En la anterior entrada, Bloquear múltiples IPs eficientemente comentamos cómo poder emplear IPSet para crear listas de fácil acceso y que simplifiquen el proceso de bloqueo de IPs o rangos de IPs que no nos interesen. Esto simplifica mucho el trabajo de mantener un firewall, pero como se prometió al final de la entrada, existen páginas en la red que ofrecen un listado de IPs consideradas maliciosas y que sería un buen trabajo poder mantenerlas y bloquearlas. Un ejemplo es la web iblocklist, que ofrece listados de IPs de diferentes consideraciones y que podríamos emplear conjuntamente con IPSet para tener una mejor protección. Un ejemplo de esta unión sería poder bloquear todas aquellas IPs que se consideren que tienen presencia de la BotNet ZeuS, por ejemplo.
Esto es posible hacerlo y vamos a ver cómo.
Instalación
Lo primero que necesitamos es instalar las herramientas necesarias para manejar el listado que nos vamos a descargar.
shell> pip install iblocklist2ipset
Uso
Con el software instalado, ya podemos comenzar a generar las tablas que nos interesen para cargarlas en IPSet.
shell> iblocklist2ipset generate --ipset zeus \ "http://list.iblocklist.com/...archiveformat=gz" \ > /backup/zeus.list
Este comando generará un fichero, /backup/zeus.list, que tendrá todas aquellas IPs que se sabe que tienen la BotNet Zeus. Lógicamente, hay que actualizarlo cada cierto tiempo, pero de base la protección es bastante bueno, pues a día de hoy, por ejemplo, tiene más de 237k entradas. Lo cual, ya nos saca muchas probabilidades.
Ahora toca cargar el fichero como una tabla de IPSet, por lo que empleamos la opción de restore.
shell> ipset restore < /backup/zeus.list
Si cuando estás intentando cargar la nueva lista obtienes un fallo similar a este,
ipset v6.11: Error in line 1: Set cannot be created: set with the same name already exists
Es debido a que la lista que intentas cargar ya existe, por lo que tendrás que destruirla para poder cargarla nuevamente.
shell> ipset destroy zeus shell> ipset restore < /backup/zeus.list
Con esta lista, ya puedes poner la regla de IPTables que consideres oportuna para manejarla.
No hay comentarios :
Publicar un comentario