Criando blacklists de endereços IP no Edge com Azion Network Layer Protection

Edite no GitHub

Network Layer Protection é um módulo que compõe o produto Edge Firewall da plataforma de Edge Computing da Azion. Ele permite criar listas personalizadas (Network Lists) baseadas em endereços de IP, ASN e geolocalização do usuário, ou utilizar listas automáticas mantidas e atualizadas pela Azion, como a lista de endereços da rede Tor.

Com isso, é possível monitorar comportamentos suspeitos, criar regras inteligentes e aplicar penalizações contra ações maliciosas, bloqueando ou limitando acesso, provisionando proteção no Edge para a camada de rede do tráfego de entrada e saída em suas aplicações.

Algumas outras vantagens de utilizar o serviço Network Layer Protection da Azion:

  • facilidade de integração com SIEM ou outras ferramentas de segurança em sua infraestrutura utilizando APIs para manutenção de blacklists;
  • processamento no Edge em real-time, preservando o desempenho da infraestrutura de origem;
  • possibilidade de executar regras de negócio no Edge.

Como funciona

O serviço Network Layer Protection utiliza uma série de listas mantidas pelo próprio usuário ou pela Azion, que podem ser atualizadas manualmente ou via API. Quando uma requisição chegar a um Edge Node da Azion, ela é avaliada e, caso atenda aos critérios definidos no Rule Set daquele Edge, é realizada uma consulta às listas configuradas, filtrando assim agentes ofensores conhecidos antes mesmo que a requisição chegue à infraestrutura do cliente.

Ao ativar o módulo dentro de um Edge Firewall, as condições (Criterias) Network e os comportamentos (Behaviors) Deny, Drop e Set Rate Limit passam a ficar disponíveis na configuração de Rules Engine da Rule Set selecionada. Isso permite ao cliente definir em quais condições as listas serão consultadas e quais comportamentos deverão ser executados.

Habilitando o módulo Network Layer Protection

Para habilitar o módulo Network Layer Protection, basta acessar o Edge Firewall desejado pelo Real-Time Manager (RTM), a partir do menu Edge Computing, e ativar o serviço na aba Mains Settings.

Depois de habilitado, é necessário criar as listas personalizadas e definir os critérios de avaliação e comportamentos que serão aplicados pelo Edge Firewall.

Criando uma Network List

Caminho: Real-Time Manager > Edge Libraries > Network Lists

Ao acessar a página de Network Lists, serão exibidas todas as listas criadas pelo usuário e os itens fornecidos automaticamente pela Azion, como Origin Shield (necessário contato com equipe comercial para liberação de acesso ao serviço).

Para criar uma nova, clique no botão Add, escolha um nome intuitivo para sua lista (BlockedIPsList, por exemplo, para configurar uma lista de IPs ofensores conhecidos), selecione o Type desejado e preencha a lista conforme o tipo escolhido (ASN, Countries ou IP/CIDR. Para nosso exemplo, utilizaremos a opção IP/CIDR), e clique em Save. Uma lista de usuário pode ser atualizada a qualquer momento, de forma manual ou via integração por API.

123.456.789.1
123.456.789.2/32
10.1.1.0/16

Exemplo de configuração de uma lista do tipo IP/CIDR

Definindo critérios de execução (Rules Engine)

Caminho: Real-Time Manager > Edge Computing > Edge Firewall > Rules Engine

Crie um novo Rule Set dentro de seu Edge Firewall ou edite algum já existente. As regras (ou Rule Engines) determinam o conjunto de condições que precisam ser atendidas para a execução dos Behaviors. Você deve criar uma nova regra a fim de configurar os parâmetros de validação e os comportamentos para execução de sua Rule Set pelo Edge Firewall.

Definindo critérios de validação (criteria): escolha as variáveis, operadores de comparação e strings para a construção de sua regra de negócio, como no exemplo a seguir:

  • If: Network matches BadBotsList (na sequência: operador lógico, variável, operador de comparação, string)

Aqui a regra é executada se o endereço IP da requisição estiver presente na lista BadBotsList criada anteriormente.

Definindo comportamentos (behaviors): adicione os comportamentos que deseja executar caso as condições da regra sejam satisfeitas. Exemplo:

  • Then: Drop (Close Without Response) (na sequência: operador lógico, ação)

Nesse exemplo, se as condições definidas nas regras forem satisfeitas, então será executado um Drop na requisição sem enviar retorno para o requisitante.

Por fim, salve o seu Rule Set, e seu Edge Firewall já estará pronto para executar a nova regra.


Não encontrou o que procurava? Abra um ticket.