Protegiendonos de ataques y botnets en Fortigate
Algo fundamental que podremos hacer en nuestras infraestructuras es decirle a nuestros firewalls perimetrales que bloqueen cualquier intento de acceso a nuestras organizaciones desde redes malignas, redes de botnets, por reputaciones, o direcciones IP’s que puedan estar en blocklists o listas negras, entre otras, para evitar riesgos innecesarios 😉
Hace poquito vimos una manera muy interesante de proteger nuestras máquinas con Crowdsec, pero hoy vamos a ver algo más sencillo de aplicar y totalmente complementario. Hay grandes comunidades, organizaciones, o bots que se involucran en detectar y crear lo que se llaman listas negras o blacklists. Direcciones IPs públicas que son detectadas por realizar ataques, o que están comprometidas por alguna botnet, que hacen escaneos, buscan vulnerabilidades…
Pues una buena idea es la de proteger el acceso a nuestra organización poniendo una regla en el firewall perimetral que deniegue cualquier acceso de entrada desde las blocklists a las que nos queramos suscribir. Este post estará basado en Fortigate, pero obviamente aplica a cualquier otro fabricante que te permita añadir listas de direcciones IP.
Como todo en la vida, empezaremos de menos a más, una recomendación (depende el tipo de organización que seas y qué publiques) pues es eso, ir añadiendo listas negras o blocklists que sean fiables, que se actualicen diariamente, evitar al principio listas que puedan dar falsos positivos, o depende el servicio que tengáis publicado a Internet pues hay listas orientadas para proteger servidores HTTPS, FTP, SMTP…
Podemos empezar por sitios como estos, que nos catalogan las listas, nos las agrupan, etc… por ejemplo las listas que publican en FireHOL dedicadas a delitos cibernéticos, en una columna a la izquierda las veréis rápidamente, catalogadas por tipo… o las podréis ver en su GitHub también, muy bien documentado, con el acceso directo al fichero que actualizan periódicamente….
Bueno, basta de chachara y vamos a empezar, si, en nuestro Fortigate vamos a “Security Fabric” > “External Connectors” > “Create New”, podremos crear nuestro conector contra una lista de direcciones IPs publicada en Internet.
Seleccionamos “IP Address”,
Indicamos un nombre al conector, lo habilitamos, normalmente no tendrá autenticación, así que esa parte la deshabilitamos, y nos quedará añadir la URL de la blocklist; eso y añadir la perioricidad con la que queremos que se actualice esta lista, cada cuanto tiempo queremos que la descargue de Internet. “OK” y lo tenemos,
Y bueno, y así quedaría si añadimos unas cuantas, la verdad que no son necesarias ni tantas, ni estas en particular, además algunas seguro que las tengo solapadas, pero bueno, mi firewall no se ve afectado por ello, vaya.
Y ya nada más que nos quedará crear una regla o varias reglas en nuestro firewall, desde las interfaces WAN a donde tengamos publicados los recursos, habitualmente una DMZ. Pues ahí, la primera regla será esta, una denegación a las listas negras o blocklists que nos interese.
Quedando algo como esto,
Bueno, espero que este tipo de posts os ayuden u os inspiren en dotar e implementar mejoras de seguridad en vuestras organizaciones, no sabéis la de curiosos, aburridos, bots que hay en Internet… lo iréis viendo si habilitáis los logs de esa regla. Es de alucinar, si recogéis los logs, veréis como bajan los accesos a nuestros recursos publicados, e incluso en nuestros controladores de dominio, si es que tenemos recursos en internet que autentican con nuestro AD, como pueda ser un IIS, un SMTP de un Exchange… de alucinar.
Como siempre y ya os dejo, no esperemos a que nos ataquen, a que nos hagan cualquier percance, tenemos que estar preparados, tener planes de contingencia, minimizar riesgos, etc… que os vaya bien, seáis felices y comáis perdices, un abracete!