使用osquery管理您的设备防火墙 - Trail of Bits博客

Garret Reece
2018年5月30日
osquery

我们发布了一个osquery扩展，让您能够管理整个设备群的本地防火墙。

三大主流操作系统都提供了原生防火墙，配置后可阻止传入和传出访问。然而，这三种防火墙系统的接口各不相同，且各自需要不同的配置方法。此外，跨平台设备配置的选择很少，几乎都是商业专有解决方案。

我们与Airbnb合作，为osquery创建了一个跨平台防火墙管理扩展。该扩展实现了对原生防火墙的程序化控制，并为每个主机操作系统提供了通用接口，从而可以更高级地控制企业设备群的端点保护，并闭合端点监控与端点管理之间的循环。

与我们之前的Santa管理扩展一样，此扩展展示了osquery扩展中可写表的实用性。对端点防火墙的程序化控制意味着管理员可以更快地响应，以防止恶意软件在其设备群中传播，防止特别重要系统的意外数据外泄，或阻止来自已知恶意地址的传入连接。这是osquery能力的巨大进步，将其从单纯的监控工具转变为预防和恢复领域。

当前功能

该扩展创建了两个新表：HostBlacklist和PortBlacklist。这些虚拟表通过底层操作系统的原生防火墙接口生成条目：Linux上的iptables、Windows上的netsh和macOS上的pfctl。这使得它们与尽可能广泛的部署兼容，并避免进一步依赖外部库或应用程序。它将与您现有的配置配合使用，并且无论底层平台如何，都提供相同的接口和能力。

使用osquery访问Mac、Windows和Linux上的本地防火墙配置。

未来展望

虽然读取防火墙状态的能力很有用，但我们最兴奋的是控制它们的可能性。借助osquery中的可写表，在受管系统上黑名单一个端口或主机将变得像INSERT语句一样简单。无需部署额外的防火墙管理服务。不再需要审查如何在macOS上配置防火墙。只需编写一个INSERT语句并将其推送到整个设备群。

使用osquery立即在整个设备群中阻止主机名和端口。

尝试使用

通过此扩展，您可以查询受管设备群中黑名单端口和主机的状态，并确保它们都按照您的规范进行配置。随着可写表功能的出现，osquery可以从监控角色转变为管理和预防工具。此扩展朝着这个方向迈出了第一步。

我们将此扩展添加到我们的托管存储库中。我们致力于维护和扩展我们的扩展集合。您应该查看并了解我们还发布了什么。

您有关于osquery扩展的想法吗？请在我们的GitHub存储库中提交问题。联系我们进行osquery开发。

如果您喜欢这篇文章，请分享：
Twitter、LinkedIn、GitHub、Mastodon、Hacker News