[GTER] IP Address Categorization

Douglas Fischer fischerdouglas at gmail.com
Mon Oct 22 11:48:15 -03 2018


Existem no mercado alguns fabricantes de firewall que entregam o serviço de
Address-Lists predefinidas e alimentadas(mantidas) por eles mesmos.

É algo como as listas de categorização de URLs (http://shallalist.de/ ,
http://dsi.ut-capitole.fr/blacklists/ , etc), só que nas camadas 3(IP
Address) e 4(Ports).


https://snag.gy/jnamdi.jpg
Nesse link tem uma imagem de exemplo de um desses fabricantes, com
endereços categorizados como "Microsoft-Office-365".
São 8372 objetos essa lista, contendo desde endereços simples como ranges e
subnets.

Esse recurso facilita muito a manutenção de ACLs em ambientes de grande
porte com ACLs com muitas exceções.
Ex.: "Toda minha rede interna é restrita para acesso à Internet, mas pode
acessar o Gmail"



Estou procurando algo open(gratuito), mantido pela comunidade nessa linha
que exemplifiquei.


Até agora encontrei o projeto https://github.com/client9/ipcat/, que tem
algo semelhante, mas o foco deles é específico em Hosting e Datacenters.




Antecipando respostas a possíveis sugestões de alternativas:
- Filro por ASN
   - Não resolve o problema, pois existem serviços e aplicações que ficam
dentro de ASNs que coexistem com outras aplicações e serviços.
 - GEOIP
   - Ajuda, mas por si só não resolve o problema. Pois existem aplicações e
serviços que tem múltiplos nodos distribuídos e múltiplos países.
 - Reputação
   - Geralmente só contém informações de IPs maliciosos, e não uma
categorização.
 - Inspeção de camada 7 (Ex.: PFBlockerNG, Squidguard, etc.)
   - Nos cenários em que não se tem controle do endpoint esse tipo de
implementação torna-se inviável decorrente dos tráfegos HTTPS, e a
necessidade do Man-in-the-midle e os certificados.
  - Proxy declarado
   - Um dos objetivos é fugir dessa metodologia, além de ser incompatível
com uma grande quantidade de aplicativos, mesmo com o uso de PAC/WPAD
conexão com proxy em ambiente de BYOD é sinônimo de masoquismo.



Algum colega tem alguma sugestão?

-- 
Douglas Fernando Fischer
Engº de Controle e Automação



More information about the gter mailing list