Qualcosa di fondamentale che possiamo fare nelle nostre infrastrutture è dire ai nostri firewall perimetrali di bloccare qualsiasi tentativo di accesso alle nostre organizzazioni da reti dannose, Reti botnet, per reputazione, o indirizzi IP che potrebbero essere presenti in blocklist o blacklist, tra gli altri, per evitare rischi inutili 😉

Poco tempo fa abbiamo visto un modo molto interessante per proteggere le nostre macchine con Folla, ma oggi vedremo qualcosa di più semplice da applicare e totalmente complementare. Ci sono grandi comunità, organizzazioni, o bot che si impegnano a rilevare e creare quelle che si chiamano liste nere o blacklists. Indirizzi IP pubblici che vengono rilevati per aver effettuato attacchi, o che sono compromessi da qualche botnet, che effettuano scansioni, cercando vulnerabilità…

Una buona idea è quella di proteggere l'accesso alla nostra organizzazione mettendo una regola nel firewall perimetrale che neghi qualsiasi accesso in entrata dalle blocklist a cui vogliamo iscriverci. Questo post sarà basato su Fortigate, pero obviamente aplica a cualquier otro fabricante que te permita añadir listas de direcciones IP.

Como todo en la vida, empezaremos de menos a más, una recomendación (depende el tipo de organización que seas y qué publiques) pues es eso, ir añadiendo listas negras o blocklists que sean fiables, que se actualicen diariamente, evitar al principio listas que puedan dar falsos positivos, o depende el servicio que tengáis publicado a Internet pues hay listas orientadas para proteger servidores HTTPS, FTP, SMTP…

Podemos empezar por sitios como estos, que nos catalogan las listas, nos las agrupan, and so on… por ejemplo las listas que publican en FireHOL dedicadas a delitos cibernéticos, en una columna a la izquierda las veréis rápidamente, catalogadas por tipo… o las podréis ver en su GitHub anche, muy bien documentado, con l'accesso diretto al file che aggiornano periodicamente….

Bene, basta con le chiacchiere e cominciamo, Sì, nel nostro Fortigate andiamo a “Tessuto di sicurezza” > “Connettori esterni” > “Crea nuovo”, potremo creare il nostro connettore contro un elenco di indirizzi IP pubblicato su Internet.

Selezionare “Indirizzo IP”,

Indichiamo un nome al connettore, Noi lo abilitiamo, normalmente non avrà autenticazione, quindi disabilitiamo quella parte, e ci rimarrà da aggiungere l'URL della blacklist; quello e aggiungere la periodicità con cui vogliamo che si aggiorni questa lista, ogni quanto tempo vogliamo che la scarichi da Internet. “OK” e ce l'abbiamo,

Oh, bene, e così sarebbe se aggiungiamo un paio di cose, la verità è che non sono necessarie neanche tante, neppure queste in particolare, inoltre alcune sicuramente le ho sovrapposte, Ma, beh,, il mio firewall non è influenzato da ciò, andare.

E non ci resterà altro che creare una regola o più regole nel nostro firewall, dalle interfacce WAN dove abbiamo pubblicato le risorse, di solito una DMZ. Ecco lì, la prima regola sarà questa, una negazione alle liste nere o blocklists che ci interessano.

Lasciando qualcosa del genere,

Bene, spero che questo tipo di post vi aiuti o vi ispiri a dotarvi e implementare miglioramenti di sicurezza nelle vostre organizzazioni, non sapete quanti curiosi, Noioso, bots ci siano su Internet… lo vedrete se abilitate i log di quella regola. È incredibile, se raccogliete i log, vedrete come diminuiscono gli accessi alle nostre risorse pubblicate, e persino nei nostri controller di dominio, se abbiamo risorse su internet che si autenticano con il nostro AD, come un IIS, un SMTP di un Exchange… di alucinar.

Come sempre e già vi lascio, non aspettiamo che ci attacchino, che ci facciano qualsiasi imprevisto, dobbiamo essere pronti, avere piani di contingenza, minimizzare i rischi, and so on… che vi vada bene, siate felici e mangiate perdici, un abbraccio!