Muchas organizaciones reciben tráfico de producción de países específicos, socios comerciales específicos o bloques de red específicos. Sin embargo, el tráfico de ataque puede originarse en diferentes regiones del mundo, de proveedores de hosting, redes de proxies residenciales o ASN abusados. Tomar decisiones basadas únicamente en la dirección IP o una lista de bloqueo simple ignora completamente este contexto.
El control de acceso por país puede ser crítico especialmente para aplicaciones gubernamentales, financieras, sanitarias y de ámbito local. Si un servicio está diseñado solo para usuarios de países específicos, dejarlo abierto a todo el mundo genera una superficie de ataque innecesaria. Pero vincular ese control a un servicio externo de GeoIP introduce tanto latencia como riesgo de dependencia de datos.
La información ASN es igualmente importante. El tráfico de usuarios residenciales en el mismo país que el tráfico de grandes redes de hosting, infraestructura de automatización o proveedores abusados no conlleva el mismo riesgo. Mirar solo la ubicación geográfica reduce la superficie de ataque, pero comprender el tipo de fuente queda incompleto sin contexto ASN.
En despliegues multi-tenant y segmentados por namespace, el problema se multiplica. Cada tenant puede no aplicar la misma política de país; un tenant puede querer acceso solo desde España mientras otro permite Europa y redes de socios específicos. Esto requiere que los conjuntos de países se preparen por separado por namespace, sin cargar nunca los conjuntos innecesarios.
TR7 Control de Acceso Geo/ASN resuelve esto mediante archivos de base de datos GeoIP locales, sincronización de ipset de países por namespace, conjuntos IPv4/IPv6, visibilidad GeoIP en L7 y enriquecimiento de logs WAAP para convertir una dirección IP en contexto accionable para la decisión de acceso.
TR7 gestiona las decisiones de GeoIP y ASN sin dependencia de servicios de consulta externos, usando bases de datos locales y aplicación de políticas por capas.
Las bases de datos GeoLite2 Country, City y ASN se almacenan en TR7 bajo `/geoDB`. Las consultas de país, ciudad y ASN se realizan en el dispositivo; no se requiere ningún servicio de internet externo en el momento de la decisión.
Las reglas de firewall por país se aplican mediante estructuras ipset de IPv4 e IPv6. Los conjuntos de países específicos se preparan por namespace; el tráfico puede vincularse a una decisión de drop, reject o log en la capa de tráfico más temprana.
Diferentes vServices en la misma plataforma pueden operar con diferentes políticas de riesgo por país y ASN. Lista blanca de países, lista negra, CAPTCHA, rate-limiting y enriquecimiento de logs WAAP pueden combinarse según los requisitos de cada servicio.
En lugar de cargar ciegamente todos los conjuntos de países en cada namespace, TR7 prepara solo los países referenciados por las reglas activas. Esto reduce el uso de RAM, el tiempo de preparación y la sobrecarga de ipset innecesaria.
El Control de Acceso Geo/ASN combina consulta local, política de países basada en ipset, caché, aislamiento de namespace y visibilidad WAAP en una única capa integrada.
TR7 puede producir un código de país ISO 3166-1 de dos letras, un geoname_id e información de continente para una dirección IP de cliente. Estos datos son utilizables tanto en decisiones de acceso L3/L4 como en el enriquecimiento de logs en L7. Por ejemplo, solo se puede permitir el tráfico de países específicos, o se pueden aplicar políticas más estrictas para grupos de países de alto riesgo. Dado que la consulta se ejecuta contra un archivo MMDB local, no existe dependencia de servicio externo.
La base de datos City añade contexto de nombre de ciudad y geoname_id a una dirección IP. La información de ciudad es más valiosa en el lado de análisis, generación de informes e investigación de incidentes que en las decisiones directas de firewall. Los eventos WAAP pueden mostrar la distribución de países y ciudades de un ataque de forma más significativa. Este contexto ayuda a los equipos de seguridad a comprender más rápidamente el perfil geográfico de una oleada de ataques.
La consulta ASN devuelve el número de sistema autónomo, el nombre de la organización y el CIDR de red para una dirección IP. Estos datos ayudan a determinar si el tráfico proviene de una red residencial, un proveedor de hosting o una red empresarial. La información ASN puede usarse para análisis de riesgo dentro de los logs WAAP y los paneles de monitoreo en vivo.
Las direcciones RFC1918, loopback y locales pueden colocarse automáticamente en una categoría privada. TR7 puede reportar dichas fuentes con una etiqueta local como `XX`; las direcciones no coincidentes o desconocidas pueden mostrarse con la etiqueta `--`. Esta separación evita que el tráfico de red interna se mezcle con el tráfico real de fuentes externas. Los informes de auditoría muestran los códigos desconocidos, locales y de país real como valores claramente distintos.
La sincronización inteligente por namespace construye solo los conjuntos de países referenciados por las reglas de firewall relevantes para cada namespace. Por ejemplo, si un tenant usa reglas solo para ES, DE y US, solo se preparan esos conjuntos. Este enfoque elimina la necesidad de cargar datos de 250+ países en cada namespace. En despliegues multi-tenant, el consumo de memoria, el tiempo de preparación y la complejidad operacional disminuyen.
Para cada país, los conjuntos IPv4 e IPv6 se tratan como estructuras separadas pero coordinadas. Esto previene el error de controlar solo el tráfico IPv4 dejando el camino IPv6 abierto. Cuando se define una regla de país, el alcance v4 y v6 relevante se considera conjuntamente. En las redes modernas de doble pila, esta distinción es crítica para un control de acceso completo.
