银行环境中IP封禁的实践及域名端口的合规讨论 | 总第233周

admin 2024年2月26日11:28:45评论9 views字数 1412阅读4分42秒阅读模式

0x1本周话题

话题一:一个域名下不同端口挂载不同应用系统,这样算合规吗?
A1:在我们这里不合规。

Q:风险点是?

A2:一个挂了都挂了。

A3:一个出口IP挂一堆域名,单独拎出来的域名加端口都能解析到某个应用,这样就行了是吧。除非资源紧张,一般也不会逮着一个ip使劲薅吧。

A4:有那种一个域名,然后后面转了好多路由,不同路由业务不一样。还有那种,同一个端口,一个ng转发,不同目录控制应用。

A5:我们是一个ip不同端口不同系统。

A6:不用目录这个更合理一点吧。

A7:目录是错的,抓着他们整改了。

A8:从资产管理角度来看,也不应该一个域名不同端口来玩啊。

A9:我觉得不会是一个域名吧,应该是有多个域名。只不过这一个域名加端口都能解析到不同的应用。

A10:只能域名访问就行了吧,这个单IP访问的风险是在运营商那里?

A11:一个IP可以理解,同一个域名我觉得不可取。单IP就是单纯的资源问题,和方便问题咯,顺手就放那了。一个IP就一个IP了,升级无非是再找个运营商,域名用子域名或者不同路由。

A12:没啥合规不合规,就看你们公网IP资源紧张不紧张。主要是应用层能不能控制得住的问题。

A13:单IP的话,一般这个IP都是在负载均衡上。我们是同一个证书的域名都解析到同一个SLB。

A14:单ip没问题,要区分域名,比较好管理。

A15:SLB在到WAF。

Q:大家多个域名会买ev证书吗?ev还是挺贵的。

A16:主要几个业务买的ev,其他的是ov。

Q:ov通配吗?

A17:不是,量少按需采购。
话题二:大家对IP封禁的良好实践是怎么样的?特别是在国内大NAT的情况下,每天看告警,真的担心影响业务访问,对公的还可能会直接联系过来,对私业务,一旦封了,下次发现很可能就是有舆情了,如果只是封一段时间,那封多久比较合适?

A1:我们是5-30-60。

Q:每次封禁分钟数?

A2:递增的,第一次拉黑,第二次拉黑,第三次以上拉黑。

A3:我记得有一期周报专门讨论了这个问题,对于不同类型的IP要有不同的封禁策略,甚至要和你行的业务结合起来。

A4:核心是考验业务白名单的管理能力,不然封IP的那点收益,根本没法填业务中断客诉各种大坑。

A5:封IP是不是太粗糙了,封账号,封设备啥的。

A6:担心的就是这个,想通过IP封禁起到一个降噪的作用,能想到的就是从威胁情报作为佐证,其他的方式都有风险。

A7:该封就封,但是要建立好好白名单和对应的流程。

A8:根据IP类型来封,除了专线要谨慎点,其他该封就封,可以隔一段时间根据最后一次命中时间来释放一些IP。

A9:流程除了解封的流程,还有如果业务合作,需要提供合作方ip,如果有的话。万一合作方sb一回,给封了,也要扯皮。

A10:保留好证据,也许还能提醒合作方。

Q:隔一段时间根据最后一次命中时间来释放一些IP 是指?

A11:就是如果一段时间没有攻击流量,就把IP释放出来。

A12:我们就经历了一回,对方程序bug ,直接变成ddos了,封了,业务还来找。

A13:好好找,不扯皮就行。

A14:嗯,这就是我们的教训,一定要业务来报备,如果封ip的话。

Q:怎么报备?

A15:这就是考验流程如何落地的事情了,业务负责人需要有这个意识,定期也要发邮件公告一下。
A16:封什么肯定要做判断的啊,哪有无脑封ip的,这个就是把安全和业务做绝对对立。

原文始发于微信公众号(君哥的体历):银行环境中IP封禁的实践及域名端口的合规讨论 | 总第233周

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年2月26日11:28:45
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   银行环境中IP封禁的实践及域名端口的合规讨论 | 总第233周https://cn-sec.com/archives/2525720.html

发表评论

匿名网友 填写信息