Algo fundamental que podemos fazer em nossas infraestruturas é dizer aos nossos firewalls de perímetro para bloquear qualquer tentativa de acessar nossas organizações a partir de redes maliciosas, Redes de botnet, por reputações, ou endereços IP que podem estar em listas de bloqueio ou listas negras, entre outros, para evitar riscos desnecessários 😉

Recentemente, vimos uma maneira muito interessante de proteger nossas máquinas com Crowdsec, Mas hoje vamos ver algo mais simples de aplicar e totalmente complementar. Existem grandes comunidades, Organizações, ou bots envolvidos na detecção e criação do que é chamado de listas negras. Endereços IP públicos detectados para realizar ataques, ou que são comprometidos por uma botnet, Que fazem varreduras, Eles procuram vulnerabilidades…

Bem, uma boa ideia é proteger o acesso à nossa organização colocando uma regra no firewall do perímetro que nega qualquer acesso das listas de bloqueio às quais queremos nos inscrever. Este post será baseado no Fortigate, mas obviamente se aplica a qualquer outro fabricante que permita adicionar listas de endereços IP.

Como tudo na vida, vamos começar de menos para mais, Uma recomendação (Depende do tipo de organização que você é e do que publica) Bem, é isso, adicionar listas negras ou listas de bloqueio confiáveis, que são atualizados diariamente, Evite listas que possam dar falsos positivos no início, ou depende do serviço que você publicou na Internet, pois existem listas destinadas a proteger servidores HTTPS, FTP, SMTP…

Podemos começar com sites como esses, que as listas catalogam, eles os agrupam, etc… por exemplo, as listas em que eles publicam Fogo HOL dedicado ao cibercrime, em uma coluna à esquerda, você os verá rapidamente, Categorizado por Tipo… ou você pode vê-los em seus GitHub também, Muito bem documentado, com acesso direto ao arquivo que é atualizado periodicamente….

Poço, Chega de conversa e vamos começar, Sim, em nosso Fortigate vamos “Malha de segurança” > “Conectores externos” > “Criar novo”, poderemos criar nosso conector em uma lista de endereços IP publicados na Internet.

Selecionar “Endereço IP”,

Damos um nome ao conector, Nós o habilitamos, Normalmente, você não terá autenticação, Então, desativamos essa parte, e teremos que adicionar a URL da lista de bloqueio; isso e adicionar a periodicidade com que queremos que esta lista seja atualizada, com que frequência queremos que ele seja baixado da Internet. “OKEY” E nós conseguimos,

Oh, bem, e assim seria se adicionássemos alguns, A verdade é que eles não são necessários ou tantos, Nem você é em particular, além disso, tenho certeza de que tenho algumas sobreposições, mas, bem, Meu firewall não é afetado por ele, ir.

E tudo o que resta é criar uma regra ou várias regras em nosso firewall, das interfaces WAN para onde publicamos os recursos, geralmente uma DMZ. Bem, lá, A primeira regra será esta, uma negação das listas negras ou listas de bloqueio nas quais estamos interessados.

Deixando algo assim,

Poço, Espero que esses tipos de postagens ajudem ou inspirem você a fornecer e implementar melhorias de segurança em suas organizações, Você não conhece o curioso, Chato, bots na internet… Você verá se habilita os logs dessa regra. É incrível, Se você coletar os logs, Você verá como os acessos aos nossos recursos publicados caem, e até mesmo em nossos controladores de domínio, se tivermos recursos na internet que se autentiquem com nosso AD, como pode ser um IIS, um SMTP de um Exchange… Para alucinar.

Como sempre e eu vou deixar você, Não vamos esperar que eles nos ataquem, Para fazer qualquer acidente acontecer conosco, Temos que estar preparados, Tenha planos de contingência, Minimize os riscos, etc… Que tudo corra bem para você, Seja feliz e coma perdizes, Um abraço!