Threat shield

Nota

La pagina di configurazione di questo modulo è disponibile sono nel nuovo Server Manager.

La Threat Shield blocca le connessioni da e verso host dannosi, prevenendo attacchi, abusi del servizio, malware e altre attività di criminalità informatica mediante blacklist di IP. Inoltre, blocca le richieste DNS per domini dannosi mediante blacklist DNS. Il pacchetto può essere installato sia su firewall che su macchine senza interfaccia red, come server di posta o PBX.

Configurazione

IP blacklist e DNS blacklist possono essere abilitati e configurati nelle corrispondenti pagine del menu dedicato. La loro configurazione è pressoché identica.

Innanzitutto, è necessario impostare il Download URL per le blacklist. Dopo aver impostato l’URL, l’amministratore può scegliere quali categorie di blacklist abilitare. Ogni categoria può avere un punteggio Fiducia tra 0 e 10. Le categorie con una maggiore fiducia sono meno soggette a falsi positivi.

Le categorie abilitate verranno aggiornate automaticamente a intervalli regolari.

Il Download URL deve contenere un repository GIT valido. Gli amministratori possono scegliere un repository pubblico o abbonarsi a un servizio commerciale. Se la macchina dispone di una subscription Community o Enterprise, l’accesso all’URL verrà autenticato utilizzando l’LK di sistema e il token.

Una nota blacklist di IP gratuita è Firehol.Gli amministratori esperti possono anche configurare il proprio server di blacklist.

Un esempio di blacklist DNS è disponibile qui.

Avvertimento

Se il Proxy web è abilitato, in qualsiasi modalità, la blacklist DNS non funzionerà per gli host proxati.

Whitelist

In caso di falso positivo, è possibile aggiungere un indirizzo IP o una rete CIDR alla Whitelist locale. Se è installato il modulo firewall, la Whitelist accetterà anche oggetti firewall di tipo host e CIDR.

Gli host dovrebbero essere aggiunti alla whitelist solo per un periodo di tempo limitato. Come best practice, quando viene trovato un falso positivo, si invita a segnalarlo al manutentore della blacklist.

Incident response

La pagina Analisi mostra gli attacchi e le richieste DNS più recenti, che possono essere filtrati per sorgente, destinazione e altri attributi. Usando la sezione Controlla indirizzo IP o dominio, gli amministratori possono anche verificare se un determinato IP o dominio sia stato inserito nella blacklist da una delle categorie abilitate.

Per un’analisi avanzata dei log con supporto delle espressioni regolari, usare la pagina Log.

Statistiche

La pagina Dashboard offre una panoramica dello stato corrente delle blacklist IP e DNS e visualizza informazioni grafiche sugli attacchi bloccati.

La dashboard della blacklist IP fornisce:

  • Numero totale di minacce bloccate nella giornata
  • Gli host di origine maggiormente bloccati nella giornata
  • Gli host di destinazione maggiormente bloccati nella giornata

La dashboard della blacklist DNS fornisce:

  • Numero totale di minacce bloccate nella giornata
  • Numero totale di richieste DNS della giornata
  • Percentuale delle minacce della giornata
  • Lista dei client che eseguono il maggior numero di richieste DNS
  • Principali domini bloccati
  • Domini più richiesti