私は妄想ですか、それとも企業のファイアウォールは国全体を検閲していますか？[閉まっている]

閉じた。この質問はより集中する必要があります。現在、回答を受け付けていません。

この質問を改善したいですか？この投稿を編集するだけで1つの問題に焦点を当てるように質問を更新します。

2年前に閉店。

最近、昨年かそこらで、特定の種類のサイト、特にイランやロシアなどの非恵まれた国のサイトにアクセスすることがますます困難になっていることに気付きました。

たとえば、ちょうど今、私はロシア国防省のウェブサイト（http://eng.mil.ru/en/index.htm）にアクセスしようとしました。タイムアウトしました。ヨーロッパのプロキシ経由で同じサイトを試しましたが、接続に問題はありませんでした。私はその後tracertを試しましたが、これが結果でした：

私の解釈では、IPは会社のファイアウォールによってブロックされています。ネットワークのIPブロッキングポリシーとは何かをIT部門に尋ねたところ、ポリシーは当社ではなく、ファイアウォールサービスプロバイダーによって決定され、プロバイダーにとって「秘密で独自」であると言われました（つまり、 IT）はそのポリシーを制御できませんでした。

ここの話は何ですか？ファイアウォール製品ベンダーは、国全体を包括的にブロックするだけですか？

笑いのために、私はさまざまな国を試して、何が起こるかを見ることにしました。

Finland       ok
Poland        ok
Russia        blocked
Ukraine       blocked
Estonia       blocked
Turkey        blocked
Saudi Arabia  blocked
Afghanistan   ok
Iraq          blocked
Georgia       ok
Armenia       blocked
Uzbekistan    ok

さて、ウズベキスタンとグルジアのウェブサイトにアクセスできますが、アルメニアやウクライナのウェブサイトにはアクセスできませんか？誰がこのロジックを構成していますか？

networking security firewall

— タイラー・ダーデン
ソース

侵入検知システムはコンテンツフィルタリングと何の関係がありますか？IT部門の対応はまったく無意味です。A IDSやファイアウォールsamethingではありません

— Ramhound

これはすべてarbitrary意的であり、特異なニーズに基づいています。しかし、私はこれを言います：私は米国で働いており、米国以外の誰にとってもウェブプロパティがまったく価値のない米国企業で仕事をしており、一般的にサーバーレベルのフィルタリングが国全体とIP範囲をブロックすることが要求されています検閲のせいではなく、特定の国やIP範囲で追跡できるサイトの一貫した調査（多くの場合、マルウェアの感染がある）に基づく実用的なニーズです。これが本当に現代のインターネット世界の状態です。

— JakeGould

とにかく顧客ベースの大部分が地理的に制限されていることを確信していたときに、DDoSフラッディングの影響を軽減するために、選択的ブラックホールを使用して地域ブロックを実装しました。非常に有効であるが、おそらくヘルプあなたは未来のようなものの怒り描くない場合

— ドミトリDB

このようにブロックすることは、多層防御計画の標準的な部分です。これには明らかに制限がありますが、より大きな全体計画の一部です。私が働いていた場所に56kのリース回線しかなかった90年代後半まで遡ります（または、超高速のT-1！があったこともありました！）。もちろん、グローバル企業では見かけないかもしれませんが、小規模な地域型企業ではかなり長い間標準となっています。

— ブライアンノブラウフ

そのリストにエストニアが含まれている理由はかなり興味深いです。

— セージボルシュ

回答:

さまざまなベンダーが原産国に基づいてコンテンツフィルタリングを行っているのを見てきました。通常、中国とロシアは、デフォルトでフィルタリングがオンになっているか、少なくとも何らかのアラートが設定されています。これは、それらがマルウェア攻撃のソースであることが多いためです。IT部門がそれを制御できないというラインを購入しません。その価値のあるベンダーは、その製品のデフォルト設定を変更できます。

— チャールズ・バージ
ソース

下位レベルの従業員が退社してBOFHであることに耳を傾けるよりも良いことをした場合は、テクノバブルを吐き出して、顔を出させて戻ってくるようにします私がやらなければならないことをやっている

— ドミトリDB

ええ、間違いなくあなたの声が聞こえます。私は、彼らが何かは、彼らが話し対理解できることを条件に、それを下に散水間の線ので、それは、ある方法である理由を尋ねたときに、ユーザーに物事を説明する必要が嫌いダウン彼らには信じられないほど薄くなっています。

— チャールズバージ

これはおそらくIDS / IPSのレベルではなく、ファイアウォールレベル（IPリストのブロックを介して、より効果の低いもの）または選択的ブラックホールとして知られる方法によるルーティングレベル（非常に効果的で、ルーターに到達することさえあります）。

