IP-Whitelisting vs. IP-Blacklisting
Veröffentlicht: 2021-09-04Eine Frage, die die Menschheit seit jeher beschäftigt. Obwohl Datenschutzverletzungen und Hacking-Vorfälle im Jahr 2021 zunehmen, ereignen sich einige der listigsten – und schwer zu erkennenden – Fälle, wenn uns bekannte Personen unter Vorspiegelung falscher Tatsachen mit uns kommunizieren.
Trotz unserer Bemühungen, uns gegen Bedrohungen zu verteidigen, nutzen diese Arten von Betrug, Phishing und Malware die menschliche Natur, um sich in Unternehmen zu verbreiten.
Laut dem renommierten Security Institute wurden im Jahr 2020 fast 1,1 Milliarden neue Schadsoftware-Programme entdeckt. Und tatsächlich, mehr als die Hälfte aller Malware, die in Systeme eindringt, die in dem Sinne begrüßt wurden, dass es keine entsprechenden Blockaden gab, wurden entwickelt, um sie zu stoppen .
Datensicherheit ist ein zweigleisiger Ansatz, der sowohl Blacklisting als auch Whitelisting umfasst. Whitelists werden verwendet, um zu kontrollieren, wer Nachrichten und andere Formen des Zugriffs auf unsere Systeme senden darf, während wir mit Blacklists bestimmen können, wer keinen Zugriff haben soll.
Whitelists und Blacklists sind zwei Möglichkeiten, den Zugriff einzuschränken, indem IP-Adressen blockiert werden; Jedes hat seine Vor- und Nachteile, und keine zwei Menschen sind sich einig, was besser ist.
Der beste Ansatz hängt hauptsächlich von den Anforderungen und Zielen Ihres Unternehmens ab, obwohl die ideale Technik häufig eine Mischung aus beidem ist. Sehen wir uns Blacklisting und Whitelisting im Detail an.
Was ist Whitelisting und wie funktioniert es?
Whitelisting ist der Prozess, bei dem eine Liste genehmigter Entitäten in einem Netzwerk ausgeführt werden kann, z. B. Anwendungen und Websites, während Blacklisting die Praxis ist, unerwünschte Parteien auszuschließen. Whitelisting gilt als sicherer, da es eine breitere Vertrauensperspektive einnimmt. Diese Methode der Anwendungssteuerung kann auf Regeln wie Dateiname, Produkt oder Anbieter basieren.
Whitelisting löst die gleichen Probleme wie Blacklisting, verfolgt jedoch einen anderen Ansatz. Anstatt eine Liste mit Bedrohungen zu erstellen, erstellen Sie eine Liste mit autorisierten Personen und verbieten alles andere. Es basiert auf Vertrauen; Solange sich etwas nicht als akzeptabel erweist, wird alles Neue automatisch abgelehnt.
Infolgedessen ist die Zugriffskontrolle viel strenger. Es ist vergleichbar damit, den Zutritt zu Ihrem Bürogebäude nur auf diejenigen zu beschränken, die eine Zuverlässigkeitsüberprüfung bestehen und ihre Legitimation nachweisen können.
Eine Whitelist ist eine Methode, um bestimmten IP-Adressen den Zugriff auf ein Netzwerk zu ermöglichen. Der Whitelisting-Ansatz wird von Firewalls verwendet, die nur bestimmten IP-Adressen erlauben, sich mit einem Netzwerk zu verbinden. Ein weiteres häufiges Szenario, auf das die meisten Menschen gestoßen sind, ist der Apple App Store.
Die Identifizierung von Anwendungen anhand ihres Dateinamens, ihrer Größe und ihres Verzeichnispfads ist der einfachste Ansatz, um sie auf die schwarze Liste zu setzen. Der Nachteil dieser Methode ist jedoch, dass Hacker möglicherweise eine App mit demselben Dateinamen und derselben Dateigröße wie eine Anwendung auf der Whitelist erstellen, um sie vor der Ansicht zu verbergen.
