Una cosa fonamental que podrem fer en les nostres infraestructures és dir-li als nostres firewalls perimetrals que bloquegin qualsevol intent d'accés a les nostres organitzacions des de xarxes malignes, xarxes de botnets, per reputacions, o adreces IP's que puguin estar en blocklists o llistes negres, entre d' altres, per evitar riscos innecessaris 😉

Fa poquet vam veure una manera molt interessant de protegir les nostres màquines amb Crowdsec, però avui anem a veure una cosa més senzilla d'aplicar i totalment complementari. Hi ha grans comunitats, organitzacions, o bots que s'impliquen a detectar i crear el que s'anomenen llistes negres o blacklists. Adreces IPs públiques que són detectades per realitzar atacs, o que estan compromeses per alguna botnet, que fan escanejos, busquen vulnerabilitats…

Doncs una bona idea és la de protegir l'accés a la nostra organització posant una regla en el firewall perimetral que denegui qualsevol accés d'entrada des de les blocklists a les quals ens vulguem subscriure. Aquest post estarà basat en Fortigate, però òbviament aplica a qualsevol altre fabricant que et permeti afegir llistes d'adreces IP.

Com tot a la vida, començarem de menys a més, una recomanació (depèn el tipus d'organització que siguis i què publiquis) doncs és això, anar afegint llistes negres o blocklists que siguin fiables, que s' actualitzin diàriament, evitar al principi llistes que puguin donar falsos positius, o depèn el servei que teniu publicat a Internet ja que hi ha llistes orientades per protegir servidors HTTPS, FTP, SMTP…

Podem començar per llocs com aquests, que ens cataloguen les llistes, ens les agrupen, etc.… per exemple les llistes que publiquen en FireHOL dedicades a delictes cibernètics, en una columna a l'esquerra les veureu ràpidament, catalogades per tipus… o les podreu veure en la seva GitHub també, molt ben documentat, amb l' accés directe al fitxer que actualitzen periòdicament….

Bo, n'hi ha prou de xacra i vam començar, si, al nostre Fortigate anem a “Security Fabric” > “External Connectors” > “Create New”, podrem crear el nostre connector contra una llista d'adreces IPs publicada a Internet.

Seleccionem “IP Address”,

Indiquem un nom al connector, l'habiliten, normalment no tindrà autenticació, així que aquesta part la deshabilitem, i ens quedarà afegir la URL de la blocklist; això i afegir la perioricitat amb què volem que s'actualitzi aquesta llista, cada quant temps volem que la descarregui d'Internet. “OK” i el tenim,

I bo, i així quedaria si hi afegim unes quantes, la veritat que no són necessàries ni tantes, ni aquestes en particular, a més algunes segur que les tinc solapades, però bo, mi firewall no es veu afectat per això, vagi.

I ja res més que ens quedarà crear una regla o diverses regles en el nostre firewall, des de les interfícies WAN on tinguem publicats els recursos, habitualment una DMZ. Doncs aquí, la primera regla serà aquesta, una denegació a les llistes negres o blocklists que ens interessi.

Quedant alguna cosa com això,

Bo, espero que aquest tipus de posts us ajudin o us inspirin a dotar i implementar millores de seguretat en les vostres organitzacions, no sabeu la de curiosos, avorrits, bots que hi ha a Internet… ho anireu veient si feu els logs d'aquesta regla. És d'al·lucinar, si recolliu els logs, veureu com baixen els accessos als nostres recursos publicats, i fins i tot en els nostres controladors de domini, si és que tenim recursos a internet que autentiquen amb el nostre AD, com pugui ser un IIS, un SMTP d'un Exchange… d' alucinar.

Com sempre i ja us deixo, no esperem que ens ataquin, que ens facin qualsevol percance, hem d'estar preparats, tenir plans de contingència, minimitzar riscos, etc.… que us vagi bé, seáis felices y comáis perdices, una abraçada!