[GTER] IP Address Categorization
Douglas Fischer
fischerdouglas at gmail.com
Mon Oct 22 11:48:15 -03 2018
Existem no mercado alguns fabricantes de firewall que entregam o serviço de
Address-Lists predefinidas e alimentadas(mantidas) por eles mesmos.
É algo como as listas de categorização de URLs (http://shallalist.de/ ,
http://dsi.ut-capitole.fr/blacklists/ , etc), só que nas camadas 3(IP
Address) e 4(Ports).
https://snag.gy/jnamdi.jpg
Nesse link tem uma imagem de exemplo de um desses fabricantes, com
endereços categorizados como "Microsoft-Office-365".
São 8372 objetos essa lista, contendo desde endereços simples como ranges e
subnets.
Esse recurso facilita muito a manutenção de ACLs em ambientes de grande
porte com ACLs com muitas exceções.
Ex.: "Toda minha rede interna é restrita para acesso à Internet, mas pode
acessar o Gmail"
Estou procurando algo open(gratuito), mantido pela comunidade nessa linha
que exemplifiquei.
Até agora encontrei o projeto https://github.com/client9/ipcat/, que tem
algo semelhante, mas o foco deles é específico em Hosting e Datacenters.
Antecipando respostas a possíveis sugestões de alternativas:
- Filro por ASN
- Não resolve o problema, pois existem serviços e aplicações que ficam
dentro de ASNs que coexistem com outras aplicações e serviços.
- GEOIP
- Ajuda, mas por si só não resolve o problema. Pois existem aplicações e
serviços que tem múltiplos nodos distribuídos e múltiplos países.
- Reputação
- Geralmente só contém informações de IPs maliciosos, e não uma
categorização.
- Inspeção de camada 7 (Ex.: PFBlockerNG, Squidguard, etc.)
- Nos cenários em que não se tem controle do endpoint esse tipo de
implementação torna-se inviável decorrente dos tráfegos HTTPS, e a
necessidade do Man-in-the-midle e os certificados.
- Proxy declarado
- Um dos objetivos é fugir dessa metodologia, além de ser incompatível
com uma grande quantidade de aplicativos, mesmo com o uso de PAC/WPAD
conexão com proxy em ambiente de BYOD é sinônimo de masoquismo.
Algum colega tem alguma sugestão?
--
Douglas Fernando Fischer
Engº de Controle e Automação
More information about the gter
mailing list