Suis-je paranoïaque, ou les pare-feu d'entreprise censurent-ils des pays entiers? [fermé]

Fermé . Cette question doit être plus ciblée . Il n'accepte pas actuellement de réponses.

Voulez-vous améliorer cette question? Mettez à jour la question pour qu'elle se concentre sur un seul problème en modifiant ce post .

Fermé il y a 2 ans .

Récemment, au cours de la dernière année environ, j'ai remarqué qu'il semble de plus en plus difficile d'atteindre certains types de sites, en particulier ceux des pays non favorisés comme l'Iran ou la Russie.

Par exemple, tout à l'heure, j'ai essayé d'accéder au site Web du ministère russe de la Défense ( http://eng.mil.ru/en/index.htm ), un site que j'ai des raisons légitimes de visiter pour des raisons professionnelles, et il a expiré. J'ai essayé le même site via un proxy européen et je n'ai eu aucun problème de connexion. J'ai ensuite essayé un tracert et voici le résultat:

Mon interprétation de cela est que l'adresse IP est bloquée par le pare-feu de l'entreprise. J'ai demandé à notre service informatique quelle était la politique de blocage IP pour le réseau et on m'a dit que la politique n'était pas déterminée par notre entreprise, mais par le fournisseur de services de pare-feu et qu'elle était "secrète et propriétaire" pour le fournisseur et qu'ils (signifiant IT) n'avait aucun contrôle sur cette politique.

Quelle est l'histoire ici? Les fournisseurs de produits pare-feu bloquent-ils simplement des pays entiers?

Juste pour rire, j'ai décidé d'essayer différents pays pour voir ce qui se passerait:

Finland       ok
Poland        ok
Russia        blocked
Ukraine       blocked
Estonia       blocked
Turkey        blocked
Saudi Arabia  blocked
Afghanistan   ok
Iraq          blocked
Georgia       ok
Armenia       blocked
Uzbekistan    ok

D'accord, je peux donc visiter des sites Web en Ouzbékistan et en Géorgie, mais pas ceux d'Arménie ou d'Ukraine? Qui compose cette logique?

networking security firewall

— Tyler Durden
source

Qu'est-ce qu'un système de détection d'intrusion a à voir avec le filtrage de contenu? La réponse de votre service informatique est complètement absurde. Un IDS et un pare-feu ne sont pas la même

— chose

Tout cela est vraiment arbitraire et basé sur des besoins idiosyncratiques. Mais je dirai ceci: je travaille aux États-Unis et j'ai travaillé pour des entreprises américaines dont les propriétés Web n'ont absolument aucune valeur pour quiconque en dehors des États-Unis et il est généralement demandé qu'un filtrage au niveau du serveur arrive à bloquer des pays entiers et des plages d'adresses IP. non pas à cause de la censure, mais plutôt de besoins pragmatiques basés sur le fait que leur site serait systématiquement sondé - et souvent infecté par des logiciels malveillants - qui peut être attribué à des pays spécifiques ou à des plages d'adresses IP. C'est donc vraiment l'état du monde Internet moderne.

— JakeGould

J'ai moi-même mis en œuvre le blocage régional en utilisant le blackholing sélectif afin d'atténuer l'effet des inondations DDoS alors que je savais avec certitude que la grande majorité de la clientèle était de toute façon géographiquement limitée. Très efficace mais n'aidera probablement pas si vous attirez la colère de quelque chose comme mirai

— Dmitri DB

C'est un élément standard d'un plan de défense en couches à bloquer comme ça. Il a évidemment des limites, mais fait partie d'un plan global plus large. Même en remontant à la fin des années 90, lorsque les endroits où j'avais travaillé ne disposaient que de 56 000 lignes de location (ou parfois du T-1 super rapide!). Bien sûr, vous ne le verriez probablement pas pour les entreprises mondiales, mais cela est standard depuis un certain temps pour les petites entreprises de type régional.

— Brian Knoblauch

Il est plutôt intéressant de savoir pourquoi l'Estonie figure sur cette liste.

— Sarge Borsch

Réponses:

J'ai vu divers fournisseurs effectuer un filtrage de contenu en fonction du pays d'origine. La Chine et la Russie sont généralement celles dont le filtrage est activé par défaut, ou au moins une sorte d'alerte est configurée. En effet, ce sont souvent des sources d'attaques de logiciels malveillants. Je n'achète pas de ligne dont votre service informatique n'a aucun contrôle. Tout fournisseur digne de ce nom vous permettrait de modifier les paramètres par défaut de ses produits.

— Charles Burge
source

Je sais avec certitude que si j'ai de meilleures choses à faire que d'écouter un employé de niveau inférieur partir et que je suis le BOFH, je vais leur cracher quelques technobabbles pour les faire sortir de mon visage afin que je puisse revenir à faire ce que je dois faire

— Dmitri DB

Ouais, je vous entends vraiment. Je déteste avoir à expliquer les choses aux utilisateurs quand ils demandent une raison pour laquelle quelque chose est la façon dont il est, parce que la ligne de démarcation entre l' édulcorer les termes qu'ils peuvent comprendre par rapport à parler vers le bas pour eux est incroyablement mince.

— Charles Burge

Cela n'est probablement pas fait au niveau de l'IDS / IPS, mais plutôt au niveau du pare-feu (via le blocage de la liste IP, en quelque sorte moins efficace) ou au niveau du routage avec une méthode connue sous le nom de blackholing sélectif (fortement efficace et bloque la route à partir de allant même jusqu'à votre routeur).

