我们可以在基础设施中做的基本事情是告诉我们的边界防火墙阻止任何从恶意网络访问我们组织的尝试, 僵尸网络, 按声誉, 或可能在黑名单或黑名单上的 IP 地址, 等等, 以避免不必要的😉风险

最近，我们看到了一种非常有趣的方法来保护我们的机器 Crowdsec, 但今天我们将看到一些更简单且完全互补的东西. 有大型社区, 组织, 或参与检测和创建黑名单的机器人. 检测到用于执行攻击的公网 IP 地址, 或被僵尸网络入侵, 那会扫描, 他们寻找漏洞…

嗯，一个好主意是通过在外围防火墙中放置一条规则来保护对我们组织的访问，该规则拒绝来自我们要订阅的阻止列表的任何访问. 这篇文章将基于 Fortigate, 但显然它适用于允许您添加 IP 地址列表的任何其他制造商.

就像生活中的一切一样, 我们将从少到多开始, 建议 (这取决于您的组织类型以及您发布的内容) 嗯，就是这样, 添加可靠的黑名单或黑名单, 每天更新, 避免在开始时可能给出误报的列表, 或者这取决于您发布到 Internet 上的服务，因为有旨在保护 HTTPS 服务器的列表, FTP （自由贸易协定, SMTP 协议…

我们可以从这样的网站开始, 列表目录, 他们把它们放在一起, 等… 例如，他们在 火霍尔 致力于网络犯罪, 在左侧的列中，您将很快看到它们, 按类型分类… 或者您可以在他们的 GitHub的 也, 有据可查, 直接访问定期更新的文件….

井, 喋喋不休够了，让我们开始吧, 是的, 在我们的 Fortigate 中，我们将 “安全架构” > “外部连接器” > “新建”, 我们将能够根据 Internet 上发布的 IP 地址列表创建连接器.

选择 “IP地址”,

我们为连接器命名, 我们支持, 您通常不会进行身份验证, 所以我们禁用了该部分, 我们将不得不添加阻止列表的 URL; ，并添加我们希望更新此列表的周期, 我们希望从 Internet 下载它的频率. “还行” 我们做到了,

哦，好吧, 因此，如果我们添加一些, 事实是，他们没有必要或没有那么多, 您也不是特别喜欢, 此外，我确定我有一些重叠, 但是，好吧, 我的防火墙不受其影响, 去.

剩下的就是在我们的防火墙中创建一条或多条规则, 从 WAN 接口到我们发布资源的位置, 通常是 DMZ. 嗯，那里, 第一条规则是这样的, 拒绝我们感兴趣的黑名单或黑名单.

留下这样的内容,

井, 我希望这些类型的帖子有助于或激励您在组织中提供和实施安全改进, 你不知道那个好奇的人, 无聊的, 互联网上的机器人… 您将看到是否启用了该规则的日志. 这太神奇了, 如果您收集日志, 您将看到对我们已发布资源的访问量如何下降, 甚至在我们的域控制器上, 如果我们在 Internet 上有使用 AD 进行身份验证的资源, IIS 可以是什么样的, 来自 Exchange 的 SMTP… 产生幻觉.

一如既往，我会离开你, 我们不要坐等他们攻击我们, 让任何不幸发生在我们身上, 我们必须做好准备, 制定应急计划, 将风险降至最低, 等… 愿你一切顺利, 快乐地吃鹧鸪, 拥抱!