Weboldal keresés

Telepítse és konfigurálja a pfBlockerNg-t a DNS feketelistához a pfSense Firewallban


Egy korábbi cikkben szóba került a pfSense néven ismert hatékony FreeBSD alapú tűzfal megoldás telepítése. A pfSense, amint azt a korábbi cikkben említettük, egy nagyon hatékony és rugalmas tűzfal-megoldás, amely képes kihasználni egy régi számítógépet, amely valószínűleg nem sokat tesz.

Ez a cikk egy csodálatos pfsense kiegészítő csomagról fog beszélni, a pfBlockerNG néven.

A pfBlockerNG egy csomag, amely a pfSense-be telepíthető, hogy a tűzfaladminisztrátor számára lehetővé tegye a tűzfal képességeinek kiterjesztését a hagyományos állapottartó L2/L3/L4 tűzfalon túlra.

Ahogy a támadók és számítógépes bűnözők képességei folyamatosan fejlődnek, úgy kell fejlődniük az erőfeszítéseiket meghiúsító védelemnek is. Mint minden a számítástechnika világában, itt sincs egyetlen megoldás, amely az összes terméket megjavítaná.

A pfBlockerNG lehetőséget biztosít a pfSense-nek a tűzfal számára, hogy olyan döntéseken alapuló döntéseket hozzon, mint például egy IP-cím földrajzi helye, egy erőforrás domain neve vagy bizonyos webhelyek Alexa-besorolása.

Az olyan elemek korlátozásának lehetősége, mint például a tartománynevek, nagyon előnyös, mivel lehetővé teszi a rendszergazdák számára, hogy megakadályozzák a belső gépek azon próbálkozásait, amelyek ismert rossz tartományokhoz (más szóval olyan tartományokhoz, amelyekről ismert, hogy rosszindulatú programokat, illegális tartalmat vagy alattomos adatok).

Ez az útmutató végigvezeti a pfSense tűzfaleszköz konfigurálását a pfBlockerNG csomag használatához, valamint néhány alapvető példát a pfBlockerNG eszközhöz hozzáadható/konfigurálható tartományblokkoló listákra.

Követelmények

Ez a cikk néhány feltételezést tartalmaz, és a pfSense korábbi telepítési cikkére épül. A feltételezések a következők lesznek:

  • A pfSense már telepítve van, és jelenleg nincsenek konfigurálva szabályok (tiszta lap).
  • A tűzfalnak csak WAN és LAN portja van (2 port).
  • A LAN oldalon használt IP-séma a 192.168.0.0/24.

Megjegyzendő, hogy a pfBlockerNG konfigurálható egy már futó/konfigurált pfSense tűzfalon. Ezeknek a feltételezéseknek az oka itt egyszerűen a józanság kedvéért van, és sok elvégzendő feladat továbbra is elvégezhető egy nem tiszta lappal ellátott pfSense dobozon.

Laboratóriumi diagram

Az alábbi kép a cikkben használt pfSense környezet labordiagramja.

Telepítse a pfBlockerNG for pfSense-t

Mivel a labor készen áll az indulásra, ideje elkezdeni! Az első lépés a pfSense tűzfal webes felületéhez való csatlakozás. Ez a laborkörnyezet ismét a 192.168.0.0/24 hálózatot használja, a tűzfal pedig átjáróként működik 192.168.0.1 címmel. Egy webböngésző használatával a „https://192.168.0.1” címre navigálva megjelenik a pfSense bejelentkezési oldala.

Egyes böngészők panaszkodhatnak az SSL-tanúsítvány miatt, ez normális, mivel a tanúsítványt a pfSense tűzfal saját maga írja alá. Nyugodtan elfogadhatja a figyelmeztető üzenetet, és ha kívánja, telepíthető egy hiteles hitelesítésszolgáltató által aláírt érvényes tanúsítvány, de ez meghaladja a jelen cikk hatályát.

Miután sikeresen kattintott a „Speciális”, majd a „Kivétel hozzáadása…” lehetőségre, kattintson a biztonsági kivétel megerősítéséhez. Ekkor megjelenik a pfSense bejelentkezési oldal, és lehetővé teszi a rendszergazda számára, hogy bejelentkezzen a tűzfalkészülékbe.

Miután bejelentkezett a pfSense főoldalára, kattintson a „Rendszer” legördülő menüre, majd válassza a „Csomagkezelő” lehetőséget.

Erre a hivatkozásra kattintva a csomagkezelő ablak jelenik meg. Az első betöltendő oldal az összes jelenleg telepített csomag lesz, és üres (ez az útmutató is tiszta pfSense telepítést feltételez). Kattintson az „Elérhető csomagok” szövegre, hogy megjelenjen a pfSense telepíthető csomagjainak listája.

