FireHOL es un proyecto que nos va a permitir bloquear miles de IP maliciosas que están catalogadas por tipos de amenaza. A medida que pasa el tiempo, el cibercrimen en Internet se vuelve más sofisticado, hoy en día los ataques no se pueden identificar tan fácilmente, ya que llegan a nosotros a través de una gran cantidad de direcciones IP. FireHOL nos va a ayudar en saber estas listas de IP, para posteriormente bloquearlas en nuestro firewall.
Principales características del proyecto FireHOL
Tener en nuestro firewall un listado de bloqueo de direcciones IP es algo clave en la seguridad de Internet. Estas listas nos permitirán bloquear todos y cada uno de los accesos con dicha dirección IP de origen, o también filtrar el tráfico y ver el comportamiento de las comunicaciones que nos realizan a nosotros.
Recientemente en RedesZone hemos hablado sobre la herramienta Ultimate Hosts Blacklist, para añadir una gran cantidad de direcciones IP maliciosas y no poder acceder a dichas IP. Este proyecto FireHOL está orientado a su utilización en los firewalls, ya que es la primera línea de defensa de ataques externos. Ultimate Hosts Blacklist es para los propios PC y evitar que se conecten ellos hacia fuera.
El proyecto FireHOL está en un proyecto público en GitHub, ideal para obtener toda la información de manera gratuita, y permitir una cierta automatización de las tareas de descarga y puesta en funcionamiento de estas listas de IP. Gracias a “git pull“, vamos a poder actualizar todas estas listas de IP a la vez que anteriormente hemos descargado, ideal para mantener diariamente estas listas actualizadas. Además, otro punto fuerte de usar GitHub es que podremos tener un control de versiones unificada, permitiéndonos ver qué se ha añadido, retirado o modificado.
Este listado de reglas también incorpora IPs que pertenecen a la red Tor, aunque Tor no es en sí mismo una red “maliciosa”, sí es cierto que los ciberdelincuentes intentan anonimizarse a través de ella, por tanto, si bloqueamos la red Tor evitaremos que cualquier usuario que quiera ocultar su identidad (por cualquier motivo) acceda a nuestros recursos.
Antes de poner en producción estas listas de IP, es recomendable que crees una lista blanca de direcciones IP permitidas, no sea que termines bloqueando a tus propios usuarios, clientes e incluso a ti mismo. Otro detalle importante es que hay listas que contienen direcciones IP privadas para parar diferentes tipos de ataques IP spoofing en la WAN, asegúrate de no incorporar esta lista en la parte LAN o DMZ de tu red, sino perderás la conectividad.
FireHOL nos va a permitir descargar un pequeño script en bash para actualizar de una manera fácil y rápida estas listas de IPs maliciosas, utilizando para ello ipset. Este script no modifica de ninguna manera la configuración del firewall, simplemente actualiza el ipset para posteriormente aplicarlo nosotros en el sistema operativo.
Os recomendamos acceder a la página web oficial del proyecto FireHOL donde encontrarás toda la información sobre las direcciones IP que están dadas de alta. También podéis acceder al proyecto FireHOL en GitHub donde podréis ver todas las listas de IP perfectamente separadas por tipo de amenaza.