我目前在美国境外,试图登录我的医疗保健提供者的网站,并且连接超时。我在Twitter上与他们联系,他们告诉我,作为一项安全措施,他们阻止了来自美国以外的连接,并建议我使用VPN。

太好了,我可以使用VPN来解决我的问题问题。但是我很好奇,这种IP地址阻止功能是否具有真正的安全优势?我是一个极客(网络开发人员),但不是安全专家,所以我确定我会丢失一些东西,但是在我看来,如果我可以使用VPN从欧洲进行连接,那么任何合理的黑客都只会做同样的事情。

评论

它可以缓解来自僵尸网络的随机端口扫描。就像是一个栅栏;孩子们不会闯入你的院子,但这不会阻止一个瞄准你家的窃贼。
将IP地址列入黑名单是否浪费时间?
卫生保健提供者通常会处理敏感数据。如果他们向欧盟客户开放,就需要遵守GDPR的严格准则。恕我直言,他们从法律的角度躲避了子弹。
@ user3819867从我所看到的(但不是专家)的角度来看,我认为GDPR不适用于在美国拥有的美国人的数据,而他们恰好在欧洲,想访问该数据。
“本条例所提供的保护应适用于自然人,无论其国籍或居住地在处理其个人数据方面”。即使不是这样,在欧盟停留四个月(因此成为居民)的一个美国公民可能会花费您高达营业额的4%。您是将其打开进行辩论还是通过简单的技术步骤将其关闭?

#1 楼

这个概念是“减少威胁面”。如果期望某个地理区域不会建立任何连接,则应该屏蔽该区域,因为根据定义,这是不合法的。理论上。 (对于医疗服务提供者来说,这是一个奇怪的选择,因为客户可能想在旅行时管理自己的健康,但这是附带问题。)

对于我工作过的一家公司,有一个国家/地区列表该网站列出了12个最严重的网络犯罪违法者,而在这些国家/地区我们没有任何客户。因此,将它们阻止就很有意义。


攻击者能否使用代理/ VPN从允许的IP进行攻击?你打赌
吗?谁知道。
我们是否经历了来自这12个县的大量袭击?哦,是的。

开始执行Geo-IP禁令时,我们的Web服务器流量立即下降了80%。

评论

好的,所以至少有一些实用程序。给您带来实际不便是否值得,这是您承认一个单独的问题。谢谢。

–马修·尼科尔斯(Matthew Nichols)
19-09-16在17:03
@MatthewNichols你明白了

– schroeder♦
19年9月16日在18:37
我的公司不断在没有任何客户的海外“用户”中随机抽样,因此我们也禁止了这些国家。基本上,这使得随机扒手很难捡拾它,但是它并不能阻止有针对性的攻击(愤世嫉俗的人说,至今还没有发现任何东西可以阻止有针对性的攻击)。

–user41376
19/09/17的1:39
@ Hosch250似乎是一种奇怪的操作方式。为什么不站出来,只禁止您没有用户的所有国家/地区?为什么您必须等待被ping通?

–格雷戈里·柯里(Gregory Currie)
19-09-17在8:02
@ Hosch250它也可能增加有针对性的攻击的成本,现在攻击者需要确保他们在目标国家/地区获得IP。并非那么困难,但需要付出努力,而不仅仅是建立障碍。而且,一旦您阻止了他们在该国拥有的后备IP,它就会减少它们可以使用的后备IP。作为大多数安全性,这是一个数字游戏,它涉及您想要投资多少以及想要对某人进行攻击的代价如何。

–弗兰克·霍普金斯
19-09-17在8:16

#2 楼

要考虑的一件事:在许多国家中,国家(或可能是阴暗的Internet提供商)监听Internet流量。

即使您的医疗保健提供者的网站使用TLS(我认为是TLS),在那些国家/地区的PC也会安装有伪造的根证书来拦截您的流量。因此,当Joe average生病并去网吧检查他在健康提供者网站上的覆盖范围时,没人能确定他们的数据和登录凭据是否安全。

阻止外部IP地址并且要求使用VPN至少可以缓解其中的一些问题-您无法在某些公共计算机上安装VPN客户端,因此需要使用自己的笔记本电脑;这也有助于防止击键记录程序,而且针对VPN的MITM攻击要比针对HTTPS的MITM攻击要困难得多,因为VPN客户端知道需要哪些证书,因此您不能仅使用伪造的CA。

评论

我认为您必须在操作系统中插入受到破坏的HTTPS证书,才能使这种侦听工作正常进行,这种侦听可以在朝鲜这样的地方使用

–lurscher
19/09/18'2:29
大多数公司通过地理定位来阻止IP可能不是出于最终用户的考虑,而是他们自己的数据/网络安全性。

– TylerH
19-09-18在14:40
“在许多国家中,州政府或可能是阴暗的互联网提供商都在窥视互联网流量”,您的意思是说,例如美国和加拿大? (的确如此)

–用户
19-09-19在8:28

#3 楼

安全收益可能很小,但却是真实的。

我的工作场所始终处理来自异国土壤的扫描。这些攻击主要来自巴勒斯坦或俄罗斯等臭名昭著的地区,美国与这些国家之间存在政治和法律问题,这使它们成为更具吸引力的攻击东道国。他们也来自更友好的国家,例如法国或荷兰。他们不太可能来自我的祖国。我猜测这可能是因为在同一国家/地区获取源和目标的搜索权证或轻击/跟踪设备会更容易。这些人在肉类空间中的存在是任何人的猜测。他们不够老练,以至于攻击者可能不会试图以我们自己为目标,但它只是试图找到要追随的“某人”。

这些攻击者可以利用其他意味着要在我国使用IP地址。当他们被我们封锁时,我已经看到他们通过各种其他方式来做到这一点。但这会给攻击者带来额外的精力,这可能会在其他地方花费更多,并且可能不值得让攻击者去追求更坚硬的目标。

俗话说,您不必必须是逃避捕食者的最快动物;你就不能成为最慢的人。

评论

地理阻止程序很容易解决,但是有些人不打扰他们,也不会从自己的家庭IP运行脚本。封锁某些国家可以节省这些“入侵”的噪音(并进行工作检查)。一些站点还阻止了已知的VPN和托管服务,但是对于许多站点来说,这正在剥夺有价值的交易。

–丰富
19/09/17在21:31
总是平衡。我会说大多数门都很难被击败(用一些沉重的靴子快速踢一脚),但是我仍然不建议拆除它们。

–尼尔森
19-09-18在4:59
“巴勒斯坦之类的臭名昭著的地方”?我一直都听到俄罗斯和中国的扫描和袭击,但是巴勒斯坦呢?这真的很常见吗?

–贾斯汀
19-09-18在8:24
@JustinLardinois对我们来说是。奇怪的是,我们没有被中国扫描。我认为我没有从那个国家看过一次扫描。然而,很多其他国家。我想知道的是,我对有限范围的扫描来自何处不甚了解。

– Steve Sether
19-09-18在21:14


@Rich对于单个用户而言,规避它们是微不足道的。但是,如果您运行的是带有来自中国的受感染PC的僵尸网络,那么掩盖我想象中的所有IP绝非易事(至少我不知道这样做的简单方法)。

– Voo
19-09-19在8:54