Otázka:
Je blokování přístupu země na webové stránky dobrým opatřením, aby se zabránilo hackerům z této země?
Luis Arriojas
2014-11-03 21:59:00 UTC
view on stackexchange narkive permalink

Momentálně se nacházím ve Venezuele a celý víkend jsem nemohl získat přístup na stránky grubhub.com a seamless.com.

Nakonec jsem zkusil použít prohlížeč Tor a získal přístup. Totéž se stalo v lednu, když jsem se v zahraničí pokusil o přístup na webové stránky policejního oddělení v okrese státu New York.

Je to opatření, jak se vyhnout hackerům? Nebo to dělají proto, aby se vyhnuly utrácení šířky pásma v zemích, kde web neslouží obyvatelstvu?

Možná bude třeba přeformulovat vaši otázku. Je těžké odpovědět, proč to tyto konkrétní stránky dělaly.
Vaše příklady a zbytek otázky nemusí vůbec souviset. Máte např. pokusil se zkontrolovat vaši IP adresu pomocí různých CBL / DNSBL, pokud je to na černé listině? Poskytovatelé internetových služeb některých zemí mají tendenci cyklovat mezi přidělenými IP adresami DHCP poměrně rychle (Indie je jedním známým příkladem) a v té době vám mohla být přidělena IP, která byla na černé listině. V obou případech jedna IP adresa, která je na černé listině ve veřejných CBL, které mohou některé weby (jako ty, které používáte jako příklad) používat, neznamená blokování v dané zemi. Použijte např. http://www.ipvoid.com/ zkontrolovat prostřednictvím mnoha veřejných CBL / DNSBL.
Dokud nejsou dost chytří na to, aby používali VPN a proxy. Udržování Němců mimo Francii ve druhé světové válce bylo stejně účinné jako Maginotova linie. Vždy existuje cesta kolem.
Pouze špatní hackeři.
Pamatujte, že při blokování celé země budou blokováni pouze legitimní uživatelé, protože vaši „hackeři“ nikdy nepoužívají svou vlastní IP adresu, ale pracují buď prostřednictvím jiných, nebo prostřednictvím proxy / VPN, které mohou být založeny kdekoli kromě jejich vlastní země
Zvažte skutečnost, že omezení přístupu podle země znamená, že poškozujete koncept internetu. Představte si svět, kde jsou všechny neamerické IP adresy blokovány na Stackexchange, protože američtí inzerenti tvoří 99% jejich zisků.
Chcete-li být trochu tupý, jste si jisti, že tyto stránky ve skutečnosti blokují Venezuelu, na rozdíl od něčeho, co způsobuje problémy trochu blíže vaší poloze? Nejsem si jistý současným stavem věcí, ale Venezuela určitě měla problémy v minulosti. Moje kamarádka dříve učila informatiku v _kapitále_ a měli rolovací výpadky, což jí docela ztížilo práci ...
Může to být (zpackaný) pokus venezuelských mocností o zavedení věci typu „Velký čínský firewall“. (I když je pravděpodobnější, že někdo nezaplatil nájem na dálkovém vedení nebo něco takového.)
Každý hacker, který si stojí za to dělat starosti, může podvádět jeho zemi původu.
Pět odpovědi:
Thomas Pornin
2014-11-03 22:27:51 UTC
view on stackexchange narkive permalink

Blokování podle zemí je obvykle zavedeno na základě některých organizačních zásad, jejichž záměrem je skutečně „blokovat hackery“. Tyto věci selhávají ve třech bodech:

  1. Taková politika předpokládá, že lidi se zlými úmysly lze kategorizovat podle národnosti. Toto je starý způsob myšlení z první světové války.

  2. Zeměpisná poloha je pro počítače nepodstatná; brána firewall vidí pouze adresy IP . Odvození geografie z IP adres se opírá o velké tabulky, které nejsou nikdy úplně aktuální.

  3. Jak jste si všimli, práce kolem těchto blokovacích systémů je pro útočníky triviální; postačí použít přenosového hostitele mimo blokovanou zemi a při použití Tor se to stane „přirozeně“. Většina útočníků i taková relé použije k pokrytí svých stop.

