Ruské, Bieloruské kybernetické útoky a ako sa pred nimi chrániť

Vzhľadom na terajšiu situáciu vo svete a narastajúce kybernetické útoky sme sa rozhodli vytvoriť návod ako sa brániť voči ruským a bieloruským kybernetickým útokom. Dozviete sa ako sa chrániť a blokovať ruské ip adresy a domény na Check Point Gateway-i.

Nato aby sme sa úspešne bránili môžeme využiť dva spôsoby.

  • Blokovanie na základe geoip lokácie ( toto riešenie má kolaterálny dopad v tom, že nie všetky IP môžu byť kategorizované správne), na druhú stranu je nasadenie a konfigurácia rýchla a jednoduchá
  • Intercepting DNS a blokovanie všetkého čo má v DNS názve TLD doménu .ru alebo .by

GEOIP

Potrebná je verzia R80.20 a vyššie, prístup na internet pre GW a manažment

V access rule báze sa musí pridať nové pravidlo. Najlepšie za niektoré z prvotných best practices pravidiel na začiatku rule bázy. Do položky source je potrebné vložiť dynamický updatable object:

Ďalej vyberieme, ktoré krajiny chceme blokovať:

Destination v pravidle je vždy asset spoločnosti, ktorá sa rozhodla blokovať dané krajiny aby sa bránila kybernetickým útokom. To znamená, že všetky svoje IP adresy chránite firewallom.

VPN, Services & Applications ostávajú na hodnote „Any“. Akcia je samozrejme „DROP“. Odporúčame zapnúť logovanie v prípade trackovania nejakých problémov alebo výroby reportov.

Finálny riadok nášho pravidla by mal vyzerať nasledovne:

Po pridaní pravidla nezabudnite na inštaláciu politiky.

DNS INTERCEPTING

 

  1. Minimálna podporovaná verzia je R80.20 JHF 190, R80.30 JFH 196, R80.40 a vyššie
  2. Uistite sa, že máte zapnutý DNS passive learning mode.

Hodnota kernel parametru dns_data_src_enabled musí byť väčšia ako 0

fw ctl get int dns_data_src_enabled

  1. Ak je hodnota kernel parametru dns_data_src_enabled 0, tak ho nasledovným príkazom zmeníme za behu:

fw ctl set int dns_data_src_enabled 1

  1. Upravíme hodnotu fwkern.conf, aby bola zmena perzistentná

cp -v $FWDIR/boot/modules/fwkern.conf{,_BKP}

vi $FWDIR/boot/modules/fwkern.conf

dns_data_src_enabled=1

  1. V prípade ak brána používa rovnaké DNS servery ako klienti, tak nie je potrebná dodatočná konfigurácia.
  2. Ak klienti používajú inú sadu DNS serverov ako brána, tak je potrebné vytvoriť Host objekt pre klientský DNS server a zapnúť DNS server v Servers sekcii.

  1. Vytvoríme domény doménové objekty .ru a .by, FQDN musí ostať vypnuté

  1. Vytvoríme nasledovné pravidlá v access rule bázy

A nakoniec Funkčnosť overíme nasledovným príkazom:

domains_tool -d ru

V prípade akýchkoľvek otázok nás neváhajte kontaktovať.