Apakah saya paranoid, atau firewall perusahaan menyensor seluruh negara? [Tutup]

22

Baru-baru ini, sekitar setahun terakhir ini, saya perhatikan bahwa semakin sulit untuk menjangkau situs-situs tertentu, terutama di negara-negara yang tidak disukai seperti Iran atau Rusia.

Sebagai contoh, baru saja saya mencoba menjangkau situs web Kementerian Pertahanan Rusia ( http://eng.mil.ru/en/index.htm ), sebuah situs yang saya miliki alasannya terkait dengan bisnis yang sah untuk berkunjung, dan waktunya habis. Saya mencoba situs yang sama melalui proxy Eropa dan tidak punya masalah koneksi. Saya kemudian mencoba tracert dan ini hasilnya:

masukkan deskripsi gambar di sini

Interpretasi saya tentang ini adalah bahwa IP sedang diblokir oleh firewall perusahaan. Saya bertanya kepada departemen TI kami apa kebijakan pemblokiran IP untuk jaringan dan diberi tahu bahwa kebijakan itu tidak ditentukan oleh perusahaan kami, tetapi oleh penyedia layanan firewall dan bahwa itu "rahasia dan eksklusif" untuk penyedia dan bahwa mereka (artinya IT) tidak memiliki kendali atas kebijakan itu.

Apa ceritanya di sini? Apakah vendor produk firewall hanya menutup seluruh negara?

Hanya untuk cekikikan, saya memutuskan untuk mencoba berbagai negara untuk melihat apa yang akan terjadi:

Finland       ok
Poland        ok
Russia        blocked
Ukraine       blocked
Estonia       blocked
Turkey        blocked
Saudi Arabia  blocked
Afghanistan   ok
Iraq          blocked
Georgia       ok
Armenia       blocked
Uzbekistan    ok

Baiklah, jadi saya bisa mengunjungi situs web di Uzbekistan dan Georgia, tetapi tidak di Armenia atau Ukraina? Siapa yang mengarang logika ini?

networking  security  firewall 
Tyler Durden
sumber
1
Apa hubungan sistem deteksi intrusi dengan pemfilteran konten? Respons departemen TI Anda sepenuhnya omong kosong. IDS dan firewall bukan samething
Ramhound
7
Ini semua benar-benar sewenang-wenang dan didasarkan pada kebutuhan khusus. Tetapi saya akan mengatakan ini: Saya bekerja di AS dan telah melakukan pekerjaan untuk perusahaan-perusahaan AS yang properti webnya sama sekali tidak bernilai bagi siapa pun di luar AS dan umumnya diminta bahwa beberapa penyaringan tingkat server terjadi untuk memblokir seluruh negara dan rentang IP bukan karena penyensoran, melainkan kebutuhan pragmatis berdasarkan fakta bahwa situs mereka akan secara konsisten diperiksa — dan sering kali memiliki infeksi malware — yang dapat ditelusuri ke negara atau rentang IP tertentu. Jadi ini benar-benar keadaan dunia internet modern.
JakeGould
2
Saya telah menerapkan pemblokiran regional sendiri menggunakan blackholing selektif untuk mengurangi dampak banjir DDoS ketika saya tahu pasti bahwa sebagian besar basis pelanggan secara geografis terbatas. Sangat efektif tetapi mungkin tidak akan membantu jika Anda menarik murka dari sesuatu seperti mirai
Dmitri DB
1
Itu adalah bagian standar dari rencana pertahanan berlapis untuk dihadang seperti itu. Ini jelas memiliki keterbatasan, tetapi merupakan bagian dari rencana keseluruhan yang lebih besar. Bahkan kembali ke akhir 90-an ketika tempat saya bekerja di hanya memiliki garis sewa 56k (atau kadang-kadang T-1 super cepat!). Anda tentu saja tidak akan melihatnya untuk perusahaan global, tetapi telah menjadi standar untuk beberapa waktu bagi perusahaan tipe regional yang lebih kecil.
Brian Knoblauch
2
Agak menarik mengapa ada Estonia dalam daftar itu.
Sarge Borsch