Takže obvyklým čistým účinkem takového blokování je podráždění několika normálních uživatelů (kteří by mohli být zákazníky , ale nebudou nyní, když jsou naštvaní), aniž by ve skutečnosti bránili úsilí kompetentních útočníků.


Na druhé straně je však někdy zavedeno blokování založené na „zemi“, aby se zabránilo tisíce bezduchých dronů ze spamování protokolů připojení. Například sysadmin si mohl všimnout nárůstu fiktivních připojení z nějakého botnetu, z nichž většina byla umístěna ve Venezuele. V takovém případě úplné blokování Venezuely může pomoci zabránit ucpání souborů protokolu, což bude mít pouze malý dopad na podnikání (za předpokladu, že dotyčný server má velmi málo poctivých venezuelských zákazníků). Je tedy myslitelné , že analýza rizika a nákladů určila, že takové velké blokování by věci zlepšilo.

Ve většině případů je však „země blokování“ k dispozici: blokování celé země pomáhá správcům systému ukázat manažerům, že dělají něco pro bezpečnost, způsobem, kterému manažeři snadno rozumějí. Toto je obvyklá situace zabezpečení: když všechny věci fungují dobře, zabezpečení je neviditelné. Je bohužel těžké vyjednat rozpočty na aktivity, které neznamenají žádný viditelný výsledek. I když hlavním bodem zabezpečení je vyhnout se viditelným výsledkům, např. znetvořený web nebo seznam 16 milionů uživatelských hesel unikly a zasáhly novinky.

V případě mediální distribuce někteří distributoři vynucují blokování v jednotlivých zemích, protože neměli práva na přenos celého světa a provedením určité modifikace blokujícího úsilí plní své zákonné povinnosti. Pravděpodobně je tento případ také „pro show“.

