Qualcosa di fondamentale che possiamo fare nelle nostre infrastrutture è dire ai nostri firewall perimetrali di bloccare qualsiasi tentativo di accesso alle nostre organizzazioni da reti dannose, Reti botnet, per reputazione, o indirizzi IP che potrebbero essere presenti in blocklist o blacklist, tra gli altri, per evitare rischi inutili 😉

Hace poquito vimos una manera muy interesante de proteger nuestras máquinas con Folla, pero hoy vamos a ver algo más sencillo de aplicar y totalmente complementario. Hay grandes comunidades, organizaciones, o bots que se involucran en detectar y crear lo que se llaman listas negras o blacklists. Direcciones IPs públicas que son detectadas por realizar ataques, o que están comprometidas por alguna botnet, que hacen escaneos, buscan vulnerabilidades…

Pues una buena idea es la de proteger el acceso a nuestra organización poniendo una regla en el firewall perimetral que deniegue cualquier acceso de entrada desde las blocklists a las que nos queramos suscribir. Este post estará basado en Fortigate, pero obviamente aplica a cualquier otro fabricante que te permita añadir listas de direcciones IP.

Como todo en la vida, empezaremos de menos a más, una recomendación (depende el tipo de organización que seas y qué publiques) pues es eso, ir añadiendo listas negras o blocklists que sean fiables, que se actualicen diariamente, evitar al principio listas que puedan dar falsos positivos, o depende el servicio que tengáis publicado a Internet pues hay listas orientadas para proteger servidores HTTPS, FTP, SMTP…

Podemos empezar por sitios como estos, que nos catalogan las listas, nos las agrupan, and so on… por ejemplo las listas que publican en FireHOL dedicadas a delitos cibernéticos, en una columna a la izquierda las veréis rápidamente, catalogadas por tipo… o las podréis ver en su GitHub anche, muy bien documentado, con el acceso directo al fichero que actualizan periódicamente….

Bene, basta de chachara y vamos a empezar, Sì, en nuestro Fortigate vamos a “Tessuto di sicurezza” > “Connettori esterni” > “Crea nuovo”, podremos crear nuestro conector contra una lista de direcciones IPs publicada en Internet.

Selezionare “Indirizzo IP”,

Indicamos un nombre al conector, Noi lo abilitiamo, normalmente no tendrá autenticación, así que esa parte la deshabilitamos, y nos quedará añadir la URL de la blocklist; eso y añadir la perioricidad con la que queremos que se actualice esta lista, cada cuanto tiempo queremos que la descargue de Internet. “OK” y lo tenemos,

Oh, bene, y así quedaría si añadimos unas cuantas, la verdad que no son necesarias ni tantas, ni estas en particular, además algunas seguro que las tengo solapadas, Ma, beh,, mi firewall no se ve afectado por ello, andare.

Y ya nada más que nos quedará crear una regla o varias reglas en nuestro firewall, desde las interfaces WAN a donde tengamos publicados los recursos, habitualmente una DMZ. Pues ahí, la primera regla será esta, una denegación a las listas negras o blocklists que nos interese.

Lasciando qualcosa del genere,

Bene, espero que este tipo de posts os ayuden u os inspiren en dotar e implementar mejoras de seguridad en vuestras organizaciones, no sabéis la de curiosos, Noioso, bots que hay en Internet… lo iréis viendo si habilitáis los logs de esa regla. Es de alucinar, si recogéis los logs, veréis como bajan los accesos a nuestros recursos publicados, e incluso en nuestros controladores de dominio, si es que tenemos recursos en internet que autentican con nuestro AD, como pueda ser un IIS, un SMTP de un Exchange… de alucinar.

Como siempre y ya os dejo, no esperemos a que nos ataquen, a que nos hagan cualquier percance, tenemos que estar preparados, tener planes de contingencia, minimizar riesgos, and so on… que os vaya bien, seáis felices y comáis perdices, un abracete!