내가 편집증입니까, 아니면 회사 방화벽이 전체 국가를 검열합니까? [닫은]

폐쇄되었습니다 . 이 질문은 더 집중되어야 합니다. 현재 답변을받지 않습니다.

이 질문을 개선하고 싶습니까? 이 게시물 을 편집 하여 한 가지 문제에만 집중할 수 있도록 질문을 업데이트하십시오 .

휴일 2 년 전 .

최근 작년 쯤에 특정 종류의 사이트, 특히이란이나 러시아와 같은 비 선호 국가의 사이트에 도달하는 것이 점점 더 어려워지는 것으로 나타났습니다.

예를 들어, 방금 방문한 정당한 사업 관련 이유 가있는 러시아 국방부 웹 사이트 ( http://eng.mil.ru/en/index.htm )에 접속하려고했습니다. 시간이 초과되었습니다. 유럽 프록시를 통해 동일한 사이트를 시도했지만 연결하는 데 아무런 문제가 없었습니다. 그런 다음 추적을 시도했으며 결과는 다음과 같습니다.

이것에 대한 나의 해석은 IP가 회사 방화벽에 의해 차단되고 있다는 것입니다. 나는 IT 부서에 네트워크에 대한 IP 차단 정책이 무엇인지 물었고 정책은 회사가 아니라 방화벽 서비스 공급자에 의해 결정되며 공급자에게 "비밀하고 독점적"이라는 말을 들었습니다. IT)는 그 정책을 통제하지 못했습니다.

여기서 이야기는 무엇입니까? 방화벽 제품 공급 업체가 전체 국가를 담요로 막고 있습니까?

나는 킥킥 웃음을 위해 다른 나라에서 어떤 일이 일어날 지 알아 보려고 노력했다.

Finland       ok
Poland        ok
Russia        blocked
Ukraine       blocked
Estonia       blocked
Turkey        blocked
Saudi Arabia  blocked
Afghanistan   ok
Iraq          blocked
Georgia       ok
Armenia       blocked
Uzbekistan    ok

우즈베키스탄과 조지아의 웹 사이트를 방문 할 수 있지만 아르메니아 나 우크라이나의 웹 사이트는 방문 할 수 없습니까? 이 논리를 누가 구성하고 있습니까?

networking security firewall

— 타일러 더덴
소스

침입 탐지 시스템은 컨텐츠 필터링과 어떤 관련이 있습니까? IT 부서의 대응은 말도 안됩니다. IDS와 방화벽은 같지 않습니다

— Ramhound

이것은 모두 임의적이며 특유의 요구에 기반합니다. 그러나 나는 이것을 말할 것입니다 : 나는 미국에서 일하고 웹 속성이 미국 이외의 다른 사람에게는 전혀 가치가없는 미국 회사를 위해 일했으며 일반적으로 일부 서버 수준 필터링이 전체 국가 및 IP 범위를 차단하도록 요청됩니다 검열 때문이 아니라 특정 국가 또는 IP 범위에서 추적 될 수있는 사이트가 지속적으로 검색되고 종종 맬웨어 감염이 발생한다는 사실에 근거한 실질적인 요구가 있습니다. 이것이 실제로 현대 인터넷 세계의 상태입니다.

— JakeGould

어쨌든 대부분의 고객 기반이 지리적으로 제한되어 있음을 알았을 때 DDoS 홍수의 영향을 완화하기 위해 선택적 블랙홀 링을 사용하여 지역 차단을 직접 구현했습니다. 매우 효과적이지만 아마도 당신이 mirai와 같은 것의 진노를 그리면 도움이되지 않을 것입니다

— Dmitri DB

이를 막기위한 계층화 된 방어 계획의 표준 부분입니다. 분명히 한계가 있지만 더 큰 전체 계획의 일부입니다. 내가 일했던 장소에 56k 임대 선 만 있었거나 때로는 초고속 T-1!이었던 90 년대 후반으로 돌아가더라도. 물론 글로벌 기업에게는 보이지 않을 것이지만 소규모 지역 유형 기업에게는 꽤 오랫동안 표준이되었습니다.