Um dies zu verhindern, können Sie einen strengeren Ansatz verfolgen, wie das US National Institute of Standards and Technology (NIST) empfiehlt. Es beinhaltet die Verwendung kryptografischer Hash-Ansätze und der digitalen Signaturen des Erstellers auf jeder Komponente, um sie abzuschwächen.
Berücksichtigen Sie bei der Entwicklung einer Whitelist auf Netzwerkebene alle Aktivitäten, die Personen ausführen werden, und die Tools, die sie dafür benötigen. Diese Whitelist auf Netzwerkebene kann alles auf Netzwerkebene abdecken, einschließlich Netzwerkinfrastruktur, Standorte, Anwendungen, Benutzer, Auftragnehmer, Dienste und Ports sowie detailliertere Informationen wie Softwarebibliotheken.
Eine Whitelist kann so unterteilt werden, dass sie E-Mail-Adressen, Dateien und Anwendungen auf Benutzerebene enthält. Sie müssen sowohl die Aktivitäten als auch die Berechtigungen der Benutzer berücksichtigen, wenn Sie den Whitelist-Ansatz verwenden.
Organisationen können ihre eigenen Whitelists erstellen oder mit Drittanbietern zusammenarbeiten, die auf Reputation basierende Whitelists entwickeln und Bewertungen für Software und andere Elemente basierend auf einer Reihe von Kriterien abgeben.
Vorteile und Nachteile
Whitelisting ist eine strengere Form der Zugriffskontrolle als Blacklisting, da die Standardbedingung darin besteht, Dinge abzulehnen und nur diejenigen zuzulassen, die als sicher bestätigt wurden. Wenn Sie den Whitelisting-Ansatz verwenden, bedeutet dies, dass das Sicherheitsrisiko Ihres Systems drastisch reduziert wird.
Whitelisting ist komplizierter und zeitaufwändiger einzurichten als Blacklisting. Es ist schwierig, das Erstellen einer Whitelist an Dritte auszulagern, da diese über die von Ihnen verwendeten Anwendungen Bescheid wissen müssen. Da es Informationen erfordert, die für jedes Unternehmen einzigartig sind, erfordert es eine größere Benutzerbeteiligung.
Jedes Mal, wenn ein neues Programm oder Patch installiert wird, müssen Unternehmen ihre Whitelist aktualisieren. Whitelisting kann für Verbraucher aufgrund der Bürokratie schwieriger sein, insbesondere wenn sie größere, kompliziertere Systeme haben.
Das Whitelisting von Anwendungen schränkt auch ein, wie ein System genutzt werden darf. Sie dürfen nichts installieren, was sie wollen, was ihre Kreativität und ihre Arbeit einschränkt. Je nach Programm hat Whitelisting das Potenzial, den gewünschten Datenverkehr umzuleiten.
Was ist Blacklisting und wie funktioniert es?
Der erste Schritt besteht darin, herauszufinden, wem der Zugriff verweigert werden soll. Schwarze Listen enthalten Personen, die aufgrund ihres anstößigen oder gefährlichen Verhaltens von einem Netzwerk oder System ausgeschlossen werden müssen.
Eine schwarze Liste ist eine Liste von Personen oder Organisationen, die als Terroristen gekennzeichnet sind. Die Blacklist eines Unternehmens kann existieren. Im Bereich der Netzwerksicherheit werden häufig Blacklists mit potenziell gefährlichen Anwendungen wie Viren, Spyware, Trojanern, Würmern und anderer Malware erstellt.
DNS-Blacklists sind auch ein wunderbares Werkzeug, um unerwünschte Benutzer, IP-Adressen, Anwendungen, E-Mail-Adressen, Domänen, Prozesse und Organisationen aus Ihrem Netzwerk fernzuhalten. Mit diesem Ansatz können Sie fast jeden Aspekt Ihres Netzwerks auf die schwarze Liste setzen.
