Muitas organizações recebem tráfego de produção de países específicos, parceiros de negócios específicos ou blocos de rede específicos. No entanto, o tráfego de ataque pode ter origem em diferentes regiões do mundo, de provedores de hospedagem, redes de proxy residencial ou ASNs abusadas. Tomar decisões baseadas apenas no endereço IP ou em uma lista de bloqueio simples ignora completamente esse contexto.
O controle de acesso baseado em país pode ser crítico, especialmente para aplicações governamentais, financeiras, de saúde e de escopo local. Se um serviço é projetado apenas para usuários em países específicos, deixá-lo aberto para o mundo inteiro cria superfície de ataque desnecessária. Mas vincular esse controle a um serviço GeoIP externo introduz risco de latência e dependência de dados.
As informações de ASN são igualmente importantes. O tráfego de usuários residenciais no mesmo país que o tráfego de grandes redes de hospedagem, infraestrutura de automação ou provedores abusados não apresenta o mesmo risco. Olhar apenas para a localização geográfica reduz a superfície de ataque, mas entender o tipo de fonte permanece incompleto sem o contexto do ASN.
Em implantações multi-tenant e segmentadas por namespace, o problema se agrava. Cada tenant pode não aplicar a mesma política de país; um tenant pode querer acesso apenas de determinado país enquanto outro permite outros países e redes de parceiros específicas. Isso requer que os conjuntos de países sejam preparados separadamente por namespace, com conjuntos desnecessários nunca carregados.
O TR7 Controle de Acesso Geo/ASN resolve isso usando arquivos locais de banco de dados GeoIP, sincronização de ipsets de países por namespace, conjuntos IPv4/IPv6, visibilidade GeoIP no L7 e enriquecimento de logs do WAAP para transformar um endereço IP em contexto acionável para decisões de acesso.
O TR7 gerencia decisões de GeoIP e ASN sem dependência de serviços de consulta externos, usando bancos de dados locais e aplicação de políticas em camadas.
Os bancos de dados GeoLite2 Country, City e ASN são armazenados no TR7 sob `/geoDB`. As consultas de país, cidade e ASN acontecem no dispositivo; nenhum serviço de internet externo é necessário no momento da decisão.
As regras de firewall baseadas em país são aplicadas por meio de estruturas de ipset IPv4 e IPv6. Conjuntos de países específicos são preparados por namespace; o tráfego pode ser vinculado a uma decisão de drop, reject ou log na camada de tráfego mais inicial.
Diferentes vServices na mesma plataforma podem operar com diferentes políticas de risco de país e ASN. Lista branca de países, lista negra, CAPTCHA, rate limiting e enriquecimento de logs do WAAP podem ser combinados com base nos requisitos de cada serviço.
Em vez de carregar cegamente todos os conjuntos de países em cada namespace, o TR7 prepara apenas os países referenciados pelas regras ativas. Isso reduz o uso de RAM, o tempo de preparação e a sobrecarga desnecessária de ipset.
O Controle de Acesso Geo/ASN combina consulta local, política de país baseada em ipset, cache, isolamento de namespace e visibilidade do WAAP em uma única camada integrada.
O TR7 pode produzir um código de país ISO 3166-1 de duas letras, um geoname_id e informações de continente para um endereço IP do cliente. Esses dados são utilizáveis tanto em decisões de acesso L3/L4 quanto em enriquecimento de logs L7. Por exemplo, apenas o tráfego de países específicos pode ser permitido, ou políticas mais rígidas podem ser aplicadas a grupos de países de alto risco. Como a consulta é executada em um arquivo MMDB local, não há dependência de serviço externo.
O banco de dados City adiciona um nome de cidade e contexto geoname_id a um endereço IP. As informações de cidade são mais valiosas no lado de análise, relatórios e investigação de incidentes do que em decisões diretas de firewall. Os eventos do WAAP podem mostrar a distribuição de país e cidade de um ataque de forma mais significativa. Esse contexto ajuda as equipes de segurança a entender o perfil geográfico de uma onda de ataque mais rapidamente.
A consulta ASN retorna o número do sistema autônomo, o nome da organização e o CIDR da rede para um endereço IP. Esses dados ajudam a determinar se o tráfego se origina de uma rede residencial, de um provedor de hospedagem ou de uma rede corporativa. As informações de ASN podem ser usadas para análise de risco dentro dos logs do WAAP e painéis de monitoramento ao vivo.
Endereços RFC1918, loopback e locais podem ser automaticamente colocados em uma categoria privada. O TR7 pode reportar essas fontes com um rótulo local como `XX`; endereços não correspondentes ou desconhecidos podem ser exibidos com um rótulo `--`. Essa separação impede que o tráfego de rede interna se misture com o tráfego de fonte externa real. Os relatórios de auditoria mostram códigos desconhecidos, locais e de países reais como valores claramente distintos.
A sincronização inteligente por namespace constrói apenas os conjuntos de países referenciados pelas regras de firewall relevantes para cada namespace. Por exemplo, se um tenant usa regras apenas para alguns países, apenas esses conjuntos são preparados. Essa abordagem elimina a necessidade de carregar dados de 250+ países em cada namespace. Em implantações multi-tenant, o consumo de memória, o tempo de preparação e a complexidade operacional diminuem.
