Baru-baru ini, sekitar setahun terakhir ini, saya perhatikan bahwa semakin sulit untuk menjangkau situs-situs tertentu, terutama di negara-negara yang tidak disukai seperti Iran atau Rusia.
Sebagai contoh, baru saja saya mencoba menjangkau situs web Kementerian Pertahanan Rusia ( http://eng.mil.ru/en/index.htm ), sebuah situs yang saya miliki alasannya terkait dengan bisnis yang sah untuk berkunjung, dan waktunya habis. Saya mencoba situs yang sama melalui proxy Eropa dan tidak punya masalah koneksi. Saya kemudian mencoba tracert dan ini hasilnya:
Interpretasi saya tentang ini adalah bahwa IP sedang diblokir oleh firewall perusahaan. Saya bertanya kepada departemen TI kami apa kebijakan pemblokiran IP untuk jaringan dan diberi tahu bahwa kebijakan itu tidak ditentukan oleh perusahaan kami, tetapi oleh penyedia layanan firewall dan bahwa itu "rahasia dan eksklusif" untuk penyedia dan bahwa mereka (artinya IT) tidak memiliki kendali atas kebijakan itu.
Apa ceritanya di sini? Apakah vendor produk firewall hanya menutup seluruh negara?
Hanya untuk cekikikan, saya memutuskan untuk mencoba berbagai negara untuk melihat apa yang akan terjadi:
Finland ok
Poland ok
Russia blocked
Ukraine blocked
Estonia blocked
Turkey blocked
Saudi Arabia blocked
Afghanistan ok
Iraq blocked
Georgia ok
Armenia blocked
Uzbekistan ok
Baiklah, jadi saya bisa mengunjungi situs web di Uzbekistan dan Georgia, tetapi tidak di Armenia atau Ukraina? Siapa yang mengarang logika ini?
sumber
Jawaban:
Saya telah melihat berbagai vendor melakukan pemfilteran konten berdasarkan negara asal. China dan Rusia biasanya yang penyaringannya dihidupkan secara default, atau paling tidak memiliki semacam penyiapan lansiran. Ini karena mereka sering menjadi sumber serangan malware. Saya tidak membeli saluran yang departemen TI Anda tidak memiliki kendali atasnya. Vendor mana pun yang layak diberi garam akan membiarkan Anda memodifikasi pengaturan default pada produknya.
sumber
Ini kemungkinan tidak dilakukan pada level IDS / IPS, tetapi lebih pada level firewall (Melalui pemblokiran daftar IP, semacam kurang efektif) atau level routing dengan metode yang dikenal sebagai blackholing selektif (Sangat efektif dan memblokir rute dari bahkan datang ke router Anda sama sekali).
Alasan di balik ini tidak jelas - mungkin karena negara-negara yang Anda daftarkan sering menjadi sumber serangan, meskipun sebenarnya tidak lebih dari AS, dan penyerang bertekad hanya akan terus maju dan mengelak dalam kasus ini ... Bisa jadi jika Anda bekerja di organisasi yang cukup besar yang - mereka paranoid - entah bagaimana sendiri tentang ancaman dari IP yang berasal dari sana. Apa pun itu semacam tindakan pengamanan sementara untuk banyak maksud dan tujuan, dan Anda tidak perlu khawatir tentang diri Anda. Terowongan atau proksi keluar!
sumber
Sangat mungkin untuk menggunakan lokasi geografis IP untuk memblokir rentang alamat IP yang terkait dengan negara-negara tertentu. Ada banyak perdebatan tentang seberapa efektif itu dan saya tentu tidak akan menyarankan membabi buta untuk siapa pun, tetapi terserah pada bisnis untuk menentukan sendiri apakah memiliki bisnis yang sah dengan perusahaan yang berasal dari daerah tertentu dan karena itu apa risiko memblokir rentang alamat yang terkait dengan area tersebut vs. risiko tidak memblokir alamat tersebut.
Meskipun pemblokiran geografis tidak akan menghentikan penyerang yang ditentukan, hal itu meningkatkan kompleksitas menyerang jaringan Anda dari lokasi ini (dan perlu diingat ini mungkin berarti anggota botnet dari lokasi itu) dan ini juga dapat mengurangi jumlah "suara latar" dari penyerang biasa & skrip kiddies, membuatnya lebih mudah untuk melihat serangan yang lebih bertekad.
Contoh ini dari artikel Pangkalan Pengetahuan Sonicwall tentang cara mengatur jenis filter ini.
Dalam kasus apa pun, jika Anda memiliki bisnis yang perlu terhubung ke bisnis di negara yang diblokir, saya tidak menyarankan mencoba menyelinap di firewall seperti yang disarankan dalam jawaban lain, melainkan menjadikannya masalah manajemen: bicarakan dengan manajer Anda , minta mereka berbicara dengan manajer departemen TI dan memperjelas bahwa ada persyaratan bisnis untuk memungkinkan akses tersebut. Sangat tidak mungkin bahwa tidak ada cara untuk mengkonfigurasi blok semacam ini, dan jika ada semacam insiden keamanan dan upaya Anda untuk mengatasi blok yang merupakan bagian dari kebijakan TI perusahaan terdeteksi, Anda sangat kemungkinan dibiarkan dengan menyalahkan atas pelanggaran keamanan.
sumber