— Brian Knoblauch

그 목록에 에스토니아가있는 이유는 다소 흥미 롭습니다.

— Sarge Borsch

답변:

원산지에 따라 콘텐츠 필터링을 수행하는 다양한 공급 업체를 보았습니다. 일반적으로 중국과 러시아는 필터링이 기본적으로 설정되어 있거나 적어도 일종의 경고가 설정되어 있습니다. 이는 종종 맬웨어 공격의 원인이되기 때문입니다. 귀하의 IT 부서가 통제 할 수없는 라인은 구매하지 않습니다. 그 가치가있는 공급 업체라면 제품의 기본 설정을 수정할 수 있습니다.

— 찰스 버지
소스

저급 직원의 소리를 듣는 것보다 더 좋은 일을한다면 BOFH 인 사람이 내 얼굴에서 벗어날 수 있도록 테크노 버블을 뱉어 다시 돌아올 수 있다는 것을 알고 있습니다. 내가해야 할 일

— Dmitri DB

그래, 확실히 들었어 나는 그들이 말하는 대 이해할 수있는 용어로 아래로 물 사이의 라인 때문에 그들이 뭔가가있는 방법입니다 이유를 요청할 때 사용자에게 일을 설명하는 것을 싫어 아래로 그들에게이 불가능할 정도로 얇다.

— Charles Burge

이는 IDS / IPS 수준에서 수행되는 것이 아니라 방화벽 수준 (IP 목록 차단, 덜 효과적 임) 또는 선택적 블랙홀 링 (강력한 효과 및 경로 차단) 방식으로 라우팅 수준에서 수행 될 수 있습니다. 라우터로 연결되기도합니다).

이 사실의 근거는 불분명합니다. 아마도 여러분이 열거 한 국가가 종종 미국보다 많지는 않지만 종종 공격의 원천이기 때문에 공격자가 계속 진행하여 그 경우 어쨌든 우회하기로 결정했을 것입니다 ... 충분히 큰 조직에서 일하고 있습니다- 그들은 편집증 적입니다 -어떻게 든 거기에서 시작된 IP의 위협에 대해 스스로. 어느 쪽이든 그것은 많은 의도와 목적에 대한 일종의 보안 수단이며, 당신은 자신에 대해 아무 것도 신경 쓸 필요가 없습니다. 터널이나 프록시 아웃!

— 드미트리 DB
소스

그것은 이상한 해결책이지만, 방화벽이 작업을 수행해야 할 때 누군가가 방화벽을 우회하도록 기본적으로 권장하고 있습니다. 방화벽이 제대로 작동하지 않아서 수정할 수없는 경우, 막아야 할 때처럼 들립니다.

— oldmud0

그에게 큰 도움이 되겠지만,이 사람이 당신이 제안한 것의 끝에 영향을 미치기위한 의사 결정 능력에서 일하지 않는다고 말한 것을 읽는 것이 분명합니다. 그는 자신의 일을해야하므로 ...

— Dmitri DB

마지막 작업에서 내 네트워크에는 금지 된 많은 서비스 중에서 양파 라우터 또는 VPN 등을 사용하지 못하도록 지역 차단 및 응용 프로그램 차단 기능이 모두 설정되었습니다. 근거 중 하나는 그렇습니다. 일부 국가에는 규제가 덜한 환경에서 많은 수의 나쁜 행위자가 있으며 합법적 인 트래픽을 보내지 않는 곳이 아니므로 금지하면 사용성에 거의 해를 끼치며 보안에 긍정적 인 영향을 미칩니다 . 스마트 폰에서 우크라이나 가족에게 이메일을 보낼 수 있습니다.