Jawaban:

17

Saya telah melihat berbagai vendor melakukan pemfilteran konten berdasarkan negara asal. China dan Rusia biasanya yang penyaringannya dihidupkan secara default, atau paling tidak memiliki semacam penyiapan lansiran. Ini karena mereka sering menjadi sumber serangan malware. Saya tidak membeli saluran yang departemen TI Anda tidak memiliki kendali atasnya. Vendor mana pun yang layak diberi garam akan membiarkan Anda memodifikasi pengaturan default pada produknya.

Charles Burge
sumber
1
Saya tahu pasti bahwa jika saya mendapatkan hal-hal yang lebih baik untuk dilakukan daripada mendengarkan beberapa karyawan tingkat bawah pergi dan saya BOFH, saya akan meludahi beberapa techobabble pada mereka untuk membuat mereka keluar dari wajah saya sehingga saya dapat kembali ke melakukan apa yang harus saya lakukan
Dmitri DB
1
Ya, aku pasti mendengarmu. Aku benci harus menjelaskan hal-hal kepada pengguna ketika mereka meminta alasan mengapa sesuatu adalah cara itu, karena garis antara penyiraman itu ke istilah yang mereka dapat memahami vs berbicara bawah untuk mereka adalah sangat tipis.
Charles Burge
6

Ini kemungkinan tidak dilakukan pada level IDS / IPS, tetapi lebih pada level firewall (Melalui pemblokiran daftar IP, semacam kurang efektif) atau level routing dengan metode yang dikenal sebagai blackholing selektif (Sangat efektif dan memblokir rute dari bahkan datang ke router Anda sama sekali).

Alasan di balik ini tidak jelas - mungkin karena negara-negara yang Anda daftarkan sering menjadi sumber serangan, meskipun sebenarnya tidak lebih dari AS, dan penyerang bertekad hanya akan terus maju dan mengelak dalam kasus ini ... Bisa jadi jika Anda bekerja di organisasi yang cukup besar yang - mereka paranoid - entah bagaimana sendiri tentang ancaman dari IP yang berasal dari sana. Apa pun itu semacam tindakan pengamanan sementara untuk banyak maksud dan tujuan, dan Anda tidak perlu khawatir tentang diri Anda. Terowongan atau proksi keluar!

Dmitri DB
sumber
3
Itu solusi aneh, meskipun - Anda pada dasarnya mendorong seseorang untuk mem-bypass firewall ketika firewall seharusnya melakukan tugasnya. Jika firewall tidak berfungsi dengan benar dan tidak dapat diperbaiki, sepertinya sudah waktunya untuk membuangnya.
oldmud0
Itu akan bagus baginya untuk melakukan itu, tetapi cukup jelas jika Anda membaca apa yang dikatakan orang ini bahwa mereka tidak bekerja dalam kapasitas pengambilan keputusan untuk membuat efek hingga akhir dari apa yang Anda sarankan, dan kedengarannya seperti dia perlu melakukan pekerjaannya, jadi ...
Dmitri DB
1
Jaringan saya di pekerjaan terakhir saya memiliki pemblokiran geo dan pemblokiran aplikasi dihidupkan untuk mencegah penggunaan router bawang atau VPN, dll, di antara banyak layanan terlarang lainnya. Salah satu alasannya adalah bahwa ya, beberapa negara adalah rumah bagi sejumlah besar aktor jahat di lingkungan yang kurang diatur sementara juga tidak menjadi tempat di mana kita akan mengirimkan lalu lintas yang sah, sehingga melarang mereka sepenuhnya memiliki efek positif pada keamanan dengan hampir merusak kegunaan. . Anda dapat mengirim email kepada anggota keluarga Ukraina Anda dari ponsel cerdas Anda.
Todd Wilcox
4
"Bisa jadi jika Anda bekerja di organisasi yang cukup besar sehingga mereka paranoid, entah bagaimana, tentang ancaman dari IP yang berasal dari sana." Atau bisa juga keamanan sekte kargo.
jpmc26
6

