J'ai détecté quelques tentatives pour sonder la sécurité de mon site. Devrais-je blacklist leur adresse IP? Quelles sont les considérations ou les compromis à utiliser pour décider quand bloquer leur adresse IP et quand ne pas être?
Ceci est un compromis "cela dépend".
1 - Quelle est la priorité de l'accessibilité vs obstruction des attaquants?
Pour tout bloc, vous souhaitez déterminer si vous bloquez une utilisation légitime ainsi que des attaquants. Par exemple, si la propriété intellectuelle vient de votre client et une de leurs machines a été piratée pour vous numériser - vous souhaiterez peut-être alerter le client et travailler avec leur équipe de sécurité plutôt que de tirer votre propre pied.
2 - Quel est l'impact?
Avez-vous les protocoles utiles qui exposent votre réseau éteint? Que peut voir l'attaquant quand ils peuvent vous faire scanner? Numérisez-vous régulièrement est une bonne pratique. Vous pouvez donc savoir ce que vous êtes vulnérable. Si vous avez enfermé les choses assez bien, votre risque ici est mineur.
Aussi - quels dommages sont la balayage? Est-ce que cela ralentit une utilisation légitime?
- Quelle est la nature du risque? Quelle est votre capacité à le gérer?
Les classiques typiques - disponibilité, compromis d'actifs ou d'informations, réputation de l'organisation. Que pouvez-vous perdre de la balayage du port, que pouvez-vous perdre si elles trouvent quelque chose et quelle est la fréquence?
Et quelle est votre dotation et votre capacité à y remédier? Dans certains réseaux, la mise en place d'un bloc est rapide et facile, dans d'autres, il faut un degré important de diligence raisonnable. Si vous le mettez mal incorrectement, quel est le mal?
Je suggère une approche différente du problème plutôt que d'interdire les adresses IP ou l'échec1ban, qui peut être fragile et inefficace. Au lieu de cela, je vous recommande de modifier la configuration de votre serveur Web afin que toute demande de noms de serveur inconnu ou à des emplacements Retour 404. J'ai écrit sur cette technique pour Nginx ici:
https://medium.com/quiq-blog/harden-nginx-de-Malicious-scanners-5bd1ca9c5A5C