Hopp til hovedinnhold
NHN
Gå tilbake til Publikasjoner

Nettverksblokkering som sikkerhetstiltak

Kort sagt

Blokkering av trafikk fra VPN-tjenester, TOR-nettverk, eller "feil" land vil stoppe mange angrep, og ved masseutnyttelse av nye sårbarheter kan det kjøpe tid til oppdatering og mitigering av sårbarheter. Slik blokkering gir likevel ikke nok sikring alene, og kan omgås av angripere.

Geoblokkering er et annet effektivt grep. Det bør gjøres med en hviteliste, hvor det åpnes for landene dere trenger tilgang fra og opprettes unntak om brukere må koble til fra utlandet i perioder.

Blokkering av VPN- og proxynettverk er også et godt tiltak om dere ikke har tjenestlig behov for slike.

- Vi anbefaler å bruke blokkeringslistene våre

- Vi anbefaler å geoblokkerer i hvitelistetilnærming om dette kan gjøres med forholdsvis lite arbeid

- Vi anbefaler IKKE å innføre blokkering i stedet for å gjøre andre sikringstiltak.*

* Phishingresistent autentisering er en løsning på phishingsikring. Geoblokkering er i beste fall et utilstrekkelig sikringstiltak som kan sikre noe

(Mer) Utførlig fortalt

Geoblokkering

Geoblokkering handler i denne artikkelen om å blokkere mulighet for innlogging basert på hvilken lokasjon, typisk land, en IP-adresse knyttes til.

Proxyblokkering

Med proxynettverk mener vi nettverk beregnet på å sende trafikk gjennom en tredjepart for å få det til å framstå som om den kommer fra et annet sted. Tor og alt av kommersielle VPN-tilbydere er eksempler på slike.

Hvordan

Mange brannmurer, lastbalanserere og ikke minst skyløsninger som Microsoft 365 har innebygd funksjonalitet for slik blokkering. Normalt sett har de i tillegg mulighet for å legge inn unntak på IP- og/eller brukernivå. Det finnes også selskaper som spesialiserer seg på å opprettholde lister over kjente VPN-nett.

Blokkering kan, om løsningen støtter det, gjøres per IP-adresse/-nettverk, geografisk region eller land.

Hvor hardt man kan gå til verks vil avhenge av hvem bruker løsningen

  • Innbyggertjenester, for eksempel helsenorge.no er noe nordmenn sannsynligvis forventer å kunne nå i utlandet
  • Interne innloggingsløsninger i virksomheten bør kun være tilgjengelig for de som må ha det

Svarteliste vs hviteliste

Blokkering kan gjøres ut fra to grunnfilosofier.

  1. Svartelisting er å blokkere tilkobling fra adresser og områder du ikke ønsker trafikk fra, og tillatte alt annet

  2. Hvitelisting er å blokkere all trafikk du ikke har åpnet spesifikt for

Generelt vil vedlikehold av en hviteliste, som å legge inn og fjerne unntak, kreve mer arbeid enn en svarteliste

Vi tilbyr en blokkeringsliste med IP-er og domener observert i angrep. Dette er en svartelistetilnærming. Slike lister er av natur reaktive og kan bare beskytte om noen har oppdaget et angrep og varsler videre. Disse vil altså først og fremst beskytte mot kjente angrep.

For generell geoblokkering anbefaler vi en hvitelistetilnærming, som er proaktiv og vesentlig vanskeligere å omgå, gitt at dere kan vedlikeholde den effektivt.

Hvorfor bruke vår blokkeringsliste

Vår blokkeringsliste for medlemmer av Nasjonalt Beskyttelsesprogram inneholder IP-er og domener vi og samarbeidspartnere har sett benyttet i angrep.

Brukt i en brannmur kan den stoppe pågående angrepskampanjer, hindre phishingoffer i å nå utnyttelsessiden og skjule enhetene deres for ondsinnet sårbarhetsskanning. Den kan også brukes i M365-søk for å avdekke phishingforsøk eller -kompromitteringer tilbake i tid.

Siden indikatorer som regel legges inn i listen etter angrep eller angrepsforsøk, vil blokkeringslistene bare gi en viss beskyttelse. Men det er mye bedre enn å gjøre ingenting, som ofte er alternativet.

Hvorfor geoblokkere

Kina, Russland, Iran og Nord-Korea er land som i flere år har aktivt har brukt cyberangrep [1,2,3] for å oppnå politiske, teknologiske eller politiske fordeler. Det kan derfor virke enkelt og logisk å innføre geoblokkering mot disse landene

Mange angrep kommer også fra IP-adresser som er kjent brukt til ondsinnet aktivitet, og fra andre land kjent for slike angrep. Vi ser eksempelvis mye generell skanning/rekognosering fra kinesiske IP-adresser. En geoblokkering med svartlisting av spesifikke land vil redusere støy fra slike ikke-målrettede angrep og kan ha verdi for dette alene.

