Schützen Sie sich vor Angriffen und Botnets in Fortigate
Etwas Grundlegendes, was wir in unseren Infrastrukturen tun können, ist, unsere Perimeter-Firewalls anzuweisen, jeden Versuch zu blockieren, über bösartige Netzwerke auf unsere Organisationen zuzugreifen, Botnet-Netzwerke, nach Reputation, oder IP-Adressen, die auf Sperr- oder Sperrlisten stehen können, unter anderem, um unnötige 😉 Risiken zu vermeiden
Kürzlich haben wir eine sehr interessante Möglichkeit gesehen, unsere Maschinen mit Crowdsec, Aber heute werden wir etwas sehen, das einfacher anzuwenden ist und sich völlig ergänzt. Es gibt große Gemeinschaften, Organisationen, oder Bots, die an der Erkennung und Erstellung sogenannter Blacklists beteiligt sind. Öffentliche IP-Adressen, die für die Durchführung von Angriffen erkannt werden, oder die von einem Botnet kompromittiert werden, Die Scans machen, Sie suchen nach Schwachstellen…
Nun, eine gute Idee ist es, den Zugriff auf unsere Organisation zu schützen, indem wir eine Regel in die Perimeterfirewall einfügen, die jeglichen Zugriff von den Blocklisten verweigert, in die wir uns eintragen möchten. Dieser Beitrag wird auf Fortigate basieren, aber offensichtlich gilt es für jeden anderen Hersteller, der es Ihnen erlaubt, Listen von IP-Adressen hinzuzufügen.
Wie alles im Leben, Wir werden von weniger zu mehr anfangen, Eine Empfehlung (Das hängt davon ab, welche Art von Organisation Sie sind und was Sie veröffentlichen) Nun, das war's auch schon, Fügen Sie zuverlässige Blacklists oder Blocklisten hinzu, die täglich aktualisiert werden, Vermeiden Sie Listen, die zu Beginn falsch positive Ergebnisse liefern können, oder es hängt von dem Dienst ab, den Sie im Internet veröffentlicht haben, da es Listen gibt, die darauf abzielen, HTTPS-Server zu schützen, FTP, SMTP…
Wir können mit Websites wie diesen beginnen, dass der Listenkatalog, Sie gruppieren sie, etc… Zum Beispiel die Listen, die sie in FireHOL der Cyberkriminalität gewidmet, In einer Spalte auf der linken Seite sehen Sie sie schnell, Kategorisiert nach Typ… oder Sie können sie in ihrer GitHub (Englisch) auch, Sehr gut dokumentiert, mit direktem Zugriff auf die Datei, die regelmäßig aktualisiert wird….
Brunnen, Genug geplappert und los geht's, Ja, In unserem Fortigate werden wir “Sicherheitsgewebe” > “Externe Steckverbinder” > “Neu erstellen”, Wir werden in der Lage sein, unseren Konnektor anhand einer Liste von IP-Adressen zu erstellen, die im Internet veröffentlicht wurden.
Auswählen “IP-Adresse”,
Wir geben dem Verbinder einen Namen, Wir ermöglichen es, Normalerweise haben Sie keine Authentifizierung, Also haben wir diesen Teil deaktiviert, und wir müssen die URL der Sperrliste hinzufügen; und fügen Sie die Periodizität hinzu, mit der diese Liste aktualisiert werden soll, Wie oft möchten wir, dass es aus dem Internet heruntergeladen wird?. “OKAY” Und wir haben es verstanden,
Naja, Und so wäre es auch, wenn wir ein paar hinzufügen, Die Wahrheit ist, dass sie nicht notwendig sind oder so viele, Und Sie sind es auch nicht, außerdem bin ich mir sicher, dass ich einige Überschneidungen habe, Aber, nun ja, Meine Firewall ist davon nicht betroffen, los.
Und alles, was noch übrig bleibt, ist, eine Regel oder mehrere Regeln in unserer Firewall zu erstellen, von den WAN-Schnittstellen bis zu dem Ort, an dem wir die Ressourcen veröffentlicht haben, in der Regel eine DMZ. Naja, da, Die erste Regel lautet wie folgt, eine Ablehnung der Blacklists oder Blocklists, an denen wir interessiert sind.
So etwas hinterlassen,
Brunnen, Ich hoffe, dass diese Art von Beiträgen Ihnen helfen oder Sie dazu inspirieren, Sicherheitsverbesserungen in Ihren Organisationen bereitzustellen und umzusetzen, Du kennst den Neugierigen nicht, Langweilig, Bots im Internet… Sie werden sehen, ob Sie die Protokolle dieser Regel aktivieren. Es ist erstaunlich, Wenn Sie die Protokolle sammeln, Sie werden sehen, wie die Zugriffe auf unsere veröffentlichten Ressourcen sinken, und sogar auf unseren Domain-Controllern, wenn wir Ressourcen im Internet haben, die sich mit unserem AD authentifizieren, wie ein IIS aussehen kann, ein SMTP von einer Börse… Halluzinieren.
Wie immer und ich verlasse dich, Warten wir nicht darauf, dass sie uns angreifen, Damit uns jedes Missgeschick passiert, Wir müssen vorbereitet sein, Haben Sie Notfallpläne, Risiken minimieren, etc… Möge es dir gut gehen, Seien Sie glücklich und essen Sie Rebhühner, Eine Umarmung!