Záměrem nemusí být nutně bezpečnost, stejně jako redukce šumu. Pokud z místa nikdy nezískáte legitimní provoz a vaše protokoly se zaplňují chybami způsobenými roboty, blokování celé země způsobí, že nepříjemný problém zmizí.
Blokování na základě zemí je Maginotova řada politik, protože mohu jen zastupovat přes neutrální Belgii.
+1. Jelikož je „blokováno“ v otázce vágní, blokování specifické pro jednotlivé země se používá také k vydávání licencí. Například televizní weby v USA blokují přístup k videím (nikoli celému webu) na základě země diváka. Nemusí to nutně blokovat roboty nebo cokoli jiného - jsou to jen právní problémy s licencováním.
Myslím si, že snadné obejít tento filtr je přínosem pro strategii, nikoli úskalím. Umožňuje trvalým legitimním uživatelům pokračovat v používání webu. Je to jako běh služby na jiném než výchozím portu. Nezastaví žádnou skutečnou osobu na klávesnici s rozpětím pozornosti více než 10 sekund, ale sníží 99% automatických pokusů o rozbití.
Proč každý předpokládá, že má „blokovat hackery“? Na základě příkladu webu GrubHub.com, sídlícího v USA, který nabízí online objednávání restaurací se sídlem v USA, jaké legitimní použití by osoba z VZ musela navštívit? Je pravděpodobné, že ztráta prodeje 0,5% skutečných legitimních uživatelů, kteří jsou blokováni, je vyvážena úsporami zdrojů, protože nemusí obsluhovat celý web do země, kde tento web obecně není užitečný (a tedy z níž je pravděpodobný největší provoz) spammeři / hackeři / atd.)
Pokud jde o váš první bod - pokud určité procento útoků pochází z dané geografické oblasti (např. Země), pak blokování této oblasti blokuje (povrchně, bez protiopatření) toto procento útoků. Ať se vám to líbí nebo ne, a zda je to PC.
Pracoval jsem pro místo, které blokovalo celé Rusko a Čínu. Vzhledem k tomu, že naši zákazníci v těchto státech neměli provoz, skutečně nebyl legitimní důvod povolit provoz. Bylo zablokováno, ale v reakci na to, že se čínský státní vyhledávač choval velmi špatně, a protože Čína tyto informace nepoužila, byly zablokovány.
Asi # 2, to není tak úplně pravda. IP adresy jsou přidělovány zemím dříve, než je lze použít (a všechny legální adresy IPv4 byly přiřazeny zemím, pro každou zemi je k dispozici doslova nula, takže databáze je kompletní). Před použitím je také nutné přiřadit rozsahy IPv6 a společnosti, které tyto informace poskytují, to dělají dostatečně daleko předem, aby to mohl udělat vývojář, který chtěl na základě IP poskytnout přesnost 99,999%. Pokud ovšem není tunelování / VPN atd. Ale # 2 rozhodně není přesný sám o sobě.
phyrfox - pokud si přečtete tuto malou tabulku, uvidíte velmi velké číslo přidělené společností, nikoli zemí. A kde se vlastně nachází .com nebo .me? A kdo to vlastní / provozuje? Všichni velmi nezávislí na sobě. http://en.wikipedia.org/wiki/List_of_assigned_/8_IPv4_address_blocks
@Rory Alsop .me by samozřejmě byla Černá Hora :)
Velmi pravdivý Andre - a moje webová stránka končí v .me, ale nikdy jsem tam nebyl a pravděpodobně ani nikdy nebudu. Chci říct, že umístění v zemi je pravděpodobně kolmé na bezpečnost.
@DoktorJ: "jaké legitimní použití by osoba z VZ musela navštívit?" - Nejsem konkrétně z VZ, ale při některých příležitostech jsem pomohl známým v jiných zemích, kteří nejsou zdatní v IT, s objednáváním věcí online tím, že jsem pro ně v podstatě prošel procesem. Ano, jedná se o rohový případ, ale jistě legitimní použití, o které by vlastník webu mohl mít skutečný zájem. (Další legitimní použití, z něhož však majitel webu nemá přímý užitek, se jednoduše dívá na web a jeho možnosti, např. pojmenujte to jako skutečný příklad něčeho ve výzkumné práci.)
@O.R. Mapper pro web jako GrubHub, proč by si proboha někdo v jiné zemi legitimně objednal oběd z americké restaurace? Může to být jednoduše opatření ke snížení nákladů - pokud nejste potenciálním zákazníkem, proč plýtvat šířkou pásma (a nakonec penězi) tím, že vám bude sloužit grafika ve vysokém rozlišení a podobně?
@DoktorJ: Právě jsem vysvětlil. Pokud mám v USA netechnické znalosti, byl bych (mimo USA) více než šťastný, kdybych rychle prošel „komplikovaným procesem“ objednávání jejich jídla, pokud se mě zeptají ( vědět, „chlap, který něco dělá s počítači, a tak ví, jak takové věci fungují“), aby jim dal (virtuální) ruku. Udělal jsem to pro účty okamžitých zpráv a podobně, proč bych to neměl dělat pro objednávky v restauraci?
@DoktorJ: A abychom jmenovali ještě jeden legitimní případ použití: Někdo v USA může mít technické potíže se zobrazením webu, jako je GrubHub, což lze vyřešit některými jednoduchými nastaveními prohlížeče. Proč by mi mělo být zakázáno zjistit, s jakými nastaveními web pracuje, jen proto, že nejsem fyzicky ve stejné zemi jako zákazník GrubHub, který s webem bojuje?
schroeder
2014-11-03 22:17:36 UTC
view on stackexchange narkive permalink

V mém případě pocházejí naši očekávaní zákazníci z předvídatelných zemí. Abychom omezili „povrch hrozeb“, jsou ostatní země blokovány.

Má to omezenou hodnotu, protože každá odhodlaná osoba může dělat to, co vy, a jednoduše přesměrovat svůj provoz. Vedlejší výhodou však je, že země, které povolujeme, jsou země s přísnými kybernetickými zákony, a pokud dojde k útoku, můžeme získat pomoc s vymáháním práva. Pokud tedy útočník z nepovolené země směruje svůj provoz přes povolenou zemi, můžeme zapojit policii. Je to maličkost, ale snižuje riziko bez jakéhokoli dopadu na podnikání a bez nákladů (kromě doby vstupu do povolené země do whitelistu firewallu).

Když jsem to udělal, špatný zatížení provozu na našich webových serverech pokleslo o 90%, což je významné z hlediska úspory nákladů na zdroje, pokud nic jiného.

