Garrantzitsua dena gure azpiegituretan egin dezakeguna da gure perimetroko suebakarriei esatea gure erakundeetara sarbidea saihesteko ahalegin guztiak blokeatzeko sare gaiztoetatik, botnet sareak, ospearen arabera, edo IP helbideak, blocklist edo zerrenda beltzetan egon daitezkeenak, beste batzuk artean, arrisku ez beharrezkoak saihesteko 😉

Duela pare bat egun ikusita geneukan modu oso interesgarri bat gure makinak babesteko Crowdsec, baina gaur modu errazago bat ikusiko dugu aplikatzeko eta guztiz osagarri dena. Komunitate handiak daude, erakundeak, edo bot-ak parte hartzen dutenak zerrenda beltzak edo blacklists sortzen eta detektatzen. Erasoak egiten dituzten IP helbide publikoak, edo botnet batek kutsatutakoak, eskaneoak egiten dituztenak, ahultasunak bilatzen dituztenak…

Pues una buena idea es la de proteger el acceso a nuestra organización poniendo una regla en el firewall perimetral que deniegue cualquier acceso de entrada desde las blocklists a las que nos queramos suscribir. Este post estará basado en Fortigate, pero obviamente aplica a cualquier otro fabricante que te permita añadir listas de direcciones IP.

Como todo en la vida, empezaremos de menos a más, una recomendación (depende el tipo de organización que seas y qué publiques) pues es eso, ir añadiendo listas negras o blocklists que sean fiables, que se actualicen diariamente, evitar al principio listas que puedan dar falsos positivos, o depende el servicio que tengáis publicado a Internet pues hay listas orientadas para proteger servidores HTTPS, FTP, SMTP…

Podemos empezar por sitios como estos, que nos catalogan las listas, nos las agrupan, eta abar… por ejemplo las listas que publican en FireHOL dedicadas a delitos cibernéticos, en una columna a la izquierda las veréis rápidamente, catalogadas por tipo… o las podréis ver en su GitHub también, muy bien documentado, con el acceso directo al fichero que actualizan periódicamente….

Onena, basta de chachara y vamos a empezar, si, en nuestro Fortigate vamos a “Segurtasun Oihala” > “Kanpoko Konektoreak” > “Create New”, podremos crear nuestro conector contra una lista de direcciones IPs publicada en Internet.

Aukeratzen dugu “IP Address”,

Indicamos un nombre al conector, aktibatzen dugu, normalmente no tendrá autenticación, así que esa parte la deshabilitamos, y nos quedará añadir la URL de la blocklist; eso y añadir la perioricidad con la que queremos que se actualice esta lista, cada cuanto tiempo queremos que la descargue de Internet. “OK” y lo tenemos,

Y bueno, y así quedaría si añadimos unas cuantas, la verdad que no son necesarias ni tantas, ni estas en particular, además algunas seguro que las tengo solapadas, pero bueno, mi firewall no se ve afectado por ello, vaya.

Y ya nada más que nos quedará crear una regla o varias reglas en nuestro firewall, desde las interfaces WAN a donde tengamos publicados los recursos, habitualmente una DMZ. Pues ahí, la primera regla será esta, una denegación a las listas negras o blocklists que nos interese.

Quedando algo como esto,

Onena, espero que este tipo de posts os ayuden u os inspiren en dotar e implementar mejoras de seguridad en vuestras organizaciones, no sabéis la de curiosos, aburridos, bots que hay en Internet… lo iréis viendo si habilitáis los logs de esa regla. Es de alucinar, si recogéis los logs, veréis como bajan los accesos a nuestros recursos publicados, e incluso en nuestros controladores de dominio, si es que tenemos recursos en internet que autentican con nuestro AD, como pueda ser un IIS, un SMTP de un Exchange… de alucinar.

Como siempre y ya os dejo, no esperemos a que nos ataquen, a que nos hagan cualquier percance, tenemos que estar preparados, tener planes de contingencia, minimizar riesgos, eta abar… que os vaya bien, seáis felices y comáis perdices, un abracete!