Je řešením blokování zahraničních IP adres?

Bezpečnost,

Když se podíváte do reportů z WordFence občas si říkáte jestli by nebylo lepší prostě zakázat všechny zahraniční IP adresy. Ulevilo by to zátěži od robotů a snížilo bezpečnostní rizika jako je zneužití zero day slabin.

Výpis nejaktivnějších útočících IP adres na jeden menší blog na WordPress během jednoho týdne.

Pokud máte aktualizovaný WordPress a používáte WordFence, tak bezpečnostní riziko je malé. Co ale můžete rozhodně pocítit jsou například aktivní pokusy najít nějakou slabinu. Často totiž končí na necachovaných stránkách a to opravdu dokáže pěkně vytížit web. Pokud takový scan jede delší dobu a testuje naráz několik zranitelností, tak to pocítíte jak vy tak i návštěvníci. Pokud na to nejste připraveni, tak řešení není nic snadného. Sám jsem to zažil a procházet access log, hledat v něm roboty a pak jejich IP adresy dávat do .htaccess není nic snadného.

Proto si pořizujeme nějaký doplněk, který nám s tím pomůže. Třeba konkrétně WordFence to umí a dokonce automaticky. Jenomže při rozsáhlejším scanu z celého světa většinou IP adresy nepřekročí limit. No a co teprve IPv6. S tím se prakticky nedá bojovat.

No a proto přichází otázka zdali se tomu nepostavit prostě tak, že se zakážou celé rozsahy IP adres mimo Česka a Slovenska. Přeci jen pokud 99,9 % vaší návštěvnosti dělají tyto dva státy, tak to není potřeba. Anebo snad ano?

Předně je třeba myslet na to, že občas někdo odjede na dovolenou a mohl by mít zájem si třeba u vás něco koupit. Tyto lidi pak většinou neuvidí nic anebo jen varovnou stránku. To vám na důvěryhodnosti zrovna moc nepřidá.

Pak tu máme lidi, kteří se připravují přes zahraniční IP adresy. Důvody mohou být různé. Například dbají na ochranu svých osobních údajů. Možná si říkáte, že takových moc nebude. Jenomže třeba Opera zavedla pro každého připojení přes VPN zcela zdarma v anonymním okně. Českou IP adresu ale neposkytuje. Nezapomínejme i na TOR.

Ještě tu máme IPS, kteří kvůli stop stavu na přidělování IPv4 mohli nějaké koupit v zahraničí. Dále si mohli třeba v Africe založit pobočku, kde se stále IPv4 ještě přidělují. Ty takto odříznete.

Částečně by problém mohli dělat i vyhledávače, které se nemusí dostat na vaše stránky. Podobně jako další služby, které chtějí s vašim webem komunikovat. Samozřejmě těmto jde dát výjimku.

Řešení?

Pokud trpíte na útoky ze zahraničních IP adres, možná by stálo za to je nějak omezovat. Nemusí to být hned brutální blackholing. Třeba by stačila jen stránka s nějakým testem proti robotům. Například captcha.

Samozřejmě si toto řešení můžete nechat i jako záložní. Vlastně by stálo za to jej mít připravené. Když dojde na nejhorší je jednodušší zmáčknout tlačítko s filtrováním, než toto tlačítko vůbec nemít.

Share Button

Tento článek byl byl přečten 3122 krát

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *