De nombreuses organisations reçoivent leur trafic de production depuis des pays spécifiques, des partenaires commerciaux spécifiques ou des blocs réseau spécifiques. Pourtant, le trafic d'attaque peut provenir de différentes régions du monde, de fournisseurs d'hébergement, de réseaux proxy résidentiels ou d'ASN abusés. Prendre des décisions uniquement sur la base de l'adresse IP ou d'une simple liste de blocage ignore entièrement ce contexte.
Le contrôle d'accès par pays peut être critique notamment pour les applications gouvernementales, financières, de santé et à portée locale. Si un service est conçu uniquement pour des utilisateurs dans des pays spécifiques, le laisser ouvert au monde entier crée une surface d'attaque inutile. Mais lier ce contrôle à un service GeoIP externe introduit à la fois une latence et un risque de dépendance aux données.
L'information ASN est tout aussi importante. Le trafic d'utilisateurs résidentiels dans le même pays que le trafic provenant de grands réseaux d'hébergement, d'infrastructures d'automatisation ou de fournisseurs abusés ne présente pas le même risque. Regarder uniquement la localisation géographique réduit la surface d'attaque, mais comprendre le type de source reste incomplet sans contexte ASN.
Dans les déploiements multi-locataires et segmentés par namespace, le problème s'amplifie. Chaque locataire n'applique pas forcément la même politique pays ; un locataire peut vouloir l'accès uniquement depuis certains pays tandis qu'un autre autorise l'Europe et des réseaux partenaires spécifiques. Cela nécessite que les sets de pays soient préparés séparément par namespace, sans que les sets inutiles ne soient jamais chargés.
TR7 Geo/ASN Access Control résout ce problème en utilisant des fichiers de base de données GeoIP locaux, la synchronisation d'ipset pays par namespace, des sets IPv4/IPv6, la visibilité GeoIP L7 et l'enrichissement des logs WAAP pour transformer une adresse IP en contexte de décision d'accès actionnable.
TR7 gère les décisions GeoIP et ASN sans dépendance à des services de requête externes, en utilisant des bases de données locales et une application de politique en couches.
Les bases de données GeoLite2 Country, City et ASN sont stockées sur TR7 sous `/geoDB`. Les recherches de pays, ville et ASN s'effectuent sur l'appareil ; aucun service internet externe n'est requis au moment de la décision.
Les règles de pare-feu par pays sont appliquées via des structures ipset IPv4 et IPv6. Des sets de pays spécifiques sont préparés par namespace ; le trafic peut être lié à une décision drop, reject ou log dès la couche de trafic la plus précoce.
Différents vServices sur la même plateforme peuvent fonctionner avec des politiques de risque pays et ASN différentes. La liste blanche pays, la liste noire, le CAPTCHA, la limitation de débit et l'enrichissement des logs WAAP peuvent être combinés selon les besoins de chaque service.
Plutôt que de charger aveuglément tous les sets de pays dans chaque namespace, TR7 prépare uniquement les pays référencés par les règles actives. Cela réduit l'utilisation de la RAM, le temps de préparation et la surcharge ipset inutile.
Geo/ASN Access Control combine la recherche locale, la politique pays basée sur ipset, la mise en cache, l'isolation des namespaces et la visibilité WAAP dans une couche intégrée unique.
TR7 peut produire un code pays ISO 3166-1 à deux lettres, un geoname_id et des informations de continent pour une adresse IP cliente. Ces données sont utilisables dans les décisions d'accès L3/L4 et dans l'enrichissement des logs L7. Par exemple, seul le trafic de pays spécifiques peut être autorisé, ou des politiques plus strictes peuvent être appliquées pour les groupes de pays à haut risque. La recherche s'effectuant contre un fichier MMDB local, il n'y a aucune dépendance à un service externe.
La base de données City ajoute un nom de ville et un contexte geoname_id à une adresse IP. Les informations de ville sont les plus précieuses côté analyse, reporting et investigation d'incidents plutôt que dans les décisions directes de pare-feu. Les événements WAAP peuvent montrer la distribution pays et ville d'une attaque de manière plus significative. Ce contexte aide les équipes de sécurité à comprendre plus rapidement le profil géographique d'une vague d'attaque.
La recherche ASN retourne le numéro de système autonome, le nom de l'organisation et le CIDR réseau pour une adresse IP. Ces données aident à déterminer si le trafic provient d'un réseau résidentiel, d'un fournisseur d'hébergement ou d'un réseau d'entreprise. Les informations ASN peuvent être utilisées pour l'analyse de risque dans les logs WAAP et les tableaux de bord de surveillance en temps réel.
Les adresses RFC1918, loopback et locales peuvent être automatiquement placées dans une catégorie privée. TR7 peut rapporter ces sources avec une étiquette locale telle que `XX` ; les adresses non correspondantes ou inconnues peuvent être affichées avec une étiquette `--`. Cette séparation empêche le trafic réseau interne de se mélanger avec le vrai trafic de source externe. Les rapports d'audit affichent les valeurs inconnues, locales et les codes pays réels comme des valeurs clairement distinctes.
La synchronisation intelligente par namespace construit uniquement les sets de pays référencés par les règles de pare-feu pertinentes pour chaque namespace. Par exemple, si un locataire utilise des règles uniquement pour TR, DE et US, seuls ces sets sont préparés. Cette approche élimine le besoin de charger les données des 250+ pays dans chaque namespace. Dans les déploiements multi-locataires, la consommation mémoire, le temps de préparation et la complexité opérationnelle diminuent tous.
