Использование черного списка¶
Валарм может блокировать большую часть вредоносного трафика на основе каждого запроса, в котором определяется вектор атаки. Однако для поведенческих атак, в которых каждый запрос является легитимным (например, попытки авторизоваться с парами имя пользователя и пароль), необходимо блокировать источник.
Валарм может блокировать ботов и такие поведенческие атаки, как злоупотребление приложением, атаки перебора и forced browsing, автоматическим добавлением IP‑адресов в черный список. Администраторы также могут вручную добавлять IP‑адреса и подсети в список заблокированных.
В секции Черный список Личного кабинета вы можете:
-
просмотреть список заблокированных адресов и причину блокировки;
-
разблокировать любой IP‑адрес или задать время автоматической разблокировки;
-
заблокировать IP‑адрес или подсеть.
Включите блокировки на WAF‑ноде
Для того, чтобы черные списки Валарм применились, их необходимо включить на WAF‑ноде.
Подробнее...
Работа с активными блокировками¶
По умолчанию в секции Черный список открывается вкладка Сейчас с IP‑адресами, которые заблокированы на текущий момент.
Для каждого IP‑адреса отображаются следующие данные:
-
IP / Источник — заблокированный IP‑адрес. Если в базе Валарм найдена дополнительнная информация об IP‑адресе, также отображаются следующие параметры:
- Страна, в которой зарегистрирован IP‑адрес
- Дата‑центры, которым принадлежит один или несколько IP‑адресов: AWS для Amazon, GCP для Google, Azure для Microsoft, DC для других дата‑центров
- Тег Tor, если атака целиком или частично выполнена с узлов Tor
- Тег VPN, если IP‑адрес принадлежит сети VPN
- Тег Public proxy или Web proxy, если запрос отправлен с публичного прокси‑сервера или веб‑сервера
-
Причина — причина блокировки IP‑адреса. Указывается при блокировке адреса вручную или генерируется автоматически для IP‑адресов, заблокированных Валарм.
-
Приложение — приложение, на доступ к которому установлена блокировка.
-
Время блокировки— дата и время блокировки.
-
Разблокировать — временной период, после которого адрес разблокируется.
Фильтрация заблокированных IP‑адресов¶
Вы можете отфильтровать список заблокированных IP‑адресов по параметрам:
-
IP‑адрес, указанный в поле Поиск по IP
-
Приложение, на доступ к которому установлена блокировка
Изменение времени блокировки¶
Чтобы изменить время блокировки IP‑адреса:
-
Выберите заблокированный IP‑адрес из списка.
-
Нажмите Изменить время блокировки.
-
Выберите новую дату разблокировки адреса.
Разблокировка IP‑адреса¶
Чтобы снять блокировку:
-
Выберите заблокированный IP‑адрес из списка.
-
Нажмите Разблокировать.
Также вы можете выбрать несколько IP‑адресов и разблокировать их по кнопке Разблокировать одновременно.
Повторная блокировка разблокированного IP‑адреса
После ручной разблокировки IP‑адреса, который был добавлен в черный список автоматически, повторная автоматическая блокировка произойдет по истечении половины времени предыдущей блокировки.
Например:
- IP‑адрес был автоматически заблокирован на 1 час, так как с этого IP‑адреса было отправлено 4 разных вектора атаки за 3 часа (согласно триггеру по умолчанию).
- Пользователь разблокировал IP‑адрес через Консоль управления Валарм.
- Если после разблокировки с IP‑адреса будут отправлены еще 4 разных вектора атаки менее чем за 30 минут, IP‑адрес не добавится в черный список.
Работа с историей блокировок¶
Чтобы получить историю блокировок, в поле Выберите дату выберите период, за который необходимо получить данные. По умолчанию, история блокировок содержит события по всем IP‑адресам и приложениям.
Для фильтрации истории используйте параметры:
-
IP‑адрес, указанный в поле Поиск по IP
-
Приложение, на доступ к которому установлена блокировка
Добавление IP‑адреса в черный список¶
Для блокировки IP‑адреса:
-
Нажмите кнопку Заблокировать.
-
Введите значение в поле IP, диапазон или подсеть.
Маска подсети
Вы можете указать IP‑адрес с маской подсети. В списке заблокированных IP‑адресов отобразятся все адреса в подсети. Например: для адреса
a.b.c.0/24
в список добавятся 256 записей. -
Выберите приложение, к которому необходимо заблокировать доступ.
-
Выберите срок блокировки. Минимальный период блокировки — один час.
-
Укажите причину блокировки.
-
Нажмите Заблокировать.
Экспорт адресов черного списка¶
Для экспорта списка заблокированных IP‑адресов или истории блокировок нажмите кнопку Экспортировать.
Данные экспортируются в формате .csv с полями:
-
IP — IP‑адрес.
-
Application — идентификатор приложения, на доступ к которому установлена блокировка.
-
Type — тип действия (block или unblock).
-
Time — дата и время разблокировки.
-
Country — страна, в которой зарегистрирован IP‑адрес.
-
Reason — причина блокировки IP‑адреса, указанная при блокировке адреса вручную или сгенерированная автоматически на стороне Валарм.