Threat shield IP

Threat shield IP#

NethSecurity è dotato di diversi strumenti e integrazioni utili per contrastare le minacce provenienti da Internet. Uno di questi strumenti è Threat Shield IP, che blocca qualsiasi traffico proveniente da indirizzi IP compromessi o a essi destinato, così come qualsiasi richiesta indirizzata a nomi host che potrebbero essere dannosi.

Il servizio può caricare blocklist mantenute dalla comunità oppure può fare affidamento su blocklist di alta qualità, aggiornate e mantenute molto frequentemente da Nethesis e Yoroi, un’azienda leader nel settore della CyberSecurity e membro della Cyber Threat Alliance. Le blacklist di Yoroi garantiscono grande efficacia e un elevato livello di affidabilità, riducendo al minimo la possibilità di falsi positivi.

Si noti che, per accedere alle blocklist di Nethesis e Yoroi, la macchina deve disporre di un abbonamento addizionale valido per questo servizio.

Configurazione#

Il servizio è disabilitato per impostazione predefinita; per abilitarlo, navigare alla pagina Threat shield IP nella sezione Sicurezza. Accedere alla scheda Impostazioni e attivare l’interruttore Stato.

Quando il servizio è abilitato, la scheda Blocklist feed mostrerà tutte le blocklist disponibili. È possibile abilitare o disabilitare ciascuna blocklist utilizzando l’interruttore sul lato destro dell’elenco. Le blocklist abilitate verranno aggiornate automaticamente a intervalli regolari. NethSecurity 8 consente l’utilizzo di blocklist Community ed Enterprise.

Blocklist della community#

Le blocklist della community sono fornite da contributori della community e coprono diverse aree: blocco delle pubblicità, blocco di malware, blocco dello spam, blocco dei tracker e così via. NethSecurity le rende disponibili così come sono.

Le liste della community non forniscono un parametro standardizzato di «Confidence», pertanto l’interfaccia utente mostra la loro affidabilità come «Sconosciuta». Come euristica pratica, quando il nome della lista contiene un indicatore di severità o affidabilità (ad esempio, «lvl 1», «level 1»), generalmente indica il tasso più basso di falsi positivi e la massima affidabilità; al contrario, livelli più alti indicati (ad esempio, «lvl 2», «lvl 3», «lvl 4») tipicamente implicano una minore affidabilità e un rischio maggiore di inserimenti aggressivi o errati. Tuttavia, le convenzioni di denominazione variano e non tutti i provider della community includono tali indicatori, quindi è sempre consigliabile esaminare il contenuto e lo scopo di una lista della community prima di abilitarla in produzione. Il tipo di licenza d’uso può variare a seconda del provider, quindi se l’utilizzo non è personale, potrebbe essere necessario contattare il provider.

Manutenzione delle liste della community

Ogni blocklist è gestita dal relativo provider specifico. NethSecurity include già gli URL per il download dei feed, validi al momento del rilascio. Tuttavia, poiché questi URL sono integrati nel software, se il provider li modifica, alcune blocklist potrebbero non essere più scaricabili.

Blocklist Enterprise#

Abbonamento richiesto

Questa funzionalità è disponibile solo se il firewall dispone di un abbonamento Community o Enterprise valido.

Le blocklist Enterprise sono specificamente orientate alla sicurezza e offrono diversi vantaggi rispetto alle blocklist mantenute dalla comunità:

  1. Qualità e accuratezza: Le blocklist Enterprise, come quelle fornite da Nethesis e Yoroi, sono curate e mantenute da aziende di cybersecurity affidabili. Queste aziende dispongono di team dedicati che monitorano e aggiornano continuamente le blocklist per garantire che siano accurate ed efficaci nel bloccare il traffico dannoso. Questo si traduce in un livello superiore di qualità e accuratezza rispetto alle blocklist mantenute dalla comunità, che potrebbero non ricevere la stessa attenzione e frequenza di aggiornamenti.

  2. Tempestività: Le blocklist Enterprise vengono aggiornate frequentemente per includere le minacce più recenti e gli indirizzi IP dannosi. Aziende di cybersecurity come Nethesis e Yoroi monitorano attivamente le minacce emergenti e le aggiungono tempestivamente alle loro blocklist. Questo garantisce che il sistema sia protetto contro le minacce più recenti e in evoluzione.

