Threat shield

Nota

La pagina di configurazione di questo modulo è disponibile sono nel nuovo Server Manager.

La Threat Shield blocca le connessioni da e verso host dannosi, prevenendo attacchi, abusi del servizio, malware e altre attività di criminalità informatica mediante blacklist di IP. Inoltre, blocca le richieste DNS per domini dannosi mediante blacklist DNS. Il pacchetto può essere installato sia su firewall che su macchine senza interfaccia red, come server di posta o PBX.

Configurazione

IP blacklist e DNS blacklist possono essere abilitati e configurati nelle corrispondenti pagine del menu dedicato. La loro configurazione è pressoché identica.

Innanzitutto, è necessario impostare il Download URL per le blacklist. Dopo aver impostato l'URL, l'amministratore può scegliere quali categorie di blacklist abilitare. Ogni categoria può avere un punteggio Fiducia tra 0 e 10. Le categorie con una maggiore fiducia sono meno soggette a falsi positivi.

Le categorie abilitate verranno aggiornate automaticamente a intervalli regolari.

Il Download URL deve contenere un repository GIT valido. Gli amministratori possono scegliere un repository pubblico o abbonarsi a un servizio commerciale. Se la macchina dispone di una subscription Community o Enterprise, l'accesso all'URL verrà autenticato utilizzando l'LK di sistema e il token.

Una nota blacklist di IP gratuita è Firehol.Gli amministratori esperti possono anche configurare il proprio server di blacklist.

Un esempio di blacklist DNS è disponibile qui.

Avvertimento

Se il Proxy web è abilitato, in qualsiasi modalità, la blacklist DNS non funzionerà per gli host proxati.

Whitelist

In caso di falso positivo, è possibile aggiungere un indirizzo IP o una rete CIDR alla Whitelist locale. Se è installato il modulo firewall, la Whitelist accetterà anche oggetti firewall di tipo host e CIDR.

Gli host dovrebbero essere aggiunti alla whitelist solo per un periodo di tempo limitato. Come best practice, quando viene trovato un falso positivo, si invita a segnalarlo al manutentore della blacklist.

Incident response

La pagina Analisi mostra gli attacchi e le richieste DNS più recenti, che possono essere filtrati per sorgente, destinazione e altri attributi. Usando la sezione Controlla indirizzo IP o dominio, gli amministratori possono anche verificare se un determinato IP o dominio sia stato inserito nella blacklist da una delle categorie abilitate.

Per un'analisi avanzata dei log con supporto delle espressioni regolari, usare la pagina Log.

Statistiche

La pagina Dashboard offre una panoramica dello stato corrente delle blacklist IP e DNS e visualizza informazioni grafiche sugli attacchi bloccati.

La dashboard della blacklist IP fornisce:

  • Numero totale di minacce bloccate nella giornata

  • Gli host di origine maggiormente bloccati nella giornata

  • Gli host di destinazione maggiormente bloccati nella giornata

La dashboard della blacklist DNS fornisce:

  • Numero totale di minacce bloccate nella giornata

  • Numero totale di richieste DNS della giornata

  • Percentuale delle minacce della giornata

  • Lista dei client che eseguono il maggior numero di richieste DNS

  • Principali domini bloccati

  • Domini più richiesti

Geo-blocking

Threat shield integra un supporto limitato per il blocco geografico. Questa funzione è configurabile solo dalla riga di comando. Il blocco geografico è disabilitato per impostazione predefinita.

Per abilitare il blocco geografico impartire i seguenti comandi:

config setprop geoip status enabled
signal-event nethserver-blacklist-save geoips

L'evento scaricherà gli indirizzi di rete per tutti i paesi. Ogni paese è identificato dal proprio codice ISO composto da 2 lettere. Per l'elenco dei paesi disponibili, utilizzare:

find /usr/share/nethserver-blacklist/geoips/ -type f -exec basename '{}' \; | cut -d '.' -f1

Scegliere quali paesi devono essere bloccati e impostare le Categorie di conseguenza. Ad esempio per bloccare Cina e Russia:

config setprop geoip Categories cn,ru
signal-event nethserver-blacklist-save geoips

Se un indirizzo IP è stato classificato all'interno del paese sbagliato, è possibile consentire il traffico da/verso l'host aggiungendo l'indirizzo IP alla whitelist. Esempio:

config setprop geoip Whitelist 1.2.3.4
signal-event nethserver-blacklist-save geoips

Tutti gli IP bloccati verranno registrati all'interno di /var/log/firewall.log. Esempio:

Mar 16 09:05:24 fw kernel: Shorewall:blacklst:DROP:IN=ppp0 OUT= MAC= SRC=1.2.3.4 DST=5.6.7.8 LEN=60 TOS=0x00 PREC=0x00 TTL=52 ID=39155 DF PROTO=TCP SPT=39749 DPT=22 WINDOW=14600 RES=0x00 SYN URGP=0

Infine, per disabilitare completamente GeoIP eseguire i seguenti comandi:

config setprop geoip status disabled
signal-event nethserver-blacklist-save geoips