I phishing ser vi at store hosting-leverandører i Storbritannia, Tyskland, Frankrike, Canada, USA og Nederland brukes mye. Blokkering av trafikk fra disse vil kunne redusere angrepsflaten betraktelig, men merk at listen over land på ingen måte er uttømmende. Felles for det meste vi ser av innledende phishingangrep er at de i all hovedsak gjøres fra adresser utenfor Skandinavia.

Kort fortalt: Å nekte tilgang fra land dere ikke har behov for å koble til fra, vil gjøre dere til et mye mindre mål på generell basis.

Ulemper med blokkering

Innføring av geoblokkering krever at dere har en måte å varsle brukere om hvorfor de plutselig ikke får til å logge inn. Det krever også at dere har interne rutiner for å oppdage brukere i utlandet så det kan opprettes unntak for dem - eventuelt at dere velger å ikke tilby tilgang fra utlandet og kommuniserer dette internt.

Geoblokkering må være tilpasset virksomhetens behov og publikum. Ønsker man å tilby helsetjenester til norske pensjonister i Spania, sier det seg selv at en ikke kan geoblokkere for alle besøkende utenfor Skandinavia.

En annen ulempe med geoblokkering er at det gir søkemotorer dårligere tilgang til for eksempel hjemmesider. Dette gjør at siden scorer dårligere i søkemotorer som Google.

Geoblokkering kost / nytte

En svakhet med geoblokkering er at statlige angripere rutinemessig bruker proxy-noder for å skjule hvor de kommer fra. De ligger ofte i land Norge har et godt politisk forhold til, og ikke naturlig ville blokkert trafikk fra. De kan også ligge i Norge.

Enkelte av de mer organiserte cyberkriminelle bruker i økende grad proxy- eller VPN-nettverk så angrepene deres kommer fra IP-adresser som ikke tidligere er sett brukt i ondsinnet aktivitet. Mange slike nettverk har god geografisk spredning og lar angriper velge adresser i samme land som målet.

Blokkering av all trafikk fra utenfor Norge vil altså ikke være nok, ettersom mange angripere enkelt kan omgå blokkeringen. Dette gjør at geoblokkering aldri vil være et sikringstiltak som erstatter annen sikring, men heller inngår som en komponent i et totalforsvar.

Fordelen med geoblokkering er at det reduserer mengden ikke-målrettede angrep man utsettes for. Det har med andre ord verdi som støyreduserende tiltak. Ved store kritiske sårbarheter ser vi ofte at masseutnyttelseskampanjene kommer fra IP-adresser som stort sett ligger utenfor Norge. Her kan geoblokkering kjøpe dyrebar tid til oppdatering for å lukke sårbarheten.

Denne fordelen må veies opp mot ulemper som nedprioritering i søkemotorer og arbeidet som kreves med å vedlikeholde tilganger om dere har ansatte som reiser mye, konsulenter i utlandet eller lignende.

Vi anbefaler blokkering gitt at...

Dere kan vedlikeholde blokkeringslistene uten at det krever for mye ressurser. Her må dere selv vurdere kapasiteten deres.

Mange har mindre tjenester som kun må nås fra et kjent kontornett. Noen kan ha store, publikumsvendte tjenester med så forutsigbare bruksmønstre at all trafikk utenfra Norge kan blokkeres.

Andre har så kompliserte oppsett med utenlandske konsulenter, hyppig reisevirksomhet og hjemmekontor på dynamiske hjemmeadresser at andre metoder enn svartelisting er urealistisk. I så fall vil vi ikke abefale hviteliste-basert blokkering.

Et godt kompromiss her er å redusere granulariteten på det som blokkeres til et nivå hvor vedlikehold kan gjøres månedlig, ikke daglig. Husk også at å tillate tilgang fra store, kjente norsk IP-blokk er mye tryggere enn å tillate all trafikk uansett hvor den kommer fra. Noe vern er bedre enn ikke noe vern!


Unntak for sikkerhetsskanning

Om geoblokkering skal innføres, har vi et sett med IP-adresser vi anbefaler å legge inn unntak for. Siden de ikke er offentlige, ber vi om at dere tar kontakt med oss på post@helsecert.no for å få disse.

Vi sikkerhetsskanner også fra faste adresser [4] og anbefaler å gjøre unntak for dem i brannmurer og lignende.


[1] - https://www.etterretningstjenesten.no/publikasjoner/fokus/
[2] - https://www.pst.no/alle-artikler/?v=1720009289324&FilterByValues=2&PageNumber=1
[3] - https://nsm.no/regelverk-og-hjelp/rapporter/risiko-2024
[4] - https://www.nhn.no/tjenester/helsecert/sikkerhetsskanning