット出口がある場合があります) をすばやくブロックする方法は、検討して最適化する価値があります。
この記事では、参照用にいくつかの実用的な方法をまとめています。
1. シームレスなコラボレーション
少なくともオンライン ドキュメントとインスタント メッセージングを提供するコラボレーション プラットフォームが必要です. セキュリティ監視担当者は、オンライン フォームを通じてさまざまな攻撃の動作とその IP をタイムリーに報告できます. ネットワーク ブロッキング担当者はリアルタイムでフォームをチェックし、IP を入力します. IP ブロッキング システム、キーは企業のすべてのインターネット出口のファイアウォールに送信されます。
2.ワンクリック配信
企業は、IPブロッキングシステムを構築する必要があります.このモジュールは、運用保守自動化システムに組み込むことも、個別に構築することもできます.
主なアイデアは、ファイアウォールの API または SSH モードを介して自動化されたログインと操作を実装することです。
複数のファイアウォールを事前に選択できるようにする必要があります。
オペレーターは、IP を入力するか、IP のバッチをインポートして、悪意のある IP をブラックリストに追加する禁止コマンドを生成し、事前に選択された複数のファイアウォールに送信するだけです。
一定時間ページ操作がない場合、再認証を強制する必要があります。
それに応じて、対応するブロック解除操作ページが必要です。
3. 優先ブラックリスト
主流のファイアウォールには、ブラックリストによるブロックとセキュリティ ポリシーによるブロックという 2 つのブロック方法があります。
ブラックリストの禁止方法は、禁止された IP の既存の接続を即座に中断し、その後の接続を禁止することができます。
セキュリティ ポリシー禁止モードの構成が完了した後、対応する IP の後続の接続を禁止できますが、既存の接続を切断することはできません。
したがって、監視によって発見された攻撃 IP については、まずブラックリストを使用してそれらをブロックする必要があります。
多数のインテリジェンス IP (数千) については、セキュリティ ポリシーを使用してバッチでブロックできます。
4.容量管理
主流のファイアウォールのブラックリスト容量は通常 20,000 ~ 100,000 IP です.ブラックリストの禁止 IP の数が容量の 50% に達した場合、ブラックリストの禁止 IP を一括してセキュリティ ポリシーに移行することを検討する必要があります (キャパシティは通常 100 万レベルまたは無制限です)、ブラックリストは多数の突然の攻撃に対処するのに十分なキャパシティを維持することが保証されています。
セキュリティ ポリシーは IP アドレス グループに関連付けられています. 主流のファイアウォールの場合, 各 IP アドレス グループにも容量の上限があります (通常は 1000-3000 の間です). ブラックリスト IP 移行とインテリジェンス バッチ インポートを行うときは, 良い仕事をする必要があります グループについてアドレス グループの命名規則は、Block20220810-01、Block20220810-02 などの日付番号と組み合わせて、禁止された IP のクエリとバックトラッキングを容易にする必要があります。
5. 誤封防止
誤ったブロッキングを防ぐために、IP ブロッキング システムはホワイトリスト機能を実装し、自社のパブリック ネットワークの出口 IP、パートナー IP などをホワイトリストに追加する必要があります。禁止を実装すると、システムは禁止する IP のホワイトリスト チェックを自動的に実行し、誤ってブロックされた IP によるビジネスの失敗を防ぎます。
ホワイトリストに IP を追加する場合、参加の理由、関連するビジネス、要求者、オペレーター、および操作時間を詳細に記録して、管理とトレーサビリティーを容易にする必要があります。
また、合理性チェックが自動的に実行され、特にサブネット マスクを持つ IP は、マスク エラーにより大規模なネットワーク セグメントがブロックされるのを防ぐために、このようなリスクの高い操作は SMS 承認プロセスに自動的に強制される必要があります。
なぜなら、誰かが 1.2.3.4/32 をブロックしたいのを見たことがありますが、握手をして、それは 1.2.3.4/3 としてブロックされました。
インターネットを勉強したことのある人なら誰でも、これが何を意味するかを知っています。
6. まとめ
可能な限り自動化し、誤用を可能な限り防止することで、作業がより簡単になります。
文|魏卿