— Todd Wilcox

"만약 당신이 충분히 큰 조직에서 일하고 있다면 그들이 어떻게 든 IP로부터의 위협에 대해 편집증에 빠질 수있을 것입니다." 또는화물 컬트 보안 일 수 있습니다.

— jpmc26

IP 지리적 위치를 사용하여 특정 국가와 관련된 IP 주소 범위를 차단할 수 있습니다. 그것이 얼마나 효과적인 지에 대한 많은 논쟁이 있으며, 나는 누군가에게 그것을 맹목적으로 켜는 것을 제안하지는 않을 것이지만, 특정 지역에서 온 회사들과 합법적 인 비즈니스가 있는지 여부를 스스로 결정하는 것은 비즈니스의 책임입니다. 해당 영역과 관련된 주소 범위를 차단하는 위험과 해당 주소를 차단하지 않는 위험의 비교

지오 차단은 결정된 공격자를 막지는 않지만이 위치에서 네트워크를 공격하는 복잡성을 증가 시키며 (해당 위치에서 봇넷 구성원을 의미 할 수 있음을 명심) "백그라운드 노이즈"의 양을 줄일 수도 있습니다. 캐주얼 공격자 및 스크립트 키즈를 통해보다 결정된 공격을보다 쉽게 확인할 수 있습니다.

이 예제는 이러한 종류의 필터를 설정하는 방법에 대한 Sonicwall 기술 자료 문서 에 있습니다.

당신이 차단 된 국가에서 비즈니스를 연결하는 비즈니스 요구 사항이있는 경우 어떤 경우에, 나는 하지 않는 다른 답변에 제안 방화벽을 몰래하려고 제안, 오히려이 관리 문제를 만들기 위해 : 당신의 관리자에게 문의 IT 부서 관리자에게 문의하여 이러한 액세스를 허용하기위한 비즈니스 요구 사항이 있음을 분명히하십시오. 이러한 종류의 블록을 구성 할 수있는 방법이 없을 가능성이 높으며, 보안 사고가 발생하고 회사 IT 정책의 일부인 블록을 해결하려는 시도가 감지 될 가능성이 높습니다. 보안 위반에 대한 책임을 떠날 가능성이 높습니다.

— 롭 모아 르
소스

당신이 말한 것에 동의했습니다. 최소한 IT 부서는 러시아 국방부 또는 OP가 액세스해야하는 다른 사이트를 화이트리스트에 추가 할 수 있어야합니다.

— chue x

내가 일한 대부분의 대기업은 경영진이 힘들고 결코 일어나지 않을 수있는 작은 종류의 조직이고, 더 작은 조직에서는 좀 더 유능한 것으로 여겨지는 그런 종류의 요청으로 생각할 수 있습니다. 그냥 그들은 내가 근무 큰 회사 중 하나에서 페이스 북을 차단 시간을 계산하자까지 그것을 관리도 모든 것을 엉망으로 된이 친구의 페이스 북의 프로필을 확인하지되었다 - 그의 공개 사진의 대부분에서 엑스터시에 명확하게 높았다

— Dmitri DB

글쎄, 그것은 당신의 결정 @DmitriDB입니다. 관리자가 "IT를 x 차단 해제 " 하도록 요구하지는 않습니다 . 그러나 나는 foo 과제를 달성하기 위해 현재 회사 정책에 따라 차단 된 사이트 바에 액세스해야합니다 . 어떻게 진행할 것을 제안합니까? 결국 (현재로서는 지역 차단의 효과성에 대한 논쟁을 제쳐두고) 사업은 국가 차단 해제의 위험이 작업을 수행하지 않을 위험보다 크다고 결정할 수도 있습니다. 귀하의 관리자는 그에 대한 열의를 지불해야합니다. 그들을 보자.

— Rob Moir

나는 그런 것들을 제안한 것에 대해 소리 치는 것을 기억합니다. 아마 내가 지금 몇 년 동안 거대 기업에서 일한 적이없는 이유

— Dmitri DB