  3. Riduzione dei falsi positivi: I falsi positivi si verificano quando il traffico legittimo viene bloccato per errore. Le blocklist Enterprise sono progettate per ridurre al minimo i falsi positivi attraverso una selezione e una verifica accurata degli indirizzi IP e dei nomi host elencati. Le aziende che gestiscono le blocklist Enterprise adottano processi rigorosi per garantire che solo entità malevole vengano incluse nelle blocklist. Questo riduce la probabilità che il traffico legittimo venga bloccato, minimizzando le interruzioni alla rete o ai servizi.

  4. Supporto Enterprise: Le blocklist Enterprise spesso includono supporto aggiuntivo e servizi specifici per ambienti aziendali. Questo comprende l’accesso al supporto tecnico, alla documentazione e all’assistenza per l’integrazione. In caso di problemi o domande durante l’utilizzo delle blocklist Enterprise, è possibile fare affidamento sul supporto fornito dalle aziende di cybersecurity per affrontarli in modo efficace.

Affidabilità#

Le blocklist Enterprise includono un punteggio di «Confidence» che viene mostrato nell’interfaccia utente. Il punteggio è espresso come un valore da 1 a 10 e rappresenta la valutazione del provider sulla qualità della lista: valori più alti indicano una maggiore affidabilità e una minore probabilità di falsi positivi. Questa metrica di «Confidence» è disponibile solo per le liste Enterprise; le liste Community vengono presentate «così come sono» e mostrano «Unknown» per la confidence.

Le blocklist Yoroi e Nethesis sono blocklist Enterprise. Queste liste saranno visualizzate solo se la macchina dispone di un abbonamento Enterprise o Community valido e di un abbonamento valido per il servizio Threat Shield IP.

Log#

La funzionalità Threat Shield IP include capacità avanzate di registrazione per monitorare e tracciare potenziali minacce. La sezione di registrazione consente di configurare quali tipi di pacchetti bloccati vengono registrati:

  1. Log dei pacchetti bloccati nella chain di pre-routing: quando abilitata, questa opzione registra i pacchetti che vengono bloccati nella catena di pre-routing, che elabora i pacchetti prima che entrino nella tabella di routing.

  2. Log dei pacchetti bloccati nella chain di input: questa opzione, quando attivata, registra i pacchetti bloccati nella catena di input, che gestisce i pacchetti destinati direttamente al firewall stesso. Si noti che questa opzione può generare un numero elevato di log se il firewall è sottoposto a traffico intenso.

  3. Log dei pacchetti bloccati nella chain di forward: Abilitando questa opzione vengono registrati i pacchetti bloccati nella catena di forward, che elabora i pacchetti instradati attraverso il firewall.

  4. Log dei pacchetti bloccati inoltrati dalla LAN: Questa opzione registra i pacchetti che vengono bloccati quando vengono inoltrati dalla rete locale (LAN).

Queste opzioni di logging offrono un controllo granulare su quali pacchetti bloccati vengono registrati, permettendo di esporre metriche all’interno delle sezioni monitoraggio in tempo reale e monitoraggio storico.

Allowlist locale#

A volte può essere necessario consentire l’accesso a determinati indirizzi IP; per farlo è possibile utilizzare la scheda Allowlist locale. Utilizzare il pulsante Aggiungi indirizzo per aggiungere un nuovo indirizzo all’elenco. L’indirizzo può essere un indirizzo IPv4/IPv6 valido con notazione CIDR opzionale, un indirizzo MAC oppure un hostname completo di dominio (FQDN).

Ad esempio, l’indirizzo può essere:

  • Indirizzo IPv4: 192.168.0.1

  • Indirizzo IPv6: 2001:0db8:85a3:0000:0000:8a2e:0370:7334

  • Indirizzo IPv4 con notazione CIDR: 192.168.0.0/24

  • Indirizzo MAC: 00:0a:95:9d:68:16

  • FQDN: example.com

È possibile associare un commento a ciascun indirizzo per facilitarne la gestione.

È possibile aggiungere un commento per fornire informazioni aggiuntive sull’indirizzo, come ad esempio il suo scopo o il proprietario. Questo può aiutare a organizzare e gestire la allowlist in modo efficace.

Blocklist locale#

Threat Shield IP include una funzionalità di blocklist locale, che consente di specificare manualmente gli indirizzi che devono essere sempre bloccati. Questo offre un ulteriore livello di personalizzazione alla configurazione della sicurezza.

