lbromirs pisze:Firewall sam w sobie to jedno. Zakładanie szerokich, generalnych ograniczeń to budowanie niepotrzebnych granic.
słowo-klucz: niepotrzebnych
zakładam że nikt nie szuka takich rozwiązań z nudów, tylko ma ku temu jakiś powód wynikający z potrzeby. internet bez granic to utopia. każdy decyduje we własnym zakresie co, komu i na jakich zasadach chce udostępniać i skoro nie chce mieć połączeń z jakiegoś kraju (ze wszystkimi tego konsekwencjami) to dlaczego nie?
zresztą wcale nie jest powiedziane że geoip można tylko do tego celu wykorzystywać. dlaczenie nie potraktować tego po prostu jako kryterium które można wykorzystać w polityce sterowania ruchem (pbr/qos albo w sdn) ?
lbromirs pisze:"Chyba że". Do tej pory w swojej karierze widziałem dwa takie przypadki - i wymagało to ogromnego zaangażowania ludzi i narzędzi, a zatem kosztów. W pozostałych przypadkach, nawet pewnych Bardzo Dużych Podmiotów Ogólnoświatowych, zawsze gdzieś nowa świetna koncepcja statycznych list/adresów zawsze gdzieś gryzła w piętę w najmniej oczekiwanym momencie.
no proszę cię... myślałem że wykluczyliśmy już statyczne listy/adresy...
jest sporo opensource-owych projektów typu pfsense z pluginem pfblocker które załatwiają ten temat, kilka komercyjnych też pewnie się znajdzie. użycie takich dynamicznych list i ich aktualizacja nie wymaga jakichś ogromnych nakładów administracyjnych ani pieniężnych...
lbromirs pisze:krisiasty pisze:lbromirs pisze:Zdecydowanie sensowniejsze jest - skoro już chcesz wykrywać włamania bardziej inteligentnie niż na podstawie blokowania całych zakresów IP - pójść w analizę ruchu.
nie zawsze się ma pod ręką to co się chce. lepiej blokować ruch z "niechcianych" sieci niż wcale, czyż nie?
...ale w ten sposób najprościej po prostu odciąć się od internetu.
od części internetu. tej z której nie życzymy sobie połączeń. co w tym złego? kryterium kraju do którego "należy" dany ip jest równie dobrym kryterium jak każde inne.
lbromirs pisze:krisiasty pisze:lbromirs pisze:Masz dziurawe SSH? To masz inny problem niż blokowanie zakresów z Chin.
zakładasz że dowiadujesz się o dziurze zanim zrobią (i wykorzystają) to inni... tak, wiem, zaraz powiesz że znowu ips-y czy inna analiza treści powinna to złapać... a jak nie złapie? albo znowu nie masz dostępnych takich narzędzi?
Zakładam, że dowiadujesz się i w najgorszym wypadku wyłączasz na czas załatania, lub dodajesz dla tej konkretnie aplikacji konkretne ograniczenie.
Ale wtedy dużo sensowniejszy jest zestaw paru/nastu adresów IP w whiteliście, niż dodatkowe wpisy do blacklisty. Ponieważ jak dziura jest, nie tylko Chińczycy będą chcieli ją wykorzystać - wszystkie średnio inteligentne boty rzucą się do jej mapowania w ciągu paru minut. A i trojany w Twojej własnej sieci mogą się zainteresować.
wiesz, to trochę tak jakbyś sugerował nie stosować wiz i kontroli na granicach bo i tak wszyscy niebezpieczni przestępcy mogą wjechać / wlecieć / wpłynąć czy inny sposób przedostać się do kraju jak będą chcieli.
filtrowanie po kraju nie ma być przecież jedynym / ostatecznym rozwiązaniem wszystkich problemów - to tylko jeden z elementów jakiejś polityki i jak już pisałem - lepiej go stosować (tam gdzie to możliwe i uzasadnione) niż nie. nie wiem w ogóle czemu o tym dyskutujemy - zasada stosowania wielu róznych zabezpieczeń jest już niemodna, czy co?