Fortinet FortiGate — Automatically Blocklist — “IP Reputation Risk”

#Cybersecurity
#Network_security
#เป็นเพียงแนวคิดหรือความคิดของผู้เขียนผิดพลาดประการใดต้องขออภัยด้วยครับจัดทำขึ้นมาเพื่อShareครับโดยไม่มีจุดประสงค์อื่นครับ

สวัสดีครับทุกคน! วันนี้ผมมีบทความเกี่ยวกับการตั้งค่า “FortiGate — Custom Blacklist” มาฝากครับ หลังจากที่ไม่ได้อัปเดตเนื้อหานานเพราะงานเยอะมาก เลยไม่มีเวลามา Share อะไรใหม่ ๆ วันนี้เลยถือโอกาสนำความรู้เรื่องนี้มาแบ่งปันกันครับ ถึงมันจะ เป็นเรื่องที่นาน แล้ว แต่คิดว่า มันหน้าสนใจครับ เลยเอามา Share ในวันนี้ครับ

ในทุกองค์กรปัจจุบันคงมี Firewall เป็นหนึ่งในเครื่องมือหลักในการปกป้องเครือข่ายอยู่แล้ว ซึ่ง Firewall มีหน้าที่ในการ Control Traffic ทั้งขาเข้าและขาออก แต่คำถามคือ เราจะมั่นใจได้อย่างไรว่า ทราฟฟิกขาออกจากเครื่อง Client ใน Network ของเรานั้นไปยัง IP หรือโดเมนที่ปลอดภัย? ใช่ครับ เราไม่สามารถรู้ได้แน่นอน แต่สิ่งที่เราทำได้คือ ให้ Firewall ของเราเป็นตัวช่วยในการตรวจสอบและบล็อกทราฟฟิกที่มีความเสี่ยงโดยอัตโนมัติ

ตัวอย่างเช่น FortiGate มีฟีเจอร์ External Connectors ที่ช่วยให้เราสามารถเชื่อมต่อกับแหล่งข้อมูล IOC (Indicators of Compromise) ภายนอกได้ เมื่อเราดึงข้อมูลจากหลาย ๆ แหล่งที่เชื่อถือได้เข้ามา เราก็สามารถตั้งค่าให้ Firewall ทำงานโดยอัตโนมัติในการบล็อกทราฟฟิกที่มีความเสี่ยงได้เลย ซึ่งจะช่วยลดภาระของ Admin ที่ต้องดูแลระบบไปได้เยอะเลยครับ (Automatic Blocklist IP Reputation)

Fortigate Integration “Ref: ”https://www.abuseipdb.com/fortinet”

Fortigate Integration “Ref: ”https://www.abuseipdb.com/fortinet”

การ Block Traffic จาก IP หรือโดเมนที่อยู่ในฐานข้อมูล IOC เหล่านี้เป็นแนวทางที่ดีในการป้องกันเครือข่ายของเรา เพราะเราไม่สามารถรู้ได้ว่าเครือข่ายของเรากำลังสื่อสารกับทราฟฟิกที่มีความเสี่ยงหรือไม่ ดังนั้น Solution Automatic Blocklist มาใช้ถือเป็นอีกหนึ่งวิธีที่หน้าสนใจเหมือนกันนะครับ

Policy Fortigate Integration “Ref: ”https://www.abuseipdb.com/fortinet”

How to Config:
Ref: Integrating AbuseIPDB with Fortinet FortiGate — Automatically Block Abusive IPs
Ref: https://www.abuseipdb.com/fortinet

Example Source IOC: อันนี้คือ Free นะครับ ส่วนถ้าเป็น Commercial สามารถซื้อ ได้เลยนะครับ ถ้ามีตัง 5555
* URLhaus: https://urlhaus.abuse.ch/api/
* Botnet C2 IP Blocklist: https://feodotracker.abuse.ch/blocklist/
* Threatfeeds.io: https://threatfeeds.io/
Remark: ควรเลือกใช้แหล่งที่มาของ IOC ที่น่าเชื่อถือเพื่อป้องกันการเกิด False Positive และอย่าลืมเช็ค Log เพื่อดูว่ามีการบล็อก IP ที่ไม่ควรบล็อกหรือไม่ หากพบก็สามารถตั้งค่า Whitelist ได้ครับ

#หวังว่าเนื้อหานี้จะเป็นประโยชน์กับทุกคนครับ แล้วเจอกันใหม่ในบทความต่อไปครับ!
#แบ่งปัน
#เป็นเพียงแนวคิดหรือความคิดของผู้เขียนผิดพลาดประการใดต้องขออภัยด้วยครับ
#การเรียนรู้ไม่มีที่สิ้นสุด_เล่นไปเรื่อยๆ_ยิ่งเล่นยิ่งสนุก
#ผู้เขียนจัดทำเพื่อแชร์ความรู้และประสบการณ์นะครับผิดพลาดประการใดต้องขออภัยด้วยครับ
#มือใหม่กำลังหัดเขียนมีอะไรแนะนำได้เลยนะครับ
#Share_Knowledge_and_Experience