この背後にある理論的根拠は明確ではありません-おそらくあなたがリストした国はしばしば攻撃のソースであり、実際には米国以上ではなく、決心した攻撃者は先に進み、とにかく回避するでしょう... 彼らが妄想的である -どういうわけか、そこから発信されるIPからの脅威について、十分に大きな組織で働いている。いずれにせよ、それは多くの意図と目的のための一種の一時的なセキュリティ対策であり、あなたはあなた自身について気にする必要はありません。トンネルまたはプロキシ出力！

— ドミトリDB
ソース

しかし、それは奇妙な解決策です-あなたは基本的に、ファイアウォールがその仕事をしていることになっているときに、誰かがファイアウォールを迂回することを奨励しています。ファイアウォールが正常に機能せず、修正できない場合は、ファイアウォールをチャックする時が来たようです。

— oldmud0

彼がそれを行うのは素晴らしいことですが、この人があなたが提案したことの最後に効果をもたらす意思決定能力では働かないと言ったことを読んだ場合、それはかなり明白です彼は...そう、彼の仕事をする必要があります

— ドミトリDB

私の最後の仕事のネットワークでは、多くの禁止されたサービスの中で、オニオンルーターやVPNなどの使用を防ぐために、ジオブロッキングとアプリケーションブロッキングの両方をオンにしました。理論的根拠の1つは、はい、一部の国は規制の厳しくない環境で多数の悪役がいる一方で、合法的なトラフィックを送信する場所ではないため、それらを完全に禁止することは、ほとんどユーザビリティを損なうセキュリティにプラスの効果があるということです。スマートフォンからウクライナの家族にメールを送信できます。

— トッドウィルコックス

「もしあなたが十分に大きな組織で働いているなら、そこから発信されたIPからの脅威について彼らはどういうわけか自分自身を妄想しているでしょう。」または、貨物カルトのセキュリティである可能性があります。

— jpmc26 16

IPジオロケーションを使用して、特定の国に関連付けられたIPアドレス範囲をブロックすることは完全に可能です。それがどれほど効果的であるかについては多くの議論があり、誰にも盲目的に有効にすることは絶対に勧めませんが、特定の地域を起点とする企業との合法的なビジネスがあるかどうかを判断するのはビジネス次第ですそのエリアに関連付けられたアドレス範囲をブロックするリスクと、それらのアドレスをブロックしないリスクの比較。

ジオブロッキングは特定の攻撃者を阻止しませんが、この場所からネットワークを攻撃する複雑さを増します（これはその場所からのボットネットメンバーを意味する可能性があることに注意してください）カジュアルな攻撃者とキディを台本し、より明確な攻撃を見やすくします。

この例は、これらの種類のフィルタの設定方法に関するSonicwallナレッジベースの記事からのものです。

いずれにせよ、ブロックされた国のビジネスに接続する必要があるビジネスがある場合、他の回答で提案されているようにファイアウォールの周りをこっそりしようとすることはお勧めしません。、IT部門のマネージャーと話してもらい、そのようなアクセスを許可するためのビジネス要件があることを明確にします。これらの種類のブロックを構成する方法がないことは非常にまれであり、何らかのセキュリティインシデントがあり、企業のITポリシーの一部であるブロックを回避しようとする試みが検出されるという偶然に、あなたは非常にセキュリティ違反の責任を負ったままになる可能性があります。

— ロブ・モア
ソース

あなたの言うことに同意しました。少なくとも、ITはロシア防衛省やOPがアクセス必要があると他のサイトホワイトリストにことができるはず

— chueは、X

私がこれまで働いてきたほとんどのメガコープは、その種のリクエストは、経営者に苦労し、決して起こらないようなものであり、小さな組織ではより耐久性のあるものであるとみなすことができます。ちょうど彼らは私が働いていた大企業の一つでFacebookを利用してブロックされた時間をカウントしてみましょうとまでそれが管理もすべてをいじりましたこの男のFacebookのプロフィールをチェックしていないにつながった-彼は彼の公共の写真のほとんどでエクスタシーに明らかに高かったです

— ドミトリDB

当然、@ DmitriDBの決定です。私はマネージャーに「ITにxのブロックを解除させる」ことを要求しません。しかし、書面で「fooを割り当てるには、企業ポリシーに従って現在ブロックされているサイトバーにアクセスする必要があります。どのように進めますか？」と書きます。結局、（そして今のところジオブロッキングの有効性に関する議論はさておき）ビジネスは、国のブロックを解除するリスクがタスクを完了しないリスクよりも大きいと判断する可能性があります。あなたのマネージャーは、それに熱をかけるために支払われています。聞かせて。

— ロブ・モイア

そのようなことを提案したことで怒鳴られたことを覚えています。おそらく、なぜ私は今、年間のmegacorpで働いたことがありません

— ドミトリDB