Digitale Signaturen, Heuristiken, Verhaltensweisen und andere Techniken können Ihnen dabei helfen, gefährliche oder verdächtige Dinge zu erkennen. Unternehmen können ihre Blacklists erstellen und sich auf Listen verlassen, die von Drittanbietern wie Netzwerksicherheitsdienstleistern bereitgestellt werden, um Software auf Blacklists zu setzen.
Blacklisting ist seit langem ein beliebter Ansatz zur Zugriffskontrolle für Antivirus-Software, Spam-Blocker, Intrusion-Detection-Systeme und andere Sicherheitssoftware.
Vorteile und Nachteile
Einer der Hauptvorteile von Blacklisting ist seine Einfachheit. Es folgt einer einfachen Idee: Identifizieren Sie einfach bekannte und verdächtige Bedrohungen, verweigern Sie ihnen den Zugriff und lassen Sie alles andere passieren.
Es ist in den meisten Situationen eine wartungsarme Technik für Verbraucher. Bei vielen Anwendungen erstellt Ihre Sicherheitssoftware oder Ihr Dienstanbieter die Liste mit nur minimaler Eingabe Ihrerseits. Eine schwarze Liste hingegen ist nie endgültig. IT-Experten haben mehr als 350.000 neue Schadsoftware und potenziell unerwünschte Anwendungen entdeckt. Während die Überwachung dieser Bedrohungen schwierig sein kann, kann das Teilen von Bedrohungsinformationen zur Verbesserung von Blacklists beitragen.
Blacklists helfen gegen erkannte Gefahren, nicht gegen neue, unbekannte Risiken wie Zero-Day-Angriffe. Wenn Ihre Organisation das erste Ziel einer einzigartigen Art von Angriff ist, ist eine schwarze Liste wirkungslos.
Hacker können auch Malware erstellen, die der Erkennung durch Blacklisting-Technologien entgeht. Sie können die Malware möglicherweise so ändern, dass sie vom Blacklist-Tool nicht als gesperrtes Element erkannt wird.
Was ist Graylisting?
Der dritte Ansatz, Whitelisting, hängt mit Blacklists und Whitelists zusammen, wird aber nicht häufig erwähnt. Der Name deutet darauf hin, dass es sich auf halbem Weg zwischen Blacklisting und Whitelisting befindet. Es wird normalerweise in Verbindung mit einer dieser beiden primären Methoden verwendet.
Eine Greylist ist eine Liste von Dingen, die Sie sich noch nicht angesehen haben, um festzustellen, ob sie sicher oder gefährlich sind. Elemente auf der grauen Liste werden vorübergehend für den Zugriff auf Ihren Computer gesperrt.
Sie untersuchen das Element weiter oder holen weitere Informationen ein, um festzustellen, ob ihm der Zugriff gewährt werden soll, nachdem etwas zu einer Greylist hinzugefügt wurde. Etwas muss bleiben, damit andere dazukommen können.
Wie Sie mit einem Element auf der grauen Liste umgehen, hängt von der Art der Entität ab. Ebenso kann ein Sicherheitstool den Benutzer oder einen Netzwerkadministrator benachrichtigen, dass ein Element auf die schwarze Liste gesetzt wurde.
Wann ist der richtige Zeitpunkt, um die Kombination aus Whitelisting und Blacklisting anzuwenden?
In ganz bestimmten Fällen ist die Kombination von Blacklist und Whitelist die beste Option . Sie können eine Vielzahl von Methoden auf verschiedenen Ebenen Ihrer Infrastruktur anwenden, sowie solche, die sich sowohl innerhalb als auch außerhalb derselben Ebene befinden.
Verwenden Sie Sicherheitssoftware, um einen Blacklist-Ansatz zur Malware- und Befehlserkennung zu verfolgen. Verwenden Sie stattdessen einen Whitelist-Ansatz, um den Netzwerkzugriff insgesamt zu beschränken. Sie können IP-Adressen auch auf die schwarze Liste setzen, während Sie die beabsichtigte Anwendungsaktion über eine weiße Liste zulassen.
