サインイン失敗率が高いプロキシをブロックリストに登録する
Torは、匿名通信やエンドユーザーのロケーションの非表示のために使用されるオープンソースソフトウェアです。このソフトウェアではユーザーの匿名性を実現できるものの、不審なアクティビティを実行する攻撃者にもしばしば使用されています。管理者は、ダイナミックゾーンを使用してTorアノニマイザー・プロキシー(Tor出口ノード)として分類されたIPをブロックリストに登録できます。
HealthInsightタスクの推奨事項
ポリシーを作成して、ログイン失敗率の高いIPからのログインを防止、ブロックします。管理者は、プロキシタイプを含む各ログインのIPアドレスに関する情報を確認できます。
| Oktaの推奨事項 | Torアノニマイザー・プロキシーとして分類されたIP用の新しいダイナミックゾーンを作成して、アクセスをブロックします。 ダイナミックゾーンを構成してアノニマイザー・プロキシをブロックするをご覧ください。 |
| セキュリティへの影響 | 中 |
| エンドユーザーへの影響 | 低 サインイン失敗率が50%を下回った場合、HealthInsightの推奨事項が[Incomplete(未完了)]タブから[Complete(完了)]タブに移動します。ブロックリスト設定を構成してから完了になるまで、数日かかることがあります。 |
システム・ログ・クエリ
管理者は、[System Log(システム・ログ)]のページで次のクエリを実行して、Torアノニマイザー・プロキシとして分類されたIPを起点とする失敗したすべてのサインイン試行の一覧を表示できます。
eventType eq "user.session.start" and outcome.result eq "FAILURE" and debugContext.debugData.proxyType eq "tor"
ダイナミックゾーンを構成してアノニマイザー・プロキシをブロックする
管理者は、ダイナミックゾーンを使用してTorアノニマイザー・プロキシー(Tor出口ノード)として分類されたIPをブロックできます。
- 管理コンソールから、[Security(セキュリティ)]>[Networks(ネットワーク)]の順に進みます。
- [Add Zone(ゾーンを追加)]>[Dynamic Zone(ダイナミックゾーン)]をクリックして、新しいダイナミックゾーンを作成します。
- [Zone Name(ゾーンの名前)]で、ゾーンの名前を入力します。
- ゾーンをブロックするには、[Block access from IPs matching conditions listed in this zone(このゾーンでリスト化されている条件に一致するIPからのアクセスをブロック)]を選択します。
- IPタイプとしてTorアノニマイザー・プロキシを選択します。
- [Save(保存)]をクリックします。
注
Torプロキシ検出の正確さは、Torを使用するIPアドレスの特定に使用されるサードパーティのベンダーに依存します。プロキシタイプは、プロキシがTorかTorでないかを評価するためにのみ使用されます。