Un jour, j'ai décidé d'ajouter des blocklists à mes instances Crowdsec. Tout fier, j'en informe mon copain BoB sur Discord. C'est à ce moment là, qu'il me répond : "Hey, rajoute cette liste comportant + de 200k IP !"
Cette fameuse liste est disponible sur ce dépôt git : https://github.com/duggytuxy/malicious_ip_addresses
La communauté BE.CYBER a même découpé cette liste pour bypass la limitation des équipements Fortinet. Pour ici, pas besoin de la découper puisque je vais présenter comment la mettre en place sur OPNsense et la mettre à jour automatiquement.
Allez, c'est parti !
Mise en place d'un alias
Pour la mise en place de la liste, il faudra créer un alias. C'est également grâce à cet alias qua liste se mettra à jour automatiquement.
- Tout d'abord, se rendre dans
Firewall(1),Aliases(2). Puis, ajouter un nouvel alias (3).
- 5 champs à remplir :
- Name (1) : Le nom qui permettra d'utiliser cet alias dans les règles du firewall.
- Type (2) : Sélectionner
URL Table (IPs). Cela va permettre d'indiquer une fréquence de mise à jour. - Refresh Frequency (3) : Indiquer la fréquence de mise à jour de la liste. Ici, tous les jours.
- Content (4) : La fameuse liste ! https://raw.githubusercontent.com/duggytuxy/malicious_ip_addresses/main/botnets_zombies_scanner_spam_ips.txt.
- Description (5) : Le nom de ce champs parle de lui-même.
- Valider en cliquant sur
Save, puisApply.
La liste est mise en place avec 239253 entrées à ce jour (1) à travers ce nouvel alias. De plus, on peut constater que le firewall d'OPNsense peut comporter jusqu'à 1 millions d'entrées par défaut (2).
Augmenter le nombre d'entrées
Si cette limite d'un million d'entrées dans le système n'est pas suffisante, il est possible de l'augmenter.
- Se rendre dans
Firewall(1),Settings(2),Advanced(3), et indiquer le nombre désiré (4).
- Valider en cliquant sur
Save.
Configuration des règles du firewall
Pour bloquer ces IPs malicieuses en entrées comme en sorties du firewall, il est nécessaire de créer 2 nouvelles règles. Pour réaliser ça, les définir dans Floating est intéressant. Ainsi ces règles vont s'appliquer sur toutes les interfaces en priorité.
- Se rendre dans
Firewall(1),Rules(2),Floating(3). Puis ajouter une nouvelle règle (4).
- 4 champs importants :
- Action (1) : Par défaut, ce champs sera sur Pass. Le modifier pour
Block - Direction (2) : Peu importe la direction, on bloque ! Donc,
any. - Source (3) : Sélectionner l'alias créé précédemment.
- Destination (4) : Peu importe la destination ! Donc,
any.
- Action (1) : Par défaut, ce champs sera sur Pass. Le modifier pour
- Valider en cliquant sur
Save. - Créer une seconde règle identique à la première mais en inversant
SourceetDestination. - Ne pas oublier de cliquer sur
Applypour valider l'ajout de ces 2 règles.
Voilà, c'est mis en place !
Bien évidemment, il est possible d'activer les logs sur ces 2 règles afin d'en mesurer l'impact et/ou pouvoir les remonter dans un SIEM par exemple.