Para cada país, os conjuntos IPv4 e IPv6 são tratados como estruturas separadas, mas coordenadas. Isso evita o erro de controlar apenas o tráfego IPv4 enquanto deixa o caminho IPv6 aberto. Quando uma regra de país é definida, o escopo v4 e v6 relevante é considerado em conjunto. Em redes dual-stack modernas, essa distinção é crítica para controle de acesso completo.
O TR7 pode usar um perfil de cache com capacidade de 10.000 chaves e TTL de 600 segundos para endereços IP vistos com frequência. IPs frequentes são servidos sem retornar à consulta MMDB em cada requisição. Isso é especialmente útil para reduzir a latência no tráfego de alto volume das mesmas redes de clientes. Como o cache é executado localmente, não são necessárias taxas de consulta externa nem acesso à internet.
A consulta GeoIP não se limita a decisões de drop no firewall; informações de país e cidade também podem ser adicionadas aos logs de eventos do WAAP. Agregação de países de ataque, tendências de eventos e relatórios de SIEM se beneficiam desse enriquecimento. As equipes de segurança podem identificar mais facilmente quais países são a origem de quais tipos de ataque. Essa visibilidade suporta ajuste de políticas baseado em evidências.
Os dados de ipset de países podem ser analisados e preparados a partir de arquivos locais como `/geoDB/countries.ipset`. Conjuntos de reputação ou lista negra também podem ser gerenciados por um caminho de arquivo separado. Esse design permite que o controle de acesso funcione mesmo em ambientes com acesso à internet restrito ou sem acesso. Os ciclos de atualização podem ser planejados em torno das próprias janelas de manutenção da organização.
Em implantações de cluster, os ipsets e os dados GeoIP relacionados devem ser transferidos para o nó passivo. O TR7 suporta um modelo operacional no qual os conjuntos de países e as alterações são sincronizados para o lado passivo. Quando ocorre um failover, o nó recém-ativo continua atendendo o tráfego sob a mesma política de país. O controle de acesso GeoIP, portanto, não depende do comportamento de um único nó.
O controle de acesso Geo/ASN é operado junto com o modelo de leitura GeoIP, perfil de cache, gerenciamento de arquivos ipset, restauração em segundo plano, extração de conjuntos necessários e atualizações no modo forçado.
O TR7 usa leitores GeoIP MMDB com suporte a comprimento de prefixo para consultas de país, cidade e ASN. A consulta ciente de comprimento de prefixo determina a qual bloco de rede um endereço IP pertence. O modelo funciona para endereços IPv4 e IPv6.
O perfil de cache pode operar com capacidade de 10.000 chaves, TTL padrão de 600 segundos e período de verificação de 120 segundos. A sobrecarga de clonagem de objetos desnecessária é eliminada. Essa configuração fornece respostas rápidas sob cargas pesadas e repetitivas de consulta de IP.
Os conjuntos de países podem ser gerenciados a partir de `/geoDB/countries.ipset`, enquanto os conjuntos de lista negra são gerenciados a partir de um arquivo de lista negra separado. Como ambos os arquivos são locais, nenhuma consulta fora do dispositivo é necessária. As operações de atualização e rollback são planejadas por meio do gerenciamento de arquivos e do processo de restauração.
O processo de preenchimento de ipset é executado em segundo plano para que o fluxo da interface de usuário não seja desnecessariamente bloqueado. O processamento em lote prepara os conjuntos de forma controlada. Para grandes conjuntos de países, essa abordagem torna a experiência de gerenciamento notavelmente mais fluida.
As regras de firewall e o mapa de segurança de namespace são inspecionados para determinar quais conjuntos de países são necessários por namespace. A sincronização inteligente opera com base nessa lista derivada. Como resultado, conjuntos de países não utilizados nunca são carregados no namespace relevante.
Quando o modo forçado é habilitado, a operação de análise e envio é executada novamente sem consultar o cache. Esse modo é útil quando uma atualização de dados GeoIP, uma alteração de regra ou suspeita de inconsistência de conjunto exige uma atualização imediata. Em operação normal, cache e sincronização inteligente são preferidos para evitar recargas desnecessárias.
Um banco pode querer permitir apenas tráfego de países específicos. O TR7 vincula os países restantes a uma decisão de drop ou reject na camada inicial usando ipsets de países. Políticas de fallback mais suaves podem ser adicionadas para clientes que precisam de itinerância ou tratamento de exceções.
Um portal público pode ser configurado para aceitar conexões apenas de países e redes locais específicos. O rótulo `XX` separa fontes locais/privadas; o tráfego de países externos reais é bloqueado por conjuntos de países. As trilhas de auditoria podem mostrar qual tráfego de país foi descartado.
Uma aplicação SaaS pode monitorar o ASN do tráfego que atinge um endpoint de login dentro dos logs do WAAP. Tentativas de login incomuns de redes de hospedagem podem ser avaliadas junto com CAPTCHA, rate limiting ou políticas personalizadas do WAAP. A visibilidade de ASN fornece contexto de risco mais rico do que decisões apenas por país.
Quando um pico de tráfego se concentra em países específicos, o TR7 pode mudar para políticas de drop temporário, reject ou rate limiting mais rígido para esses países. Como os conjuntos de países já estão preparados, a decisão é aplicada na camada de tráfego mais inicial. As equipes de operações podem monitorar a onda de ataque junto com sua distribuição de países de origem.
Controle de acesso totalmente auditável suportado por bancos de dados GeoIP locais, sincronização de ipset por namespace e enriquecimento de logs do WAAP. Podemos percorrer uma configuração ao vivo no seu próprio ambiente.