Per accedere e personalizzare la blocklist, navigare nella scheda Blocklist locale nell’interfaccia Threat Shield IP. Utilizzare il pulsante Aggiungi indirizzo per includere nuove voci. Ogni voce è composta da un indirizzo e una descrizione. La sintassi valida per l’indirizzo è la stessa utilizzata per la Allowlist locale.

Quando si aggiungono indirizzi alla blocklist locale, assicurarsi di inserirli correttamente per evitare di bloccare accidentalmente traffico legittimo. È inoltre buona pratica includere un commento descrittivo per ogni voce, in modo da facilitare la gestione e la verifica futura della propria blocklist.

Bloccare gli attacchi brute force#

Quando Threat Shield IP è abilitato, il sistema avvia automaticamente il controllo dei tentativi di attacco brute force sui servizi del firewall. Per impostazione predefinita, i servizi monitorati includono l’accesso SSH e il login all’interfaccia utente di NethSecurity. Il sistema rileva i tentativi di accesso e blocca automaticamente gli IP che non sono riusciti a inserire le credenziali corrette.

Per abilitare o disabilitare la protezione contro gli attacchi brute force, accedere alla sezione Blocca attacchi brute force nell’interfaccia Threat Shield IP, sotto la scheda Impostazioni e utilizzare l’interruttore per attivare o disattivare la funzionalità.

La funzionalità può essere personalizzata modificando le seguenti impostazioni:

  • Ban dopo N accessi falliti: questa impostazione determina il numero di tentativi di accesso falliti consentiti prima che un indirizzo IP venga bannato. Il valore predefinito è solitamente 3, ma può essere modificato secondo necessità. Un valore più basso aumenta la sicurezza ma può anche aumentare il rischio di falsi positivi, ad esempio bloccando utenti legittimi che inseriscono erroneamente le proprie credenziali.

  • Pattern per rilevare gli attacchi: questo campo consente di specificare i pattern che il sistema utilizza per identificare potenziali attacchi di forza bruta. I pattern comuni includono:

    • Exit before auth from: rileva tentativi di autenticazione non riusciti al servizio SSH

    • authentication failed for user: identifica i tentativi di autenticazione non riusciti all’interfaccia web di NethSecurity

    • TLS Auth Error, TLS handshake failed, AUTH_FAILED: rileva tentativi di autenticazione non riusciti al servizio OpenVPN

    È possibile aggiungere ulteriori pattern utilizzando il pulsante Aggiungi pattern per personalizzare il meccanismo di rilevamento. Ogni pattern può essere una valida espressione regolare grep.

  • Tempo di ban: questa impostazione determina la durata per cui un indirizzo IP rimane bannato dopo aver superato il numero consentito di tentativi falliti. Il valore predefinito è spesso impostato a 30 minuti, ma può essere modificato in base alle proprie esigenze di sicurezza.

È possibile eseguire ulteriori azioni utilizzando la riga di comando; questi sono i comandi supportati:

  • Visualizzare tutti gli indirizzi IP attualmente presenti nella blocklist: /etc/init.d/banip survey blocklistv4

  • Cercare un IP specifico nella blocklist: /etc/init.d/banip search IP_ADDRESS

  • Rimuovere il ban da un indirizzo IP: nft delete element inet banIP blocklistv4 { IP_ADDRESS }

Tenere presente che è necessario specificare la blocklist corretta nei comandi quando richiesto (blocklistv4 per IPv4, blocklistv6 per IPv6).

Bloccare DoS#

Threat Shield IP include anche la protezione contro vari tipi di attacchi Denial of Service (DoS). La protezione DoS limita il traffico eccessivo di protocolli specifici, bloccando quel tipo di traffico fino a quando la situazione non si normalizza. Monitora tutto il traffico WAN in ingresso per rilevare e bloccare attacchi DoS provenienti dalla WAN.

  • Blocca DoS ICMP: quando abilitata, questa opzione protegge dagli attacchi DoS che utilizzano il protocollo Internet Control Message Protocol (ICMP). Il limite è impostato a 100 pacchetti al secondo.

  • Blocca DoS TCP SYN: questa opzione, quando attivata, protegge da attacchi DoS basati su TCP limitando il numero di nuove connessioni per secondo. Un pacchetto può essere considerato non valido se non fa parte di una connessione stabilita o se appartiene a una connessione che è stata chiusa. Il limite è impostato a 10 connessioni per secondo.

  • Blocca DoS UDP: L’abilitazione di questa opzione protegge da attacchi DoS basati su User Datagram Protocol (UDP). Il limite è impostato a 100 pacchetti al secondo.