Sie können den Zugriff auf Ihre Website einschränken, je nachdem, woher sie kommen oder was sie zuvor getan haben. Sie können einen Dienst auch abhängig von einer geografischen Region auf die weiße Liste setzen und nur diejenigen zulassen, die sich in Gebieten befinden, in denen Sie wissen, dass echte Menschen existieren. Aber,
Whitelisting und Blacklisting schließen sich nicht gegenseitig aus. Whitelisting und Blacklisting werden beide von einer Vielzahl von Organisationen verwendet. Whitelisting ist der Prozess, den Zugriff auf einen Computer oder ein Konto mithilfe eines Passworts einzuschränken. Nur wer das Passwort kennt, darf es eingeben, allen anderen ist dies untersagt.
Was ist der richtige Zeitpunkt, um Blacklisting zu verwenden?
Wenn Sie es Ihren Kunden einfach machen möchten, sich anzumelden und Ihre Systeme zu verwenden, ist Blacklisting der richtige Weg. Wenn Sie diese Elemente mehr schätzen als die strikteste Zugriffskontrolle, ist Blacklisting der richtige Weg.
Die beliebteste Methode für Sicherheitsteams besteht darin, unbefugten Zugriff zu blockieren, da Einzelpersonen bei der Entwicklung von Gadgets häufig möchten, dass so viele Personen wie möglich diese verwenden.
Blacklisting ist häufig die effizienteste Strategie, um der Öffentlichkeit etwas anzubieten und gleichzeitig die Anzahl der Personen zu erhöhen, die es nutzen können.
Zusammenfassung
- Sie suchen eine weniger einschränkende Atmosphäre.
- Sie suchen nach Möglichkeiten, den Verwaltungsaufwand zu reduzieren.
- Sie möchten, dass die breite Öffentlichkeit ein System nutzen kann.
- Wann ist der richtige Zeitpunkt für die Verwendung von Whitelists?
Whitelisting ist die beste Wahl, wenn Sicherheit Ihre oberste Priorität ist und es Ihnen nichts ausmacht, ein wenig zusätzliche Arbeit zu leisten oder den Zugriff einzuschränken. Whitelisting ist ideal, wenn eine starke Zugriffskontrolle und Sicherheit erforderlich sind.
Whitelisting ist komplizierter als Blacklisting. Whitelisting ist eine intelligente Lösung für Apps, die noch nicht öffentlich verfügbar sind. Sie können beispielsweise die IP-Adressen von Arbeitern auf die Whitelist setzen und verhindern, dass andere IP-Adressen auf eine Anwendung wie diese zugreifen.
Ein extremerer Ansatz, Apps aus Ihrem Netzwerk fernzuhalten, besteht darin, sie auf eine schwarze Liste zu setzen. Whitelisting hingegen kann nützlich sein, um zu verhindern, dass eine Anwendung oder ein Dienst zusätzliche Vorgänge ausführt. Indem Sie bestimmte Arten von Aktivitäten auf die Blacklist setzen, können Sie Whitelists implementieren.
Sie könnten eine Richtlinie erstellen, die es einem Microservice erlaubt, eine bestimmte Anzahl von Ressourcen zu verbrauchen oder auf einem bestimmten Host auszuführen, ihn aber herunterfährt, wenn er versucht, zu viele Ressourcen zu verwenden oder den Host zu wechseln.
Wenn Sie möchten, dass Ihre Software so funktioniert, wie Sie es wünschen, ist Blacklisting keine Option, da die Anzahl der schlechten Verhaltensweisen einfach zu groß ist. Sie können nicht alles voraussehen, was die Software tun wird, aber wenn Sie nur ungewöhnliche Aktionen ausführen möchten,
Zusammenfassung
- Nur eine begrenzte Anzahl von Benutzern erfordert den Einsatz von Technologie.
- Sie möchten eine kontrolliertere Umgebung.
- Sie haben nichts dagegen, etwas mehr Aufwand auf der administrativen Seite zu betreiben.
Haben Sie irgendwelche Gedanken dazu? Lassen Sie es uns unten in den Kommentaren wissen oder übertragen Sie die Diskussion auf unseren Twitter oder Facebook.