Přesně tohle. Není to dokonalé, ale pokud je vaše cílová skupina vysoce specifická pro danou zemi, tak proč nechat přední dveře dokořán pro útočníky z jiných zemí? Jistě, někteří najdou okna, garážová vrata a podobně, ale 95+% prostě přejde na jiné cíle.
Jak by pomohly „přísné kybernetické zákony“, pokud je skutečný útočník daleko od této země?
Útočník tedy není problém, ale otočný bod je.
@schroeder Stále nesleduji, jak by vám po tom pomohla policie
Pokud dojde k aktivnímu útoku, je snazší nechat si útok vysledovat a vyřešit ISP, protože ISP má určité právní povinnosti. Poté je možné tento bod otáčení opravit. V některých zemích ISP jednoduše neodpovídají na moje volání o pomoc a já vím, že jejich policejní síly na útoky nereagují. Američtí, kanadští a britští poskytovatelé internetových služeb a policejní síly reagují a mohou eskalovat.
Ka Rl
2014-11-04 13:57:02 UTC
view on stackexchange narkive permalink

Je pravda, že pokud by hacker chtěl získat přístup na vaši stránku, nepomůže to, může jednoduše použít vpn nebo proxy.

Ale pokud si myslíte o všech robotech, které existují zaútočte na každou stránku, kterou najdou, abyste otestovali zneužití nebo hesla, budete moci mnoho z nich zablokovat. To vám také pomůže proti útokům ddos, pokud zablokujete všechny země kromě té, ve které žijete, můžete blokovat většinu provozu. Samozřejmě existují účinnější metody proti útokům ddos, ale filtr je rozumný a jednoduchý.

Gabriel
2014-11-05 05:47:55 UTC
view on stackexchange narkive permalink

Některé weby blokují země z obchodních důvodů. Provoz z některých zemí nevytváří dostatečné příjmy, aby zaručil zdroje, které jim slouží. Společnosti někdy nechtějí expandovat do země, dokud nedokáží „udělat to správně.“

Pravděpodobně nejde o bezpečnostní problém. To lze obejít pomocí TOR a VPN. Samozřejmě mohou také blokovat provoz z TOR a VPN, nebo alespoň pozorněji sledovat.

Toto je obchodní nebo politické rozhodnutí, nikoli technické.

nitro2k01
2014-11-06 22:15:41 UTC
view on stackexchange narkive permalink

V případě stránek, jako je Grubhub, není důvodem blokování určitých zemí pravděpodobně hackerství (technické rušení), ale spíše snaha zmařit falešné recenze a podobný nežádoucí obsah. V dnešní době je poměrně běžné, že lidé v chudých zemích jsou najímáni za zveřejňování spamu nebo podobných věcí, jako jsou falešné recenze za pár drobných.

Určitě by tento blok někdo mohl obejít, ale to by pak mohlo být detekovány jiným způsobem, protože tito uživatelé by se pak pravděpodobně připojili prostřednictvím serveru proxy, který lze zjistit prostřednictvím černé listiny proxy serveru. Jde o to, abychom spíše než absolutní bezpečnost nastavili blokování silnic. Na rozdíl od chyby zabezpečení nejsou falešné recenze na hodnocení restaurací bezprostředně fatální hrozbou pro web.

Pokud je to provedeno uvážlivým způsobem a zaměřením na skutečný problém, který byl identifikován, může to být absolutně účinné při zastavení nežádoucích příspěvků. Abych jmenoval příklad, pro web, který provozuji, jsem zjistil, že neustále dostávám spam z Bangladéše, Pákistánu a Kamerunu (ze všech míst) a nulový užitečný provoz ze stejných míst. Podle svých nejlepších schopností jsem těmto zemím zablokoval zveřejňování obsahu, ale ne čtení webu. Uživatelé z těchto zemí jsou nyní přivítáni zdvořilou zprávou, která je žádá, aby kontaktovali e-mailovou adresu, která byla nastavena právě pro tento účel, pokud se jednalo o legitimní uživatele. Toto bylo účinné při blokování této konkrétní třídy spamu a je příkladem toho, co bych nazval dobře informovaným a uvážlivým využitím blokování určité země.



Tyto otázky a odpovědi byly automaticky přeloženy z anglického jazyka.Původní obsah je k dispozici na webu stackexchange, za který děkujeme za licenci cc by-sa 3.0, pod kterou je distribuován.
Loading...