Cum blochează oamenii traficul VPN anonim de inbound (de exemplu PIA, NordVPN etc) prin Panorama? Știu că putem bloca intervalele IP, dar asta pare a fi o problemă de tip pisică/cjap. Există o metodă mai bună de a gestiona această situație (de exemplu, Appids)?
Modul în care funcționează Palo Alto este de a bloca totul în afară de traficul de care ai nevoie. Nu e nevoie să blochezi ceva în mod specific.
Așa că permite doar ceea ce ai nevoie și ești sigur că funcționează.
Aș sugera să identifici ce trafic este necesar pentru inbound (de exemplu, global protect, servere web găzduite local, SIP etc), să creezi reguli pentru acestea, și apoi să creezi o regulă sub toate celelalte, de la zona de neîncredere la zona de neîncredere, orice/oricare să fie blocat.
Nu sunt sigur că înțeleg. Vrei să blochezi traficul provenit de la punctul de terminare VPN (nodul serverului)? Adică cineva se conectează la un serviciu VPN, apoi navighează pe website-ul tău din acest nod?
Dacă este cazul, având în vedere că aceste servere sunt puncte de terminare VPN, ele redirecționează traficul real sau îl proxyficează. În ambele cazuri, nu poți diferenția traficul de la o conexiune directă de laptop sau de la un punct de terminare VPN decât prin IP-ul sursă public.
Fă o captură de pachet, vei vedea că este același lucru. Unele servicii de proxy online prost configurate și nu VPN pot avea un user agent specific în HTTP, în acest caz WAF-ul tău îl va filtra.
Pentru toate celelalte cazuri, singurul detaliu diferențiator este IP-ul. Am avut aceeași problemă cu nodurile de ieșire Tor și a trebuit să creez o EDL pentru a automatiza acest lucru. Poate că EDL-ul este răspunsul pe care îl cauți.
Poate A1 în articolul de mai jos?
Presupun că acesta este esențialul întrebării — cum? Pot încerca să blochez manual IP-urile/CIDR-urile VPN-urilor cunoscute, dar asta devine un joc de pisică/mouse, deoarece migratează către noi IaaS-uri.
Am gândit să creez o EDL și să automatizez actualizarea acesteia pe baza unor alte IP/publice/range-uri private.
Mulțumesc pentru această idee, cu siguranță o voi verifica!