La raison derrière cela n'est pas claire - probablement parce que les pays que vous avez énumérés sont souvent des sources d'attaques, bien que pas plus que les États-Unis, et les attaquants déterminés iraient de l'avant et contourneraient de toute façon dans ce cas ... Peut-être que si vous êtes travailler dans une organisation assez grande qui - ils sont paranoïaques - eux-mêmes en quelque sorte sur les menaces des IP provenant de là. Quoi qu'il en soit, c'est une sorte de mesure de sécurité provisoire à de nombreuses fins, et vous n'avez rien à faire pour vous. Sortie tunnel ou proxy!

— Dmitri DB
source

C'est une solution étrange, cependant - vous encouragez essentiellement quelqu'un à contourner le pare-feu lorsque le pare-feu est censé faire son travail. Si le pare-feu ne fonctionne pas correctement et ne peut pas être corrigé, il semble qu'il soit temps de le jeter.

— oldmud0

Ce serait formidable pour lui de faire cela, mais c'est assez évident si vous lisez ce que cette personne a dit qu'elle ne travaille pas en tant que décisionnaire pour faire un effet à la fin de ce que vous avez suggéré, et cela ressemble à il a besoin de faire son travail, alors ...

— Dmitri DB

Lors de mon dernier travail, mon réseau avait à la fois le blocage géographique et le blocage des applications activés pour empêcher l'utilisation de routeurs oignons ou de VPN, etc., parmi de nombreux autres services interdits. L'une des raisons est que oui, certains pays abritent un grand nombre de mauvais acteurs dans des environnements moins réglementés tout en n'étant pas des endroits où nous enverrions jamais du trafic légitime, donc les interdire entièrement a un effet positif sur la sécurité au détriment de l'utilisabilité. . Vous pouvez envoyer un e-mail aux membres de votre famille ukrainienne depuis votre smartphone.

— Todd Wilcox

"Cela pourrait être dû au fait que si vous travaillez dans une organisation suffisamment grande, ils sont eux-mêmes paranoïaques quant aux menaces des IP provenant de là." Ou ce pourrait être la sécurité du culte du fret.

— jpmc26

Il est parfaitement possible d'utiliser la géolocalisation IP pour bloquer les plages d'adresses IP associées à certains pays. Il y a beaucoup de débat sur son efficacité et je ne suggérerais certainement pas de le révéler aveuglément à quiconque, mais c'est à une entreprise de déterminer par elle-même si elle a ou non des relations commerciales légitimes avec des entreprises originaires d'une région particulière et donc quels sont les risques de bloquer les plages d'adresses associées à cette zone par rapport aux risques de ne pas bloquer ces adresses.

Bien que le blocage géographique n'empêche pas les attaquants déterminés, il augmente la complexité d'attaquer votre réseau à partir de cet emplacement (et gardez à l'esprit que cela pourrait signifier les membres du botnet à partir de cet emplacement) et cela pourrait également réduire la quantité de "bruit de fond" provenant de attaquants occasionnels et script kiddies, ce qui permet de voir plus facilement les attaques les plus déterminées.

Cet exemple provient d'un article de la base de connaissances Sonicwall sur la façon de configurer ces types de filtres.

Dans tous les cas, si vous avez besoin d'une entreprise de se connecter à une entreprise dans un pays bloqué, je ne suggère pas d' essayer de contourner le pare-feu comme suggéré dans d'autres réponses, mais plutôt d'en faire un problème de gestion: parlez-en à votre responsable , demandez-leur de parler au responsable du service informatique et expliquez clairement qu'il existe une exigence commerciale pour autoriser un tel accès. Il est très peu probable qu'il n'y ait aucun moyen de configurer ces types de blocs, et au cas où il y aurait une sorte d'incident de sécurité et que vos tentatives de contourner les blocs qui font partie de la politique informatique de l'entreprise sont détectées, vous êtes fortement susceptibles d'être laissés pour responsables de la violation de la sécurité.

— Rob Moir
source

D'accord avec ce que vous dites. Au moins, le service informatique devrait pouvoir mettre en liste blanche le ministère russe de la Défense ou un autre site auquel OP a besoin d'accéder

— chue x

Je peux compter la plupart des mégacorps dans lesquels j'ai travaillé comme ce genre de demande étant le genre de chose qui vous donne du fil à retordre à la direction et qui n'arrivera peut-être jamais, et dans les petites organisations, c'est quelque chose de plus tenable. Disons simplement compter le temps où ils ont bloqué Facebook dans l'une des plus grandes entreprises pour lesquelles je travaillais et cela a conduit la direction à ne même pas vérifier le profil Facebook de ce mec qui gâchait tout - il était clairement haut en extase dans la PLUPART de ses photos publiques

— Dmitri DB

Eh bien, c'est votre décision @DmitriDB, évidemment. Je n'exigerais pas que mon manager "fasse débloquer l'informatique x ". Je dirais cependant, dans une note écrite, "Afin d'accomplir la mission foo , je dois accéder à la barre de site qui est actuellement bloquée conformément à la politique de l'entreprise. Comment proposez-vous que nous procédions?". Après tout (et en mettant de côté le débat sur l'efficacité du blocage géographique pour l'instant), l'entreprise pourrait bien décider que le risque de débloquer un pays est plus élevé que le risque de ne pas faire la tâche. Votre manager est payé pour prendre le dessus. Laisse les.

— Rob Moir

Je me souviens juste d'avoir crié après avoir suggéré des choses comme ça. Probablement pourquoi je n'ai jamais travaillé dans un mégacorp depuis des années maintenant

— Dmitri DB