Threat shield

Nota

La pagina di configurazione di questo modulo è disponibile sono nel nuovo Server Manager.

La Threat Shield blocca le connessioni da e verso host dannosi, prevenendo attacchi, abusi del servizio, malware e altre attività di criminalità informatica mediante blacklist di IP. Inoltre, blocca le richieste DNS per domini dannosi mediante blacklist DNS. Il pacchetto può essere installato sia su firewall che su macchine senza interfaccia red, come server di posta o PBX.

Configurazione

IP blacklist e DNS blacklist possono essere abilitati e configurati nelle corrispondenti pagine del menu dedicato. La loro configurazione è pressoché identica.

Innanzitutto, è necessario impostare il Download URL per le blacklist. Dopo aver impostato l’URL, l’amministratore può scegliere quali categorie di blacklist abilitare. Ogni categoria può avere un punteggio Fiducia tra 0 e 10. Le categorie con una maggiore fiducia sono meno soggette a falsi positivi.

Le categorie abilitate verranno aggiornate automaticamente a intervalli regolari.

Il Download URL deve contenere un repository GIT valido. Gli amministratori possono scegliere un repository pubblico o abbonarsi a un servizio commerciale. Se la macchina dispone di una subscription Community o Enterprise, l’accesso all’URL verrà autenticato utilizzando l’LK di sistema e il token.

Una nota blacklist di IP gratuita è Firehol.Gli amministratori esperti possono anche configurare il proprio server di blacklist.

Un esempio di blacklist DNS è disponibile qui.

Avvertimento

Se il Proxy web è abilitato, in qualsiasi modalità, la blacklist DNS non funzionerà per gli host proxati.

Whitelist

In caso di falso positivo, è possibile aggiungere un indirizzo IP o una rete CIDR alla Whitelist locale. Se è installato il modulo firewall, la Whitelist accetterà anche oggetti firewall di tipo host e CIDR.

Gli host dovrebbero essere aggiunti alla whitelist solo per un periodo di tempo limitato. Come best practice, quando viene trovato un falso positivo, si invita a segnalarlo al manutentore della blacklist.

Incident response

La pagina Analisi mostra gli attacchi e le richieste DNS più recenti, che possono essere filtrati per sorgente, destinazione e altri attributi. Usando la sezione Controlla indirizzo IP o dominio, gli amministratori possono anche verificare se un determinato IP o dominio sia stato inserito nella blacklist da una delle categorie abilitate.

Per un’analisi avanzata dei log con supporto delle espressioni regolari, usare la pagina Log.

Statistiche

La pagina Dashboard offre una panoramica dello stato corrente delle blacklist IP e DNS e visualizza informazioni grafiche sugli attacchi bloccati.

La dashboard della blacklist IP fornisce:

  • Numero totale di minacce bloccate nella giornata

  • Gli host di origine maggiormente bloccati nella giornata

  • Gli host di destinazione maggiormente bloccati nella giornata

La dashboard della blacklist DNS fornisce:

  • Numero totale di minacce bloccate nella giornata

  • Numero totale di richieste DNS della giornata

  • Percentuale delle minacce della giornata

  • Lista dei client che eseguono il maggior numero di richieste DNS

  • Principali domini bloccati

  • Domini più richiesti

Geo-blocking

Threat shield integrates limited support for geo-blocking. This feature is configurable only from the command line. Geo-blocking is disabled by default.

To enable geo-blocking execute:

config setprop geoip status enabled
signal-event nethserver-blacklist-save geoips

The event will download network addresses for all countries. Each country is identified by its own ISO code composed by 2 letters. To list available countries, use:

find /usr/share/nethserver-blacklist/geoips/ -type f -exec basename '{}' \; | cut -d '.' -f1

Choose which countries should be blocked and set the Categories accordingly. Example to block China and Russia:

config setprop geoip Categories cn,ru
signal-event nethserver-blacklist-save geoips

If an IP address has been classified inside the wrong country, it’s possible to allow the traffic from/to the host by adding the IP address to the whitelist. Example:

config setprop geoip Whitelist 1.2.3.4
signal-event nethserver-blacklist-save geoips

All blocked IPs will be logged inside /var/log/firewall.log. Example:

Mar 16 09:05:24 fw kernel: Shorewall:blacklst:DROP:IN=ppp0 OUT= MAC= SRC=1.2.3.4 DST=5.6.7.8 LEN=60 TOS=0x00 PREC=0x00 TTL=52 ID=39155 DF PROTO=TCP SPT=39749 DPT=22 WINDOW=14600 RES=0x00 SYN URGP=0

Finally, to completely disable the GeoIP use:

config setprop geoip status disabled
signal-event nethserver-blacklist-save geoips