Bloqueio de IPs suspeitos em firewalls - ainda relevante?

O bloqueio de IPs suspeitos no firewall definitivamente faz sentido. Na verdade, essa é uma medida comum aplicada por muitos fornecedores de IDS, IPS ou firewall para proteção (o Google também mantém sua própria lista negra). Dê uma olhada neste artigo da Wikipédia sobre blackilist para obter algumas dicas.

Existem empresas / organizações diferentes que mantêm e oferecem listas negras gratuitamente ou a um custo como serviço. Qual é o melhor, depende da necessidade particular. Há também softwares de IDS muito conhecidos, como Snort , ou distribuição de firewall, como Pfsense , pode implementar listas negras de uma maneira mais automatizada e eficiente.

Outra boa leitura de SANS : Protegendo Dispositivos Domésticos a partir de sites mal-intencionados ou na lista negra

Sim, faz muito sentido usar listas de bloqueio. Especialmente as listas frequentemente atualizadas incluem aquelas usadas para DDoS a partir de dispositivos IoT e similares, que são, pelo menos, temporariamente iniciadas quando usadas de novo em alguma botnet. Isso requer administração e verificação regulares, mas você deve sempre verificar os logs de qualquer maneira, então isso não é algo novo.

Eu uso blocklists de 4 maneiras;

• Na minha LAN eu tenho meu próprio dns resolvedor usando dnsmasq. Para isso eu uso: link

• Em alguns servidores / roteadores eu uso scripts CSF / LFD que controlam iptables (incluindo capacidades ipset), e para aqueles que eu uso esses blocos com bastante sucesso; link e eu escrevo "com sucesso" porque vejo a quantidade de blocos sendo registrados graças a todos eles.

• Então eu uso muito bloqueio através do postfix no meu próprio servidor de email, também muito bem sucedido. Também pode ser encontrado entre minhas pessoas.

• Por último, mas não menos importante, eu gosto de usar redes p2p e prefiro me proteger de bisbilhotar governos e pessoas do mesmo tipo. Também listado entre minhas idéias no github.