Übergeben von Crowdsec-Blocklisten an unsere Fortigate-Firewall

Hector Herrero / Blog / Schwarze Liste, Blockliste, Blockade, Aktie, Crowdsec, Bestritten, IP-Adresse, Futter, Firewall, fortigate, IP, Liste, Schwarze Liste, Listen, Spam-Listen, schwarz, synchronisieren, Bedrohung /

10 von Januar von 2023

Habe ich Ihnen jemals gesagt, dass Crowdsec wunderbar ist?? 😛 für jede Art von Unternehmen… die uns vor externen oder internen Angriffen schützen! das ist kein Truthahnpopel! Teams, die über Crowdsec verfügen, teilen eine schwarze Liste von IPs, also wenn ein Team angegriffen wird, der Rest wird geschützt. Aber das ist es noch dazu, Wir können diese Blacklist an unsere Perimeter-Firewall senden, damit er uns beschützt!

Ein Letztes…aber für eine sehr schnelle Erinnerung an diejenigen, die noch keinen Crowdsec-Beitrag gelesen haben… Angenommen, es handelt sich um einen Agenten, der auf Windows- oder Linux-Computern installiert ist., der unter anderem Protokolle der von diesen Maschinen veröffentlichten Dienste liest und weiß, ob er angegriffen wird, bevor es gehandelt wird, Fügen Sie beispielsweise eine Regel in der Betriebssystem-FW hinzu, die die angreifende IP-Adresse blockiert. Der Rest der Teams mit Crowdsec, Indem sie die Blacklist teilen, schützen sie sich auch selbst, indem sie diese IP blockieren, erwartet jeden Angriff, sei es eine lokale oder öffentliche IP.

In diesem Beitrag werden wir also sehen, wie wir unsere Perimeter-Firewall erstellen können, In diesem Fall kann ein Fortigate diese Blacklist lesen und die gesamte Organisation von oben schützen..

die erste, auf einer Maschine mit Crowdsec, wo wir mit der Perimeter-Firewall hinkommen, wir müssen den ‚Blocklist Mirror‘ installieren, ein Dienst, der die Liste der Blockaden über das Internet veröffentlicht.

sudo apt install golang -y
git-Klon https://github.com/crowdsecurity/cs-blocklist-mirror.git
cd cs-blocklist-mirror/
Freigabe machen
cd crowdsec-blocklist-mirror-v*/
sudo ./install.sh

Wenn wir das CrowdSec-Repository haben, können wir es mit apt oder yum installieren/aktualisieren.

Als erstes muss Blocklist Mirror konfiguriert werden, lo hacemos editando ‘/etc/crowdsec/bouncers/crowdsec-blocklist-mirror.yaml’. Wir müssen die URL des „Local API“-Servers angeben, Normalerweise befinden sich diese Rollen auf derselben Maschine. Und wir geben einen Hafen an, wo wir die Liste veröffentlichen werden, zusätzlich zur Angabe der IP-Adresse der Firewall in den vertrauenswürdigen IPs, damit Sie eine Verbindung herstellen und die Liste lesen können:

...
    lapi_url: http://127.0.0.1:8080/
...
    Zuhörer: 0.0.0.0:41412
...
      vertrauenswürdige_ips: # IP-Bereiche, oder IPs, die keine Authentifizierung erfordern, um auf diese Sperrliste zuzugreifen
        - 127.0.0.1
        - ::1
        - 192.168.2.1
...

Wir aktivieren und starten den Dienst neu, um die neuen Änderungen zu laden:

sudo systemctl aktiviert Crowdsec-Blocklist-Mirror
sudo systemctl startet Crowdsec-Blocklist-Mirror neu

Und jetzt können wir versuchen, die URL zu öffnen: http://ip_adresse:41412/Security/Blocklist, wenn wir auch in die Whitelist gekommen sind! Wir überprüfen den korrekten Zugriff, dass wir eine IP-Adresse manuell sperren und die Liste aktualisiert wird, oder wenn es einen Angriff auf andere Crowdsec-Teams erkennt.

In unserer Firewall werden wir “Sicherheitsgewebe” > “Externe Anschlüsse” > “Erstelle neu”,

Wir wählen „IP-Adresse“,

Wir geben einen Namen an und geben die URL der Sperrliste an, und wir geben die Zeit an, zu der die Liste aktualisiert werden soll, “OK”,

Wir können bestätigen, dass es gültig ist, das Datum der letzten Aktualisierung…

Oder wenn wir auf „Einträge anzeigen“ klicken’ bestätigen, dass es richtig ist,

und nichts, Jetzt sollten wir Regeln in unserer Firewall erstellen, wobei wir als Origin angeben, dass es sich um die Liste der gesperrten IPs handelt, die wir gerade erstellt haben.

Es wird empfohlen, in jeder Schnittstelle Ein- und Ausgangsregeln zu den Zielen der Sperrlisten festzulegen, Zugang verweigern. Falls es sich also um einen öffentlichen Angriff handelt, können Sie nicht auf interne Ressourcen zugreifen, oder wenn es sich um einen internen Angriff handelt, wird isoliert.

Auge, indem Sie dies tun, Denken Sie daran, dass wir die Möglichkeit haben, uns aus dem Spiel herauszuhalten, nämlich, wenn unser Team aus welchen Gründen auch immer angreift, B. wenn versucht wird, fälschlicherweise über SSH oder RDP oder CIFS oder HTTP zu validieren(s) oder was auch immer zu einem Team in die falsche Richtung, zum 5. Vorsatz (standardmäßig) wird uns auf besagte schwarze Liste setzen. Vielleicht ist es also interessant, einige IPs in Crowdsec-Whitelists aufzunehmen, siendo el fichero ‘/etc/crowdsec/parsers/s02-enrich/whitelists.yaml’ wo wir es tun werden:

Name: Crowdsecurity/Whitelists
Bezeichnung: "Whitelist-Ereignisse von privaten IPv4-Adressen"
Weiße Liste:
  Grund: "private ipv4/ipv6 ip/ranges"
  ip:
    - "127.0.0.1"
    - "::1"
    - "192.168.33.24" # Unsere Managementmaschine
  Apfelwein:
    #- "192.168.0.0/16"
    #- "10.0.0.0/8"
    #- "172.16.0.0/12"
  # Ausdruck:
  #   - "'foo.com' in evt.Meta.source_ip.reverse"

Ich hoffe, Sie haben interessante, Wir setzen einen weiteren Tag mit mehr Crowdsec-Magie fort! Sie werden sehen, wie unsere Maschinen eleganter geschützt werden können! Ich bedanke mich für die Likes, ich mag sie, Retweets und diese seltsamen Dinge in den sozialen Medien,

Umarmungen!

empfohlene Beiträge:

Über
Letzte Artikel

Hector Herrero

Blog-Autor Bujarra.com
Alle müssen Sie haben, zögern Sie nicht, mich zu kontaktieren, Ich versuche zu helfen, wann immer Sie können, Teilen ist Leben 😉 . genießen Sie Dokumente!!!

Letzte Artikel von Hector Herrero (Alle anzeigen)

Animierte LEDs auf unserem Windows-Bildschirm mit Hyperion - 28 von März von 2023
Überwachen Sie Dell EMC Data Domain - 23 von März von 2023
Regen messen mit Home Assistant - 21 von März von 2023