Pour chaque pays, les sets IPv4 et IPv6 sont traités comme des structures distinctes mais coordonnées. Cela prévient l'erreur de contrôler uniquement le trafic IPv4 tout en laissant le chemin IPv6 ouvert. Lorsqu'une règle pays est définie, le périmètre v4 et v6 pertinent est considéré ensemble. Dans les réseaux dual-stack modernes, cette distinction est critique pour un contrôle d'accès complet.
TR7 peut utiliser un profil de cache avec une capacité de 10 000 clés et un TTL de 600 secondes pour les adresses IP fréquemment vues. Les IP fréquentes sont servies sans retourner à la recherche MMDB à chaque requête. C'est particulièrement utile pour réduire la latence pour le trafic à fort volume depuis les mêmes réseaux clients. Comme le cache s'exécute localement, aucun frais de requête externe ou accès internet n'est nécessaire.
La recherche GeoIP n'est pas limitée aux décisions drop du pare-feu ; les informations pays et ville peuvent également être ajoutées aux logs d'événements WAAP. L'agrégation des pays d'attaque, les tendances d'événements et les rapports SIEM s'appuient tous sur cet enrichissement. Les équipes de sécurité peuvent plus facilement voir quels pays sont la source de quels types d'attaques. Cette visibilité soutient un réglage de politique basé sur les preuves.
Les données ipset pays peuvent être parsées et préparées depuis des fichiers locaux tels que `/geoDB/countries.ipset`. Les sets de réputation ou de liste noire peuvent également être gérés via un chemin de fichier séparé. Cette conception permet au contrôle d'accès de fonctionner même dans des environnements avec un accès internet restreint ou inexistant. Les cycles de mise à jour peuvent être planifiés selon les propres fenêtres de maintenance de l'organisation.
Dans les déploiements en cluster, les ipsets et les données GeoIP associées doivent être transférés vers le nœud passif. TR7 prend en charge un modèle opérationnel dans lequel les sets de pays et les changements sont synchronisés vers le côté passif. Lors d'un failover, le nœud nouvellement actif continue à servir le trafic sous la même politique pays. Le contrôle d'accès GeoIP ne dépend donc pas du comportement d'un seul nœud.
Le contrôle d'accès Geo/ASN est opéré conjointement avec le modèle de lecteur GeoIP, le profil de cache, la gestion des fichiers ipset, la restauration en arrière-plan, l'extraction des sets requis et les mises à jour en mode force.
TR7 utilise des lecteurs GeoIP MMDB avec support de longueur de préfixe pour les recherches pays, ville et ASN. La recherche avec prise en compte de la longueur de préfixe détermine à quel bloc réseau appartient une adresse IP. Le modèle fonctionne pour les adresses IPv4 et IPv6.
Le profil de cache peut fonctionner avec une capacité de 10 000 clés, un TTL standard de 600 secondes et une période de vérification de 120 secondes. La surcharge de clonage d'objets inutile est éliminée. Cette configuration offre des réponses rapides sous des charges de recherche IP lourdes et répétitives.
Les sets de pays peuvent être gérés depuis `/geoDB/countries.ipset`, tandis que les sets de liste noire sont gérés depuis un fichier de liste noire séparé. Les deux fichiers étant locaux, aucune requête hors appareil n'est nécessaire. Les opérations de mise à jour et de rollback sont planifiées via la gestion des fichiers et le processus de restauration.
Le processus de remplissage des ipsets s'exécute en arrière-plan afin que le flux UI ne soit pas inutilement bloqué. Le traitement par lots prépare les sets de manière contrôlée. Pour les grands sets de pays, cette approche rend l'expérience de gestion sensiblement plus fluide.
Les règles de pare-feu et la carte de sécurité des namespaces sont inspectées pour déterminer quels sets de pays sont nécessaires par namespace. La synchronisation intelligente opère sur la base de cette liste dérivée. En conséquence, les sets de pays inutilisés ne sont jamais chargés dans le namespace concerné.
Lorsque le mode force est activé, l'opération de parse et de push s'exécute à nouveau sans consulter le cache. Ce mode est utile lorsqu'une mise à jour des données GeoIP, un changement de règle ou une incohérence de set suspectée nécessite un rafraîchissement immédiat. En fonctionnement normal, le cache et la synchronisation intelligente sont préférés pour éviter les rechargements inutiles.
Une banque peut vouloir autoriser uniquement le trafic provenant de certains pays européens. TR7 lie les autres pays à une décision drop ou reject en couche précoce en utilisant les ipsets pays. Des politiques de repli plus souples peuvent être ajoutées pour les clients nécessitant l'itinérance ou un traitement d'exception.
Un portail public peut être configuré pour accepter les connexions uniquement depuis des réseaux locaux. L'étiquette `XX` sépare les sources locales/privées ; le vrai trafic de pays externe est bloqué via les sets de pays. Les pistes d'audit peuvent montrer quel trafic pays a été abandonné.
Une application SaaS peut surveiller l'ASN du trafic atteignant un endpoint de connexion dans les logs WAAP. Des tentatives de connexion inhabituelles depuis des réseaux d'hébergement peuvent être évaluées conjointement avec le CAPTCHA, la limitation de débit ou des politiques WAAP personnalisées. La visibilité ASN fournit un contexte de risque plus riche que les décisions basées uniquement sur le pays.
Lorsqu'un pic de trafic se concentre dans des pays spécifiques, TR7 peut passer à des politiques temporaires de drop, reject ou de limitation de débit plus stricte pour ces pays. Comme les sets de pays sont déjà préparés, la décision est appliquée dès la couche de trafic la plus précoce. Les équipes opérationnelles peuvent surveiller la vague d'attaque aux côtés de sa distribution par pays source.
Contrôle d'accès entièrement auditable adossé aux bases de données GeoIP locales, à la synchronisation ipset par namespace et à l'enrichissement des logs WAAP. Nous pouvons parcourir une configuration en direct dans votre propre environnement.