Sangat mungkin untuk menggunakan lokasi geografis IP untuk memblokir rentang alamat IP yang terkait dengan negara-negara tertentu. Ada banyak perdebatan tentang seberapa efektif itu dan saya tentu tidak akan menyarankan membabi buta untuk siapa pun, tetapi terserah pada bisnis untuk menentukan sendiri apakah memiliki bisnis yang sah dengan perusahaan yang berasal dari daerah tertentu dan karena itu apa risiko memblokir rentang alamat yang terkait dengan area tersebut vs. risiko tidak memblokir alamat tersebut.

Meskipun pemblokiran geografis tidak akan menghentikan penyerang yang ditentukan, hal itu meningkatkan kompleksitas menyerang jaringan Anda dari lokasi ini (dan perlu diingat ini mungkin berarti anggota botnet dari lokasi itu) dan ini juga dapat mengurangi jumlah "suara latar" dari penyerang biasa & skrip kiddies, membuatnya lebih mudah untuk melihat serangan yang lebih bertekad.

masukkan deskripsi gambar di siniContoh ini dari artikel Pangkalan Pengetahuan Sonicwall tentang cara mengatur jenis filter ini.

Dalam kasus apa pun, jika Anda memiliki bisnis yang perlu terhubung ke bisnis di negara yang diblokir, saya tidak menyarankan mencoba menyelinap di firewall seperti yang disarankan dalam jawaban lain, melainkan menjadikannya masalah manajemen: bicarakan dengan manajer Anda , minta mereka berbicara dengan manajer departemen TI dan memperjelas bahwa ada persyaratan bisnis untuk memungkinkan akses tersebut. Sangat tidak mungkin bahwa tidak ada cara untuk mengkonfigurasi blok semacam ini, dan jika ada semacam insiden keamanan dan upaya Anda untuk mengatasi blok yang merupakan bagian dari kebijakan TI perusahaan terdeteksi, Anda sangat kemungkinan dibiarkan dengan menyalahkan atas pelanggaran keamanan.

Rob Moir
sumber
1
Setuju dengan apa yang Anda katakan. Setidaknya TI harus dapat memasukkan daftar putih ke Kementerian Pertahanan Rusia atau situs lain yang memerlukan akses OP
chue x
Saya dapat menghitung sebagian besar megacorps tempat saya bekerja sebagai permintaan semacam itu adalah hal yang memberi Anda kesulitan dari manajemen dan mungkin tidak pernah terjadi, dan dalam organisasi yang lebih kecil menjadi sesuatu yang lebih dapat dipertahankan. Mari kita hitung saja waktu mereka memblokir facebook di salah satu perusahaan besar tempat saya bekerja dan itu menyebabkan manajemen bahkan tidak memeriksa profil facebook cowok ini yang mengacaukan semuanya - dia jelas sangat suka ekstasi di PALING foto publiknya
Dmitri DB
Yah itu keputusan Anda @ DmitriDB, jelas. Saya tidak akan menuntut manajer saya "membuat IT untuk membuka blokir x ". Namun saya akan mengatakan, dalam memo tertulis, "Untuk menyelesaikan tugas foo , saya perlu mengakses bilah situs yang saat ini diblokir sesuai dengan kebijakan perusahaan. Bagaimana Anda menyarankan agar kami melanjutkan?". Setelah semua (dan mengesampingkan perdebatan tentang efektivitas pemblokiran geografis untuk saat ini) bisnis mungkin memutuskan bahwa risiko membuka blokir suatu negara lebih besar daripada risiko tidak menyelesaikan tugas. Manajer Anda dibayar untuk menerima itu. Biarkan mereka.
Rob Moir
1
Saya hanya ingat dimarahi karena menyarankan hal-hal seperti itu. Mungkin mengapa saya tidak pernah bekerja di megacorp selama bertahun-tahun sekarang
Dmitri DB
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.