TR7 puede usar un perfil de caché con capacidad de 10.000 claves y TTL de 600 segundos para las direcciones IP vistas frecuentemente. Las IPs frecuentes se sirven sin volver a la consulta MMDB en cada solicitud. Esto es especialmente útil para reducir la latencia en el tráfico de alto volumen de las mismas redes de clientes. Dado que la caché se ejecuta localmente, no se necesitan costes de consulta externa ni acceso a internet.
La consulta GeoIP no se limita a las decisiones de drop en el firewall; la información de país y ciudad también puede añadirse a los logs de eventos WAAP. La agregación de países de ataque, las tendencias de eventos y los informes SIEM se nutren todos de este enriquecimiento. Los equipos de seguridad pueden ver más fácilmente qué países son la fuente de qué tipos de ataques. Esta visibilidad apoya el ajuste de políticas basado en evidencia.
Los datos de ipset de países pueden parsearse y prepararse desde archivos locales como `/geoDB/countries.ipset`. Los conjuntos de reputación o lista negra también pueden gestionarse mediante una ruta de archivo separada. Este diseño permite que el control de acceso funcione incluso en entornos con acceso a internet restringido o sin él. Los ciclos de actualización pueden planificarse según las propias ventanas de mantenimiento de la organización.
En despliegues en clúster, los ipsets y los datos GeoIP relacionados deben transferirse al nodo pasivo. TR7 soporta un modelo operacional en el que los conjuntos de países y los cambios se sincronizan al lado pasivo. Cuando ocurre un failover, el nodo recién activo continúa sirviendo tráfico bajo la misma política de país. El control de acceso GeoIP no depende por tanto del comportamiento de un único nodo.
El control de acceso Geo/ASN se opera junto con el modelo de lector GeoIP, el perfil de caché, la gestión de archivos ipset, la restauración en background, la extracción de conjuntos necesarios y las actualizaciones en modo force.
TR7 usa lectores GeoIP MMDB con soporte de longitud de prefijo para consultas de país, ciudad y ASN. La consulta con reconocimiento de longitud de prefijo determina a qué bloque de red pertenece una dirección IP. El modelo funciona tanto para direcciones IPv4 como IPv6.
El perfil de caché puede operar con una capacidad de 10.000 claves, un TTL estándar de 600 segundos y un período de verificación de 120 segundos. Se elimina la sobrecarga innecesaria de clonación de objetos. Esta configuración ofrece respuestas rápidas bajo cargas de consultas de IP intensas y repetitivas.
Los conjuntos de países pueden gestionarse desde `/geoDB/countries.ipset`, mientras que los conjuntos de lista negra se gestionan desde un archivo de lista negra separado. Como ambos archivos son locales, no se requiere ninguna consulta fuera del dispositivo. Las operaciones de actualización y rollback se planifican a través de la gestión de archivos y el proceso de restauración.
El proceso de llenado de ipset se ejecuta en background para que el flujo de la interfaz no se bloquee innecesariamente. El procesamiento por lotes prepara los conjuntos de forma controlada. Para conjuntos de países de gran tamaño, este enfoque hace que la experiencia de gestión sea notablemente más fluida.
Se inspeccionan las reglas de firewall y el mapa de seguridad de namespace para determinar qué conjuntos de países se necesitan por namespace. La sincronización inteligente opera contra esta lista derivada. Como resultado, los conjuntos de países no utilizados nunca se cargan en el namespace relevante.
Cuando el modo force está habilitado, la operación de parseo y push se ejecuta de nuevo sin consultar la caché. Este modo es útil cuando una actualización de datos GeoIP, un cambio de regla o una inconsistencia de conjunto sospechada requiere una actualización inmediata. En operación normal, se prefieren la caché y la sincronización inteligente para evitar recargas innecesarias.
Un banco puede querer permitir solo el tráfico de países europeos específicos. TR7 vincula los países restantes a una decisión de drop o reject en capa temprana usando ipsets de países. Se pueden añadir políticas de fallback más suaves para clientes que necesiten roaming o gestión de excepciones.
Un portal público puede configurarse para aceptar conexiones solo de redes nacionales y locales. La etiqueta `XX` separa las fuentes locales/privadas; el tráfico real de países externos se bloquea mediante conjuntos de países. Los registros de auditoría pueden mostrar qué tráfico de países fue descartado.
Una aplicación SaaS puede monitorear el ASN del tráfico que llega a un endpoint de login dentro de los logs WAAP. Los intentos de login inusuales procedentes de redes de hosting pueden evaluarse junto con CAPTCHA, rate-limiting o políticas WAAP personalizadas. La visibilidad ASN proporciona un contexto de riesgo más rico que las decisiones basadas solo en país.
Cuando un pico de tráfico se concentra en países específicos, TR7 puede cambiar a políticas temporales de drop, reject o rate-limiting más estricto para esos países. Como los conjuntos de países ya están preparados, la decisión se aplica en la capa de tráfico más temprana. Los equipos de operaciones pueden monitorear la oleada de ataque junto con la distribución de países de origen.
Control de acceso completamente auditable respaldado por bases de datos GeoIP locales, sincronización de ipset por namespace y enriquecimiento de logs WAAP. Podemos recorrer una configuración en vivo en su propio entorno.