Az „Elérhető csomagok” oldal betöltése után írja be a „pfblocker” szót a „Keresési kifejezés” mezőbe, majd kattintson a „Keresés<” gombra.'. Az első visszaadott elemnek pfBlockerNG-nek kell lennie. Keresse meg a „Telepítés” gombot a pfBlockerNG leírásától jobbra, és kattintson a „+” gombra a csomag telepítéséhez.

Az oldal újra betöltődik, és felkéri a rendszergazdát, hogy erősítse meg a telepítést a „Megerősítés” gombra kattintva.

A megerősítést követően a pfSense megkezdi a pfBlockerNG telepítését. Ne navigáljon el a telepítő oldaláról! Várjon, amíg az oldalon megjelenik a sikeres telepítés.

A telepítés befejezése után megkezdődhet a pfBlockerNG konfigurálása. Az első feladat, amelyet el kell végezni, néhány magyarázat arra vonatkozóan, hogy mi fog történni, ha a pfBlockerNG megfelelően be van állítva.

A pfBlockerNG konfigurálása után a webhelyekre vonatkozó DNS-kérelmeket a pfBlockerNG szoftvert futtató pfSense tűzfalnak kell elfognia. A pfBlockerNG ezután frissített listákkal rendelkezik az ismert rossz tartományokról, amelyek rossz IP-címhez vannak hozzárendelve.

A pfSense tűzfalnak el kell hárítania a DNS-kéréseket, hogy ki tudja szűrni a rossz tartományokat, és egy helyi DNS-feloldót használ, amely UnBound néven ismert. Ez azt jelenti, hogy a LAN interfészen lévő ügyfeleknek a pfSense tűzfalat kell használniuk DNS-feloldóként.

Ha az ügyfél olyan tartományt kér, amely szerepel a pfBlockerNG tiltólistáin, akkor a pfBlockerNG hamis IP-címet ad vissza a tartományhoz. Kezdjük a folyamatot!

pfBlockerNG konfiguráció a pfSense számára

Az első lépés az UnBound DNS feloldó engedélyezése a pfSense tűzfalon. Ehhez kattintson a „Szolgáltatások” legördülő menüre, majd válassza a „DNS-feloldó” lehetőséget.

Az oldal újratöltésekor a DNS-feloldó általános beállításai konfigurálhatók lesznek. Ez az első beállítás, amelyet be kell állítani, a „DNS-feloldó engedélyezése” jelölőnégyzet.

A következő beállítások a DNS figyelő port beállítása (általában az 53-as port), a hálózati interfészek beállítása, amelyekre a DNS-feloldónak figyelnie kell (ebben a konfigurációban a LAN port és a Localhost legyen), majd a kimenő port beállítása (kell legyen WAN ebben a konfigurációban).

A kijelölések elvégzése után feltétlenül kattintson a „Mentés” gombra az oldal alján, majd kattintson a „Módosítások alkalmazása” gombra, amely a lap tetején fog megjelenni. az oldal.

A következő lépés a pfBlockerNG konfigurációjának első lépése. Lépjen a pfBlockerNG konfigurációs oldalára a „Tűzfal” menüben, majd kattintson a „pfBlockerNG” elemre.

A pfBlockerNG betöltése után először kattintson a „DNSBL” fülre a DNS-listák beállításának megkezdéséhez, mielőtt aktiválná a pfBlockerNG-t.

Amikor a „DNSBL” oldal betöltődik, egy új menüsor jelenik meg a pfBlockerNG menük alatt (alul zölddel kiemelve). Az első elem, amellyel foglalkozni kell, a „DNSBL engedélyezése” jelölőnégyzet (alább zölddel kiemelve).

Ehhez a jelölőnégyzethez az UnBound DNS feloldót kell használni a pfSense mezőben a LAN-kliensektől érkező DNS-kérések ellenőrzéséhez. Ne aggódjon, az UnBound korábban lett konfigurálva, de ezt a négyzetet be kell jelölni! A másik elem, amelyet ki kell tölteni ezen a képernyőn, a „DNSBL virtuális IP-cím”.

Ennek az IP-nek a magánhálózati tartományban kell lennie, és nem érvényes IP-cím azon a hálózaton, amelyben a pfSense-t használják. Például egy 192.168.0.0/24 LAN-hálózat használhatja a 10.0.0.1 IP-címet, mivel ez egy privát IP-cím, és nem része a LAN-hálózatnak.

Ezt az IP-címet statisztikák gyűjtésére, valamint a pfBlockerNG által elutasított tartományok figyelésére fogják használni.

Az oldalt lefelé görgetve van még néhány említésre méltó beállítás. Az első a „DNSBL Listening Interface”. Ennél a beállításnál és a legtöbb beállításnál ezt a beállítást „LAN” értékre kell állítani.

A másik beállítás a „Műveletlista” a „DNSBL IP tűzfal beállításai” részben. Ez a beállítás határozza meg, hogy mi történjen, ha egy DNSBL-hírcsatorna IP-címeket biztosít.

A pfBlockerNG szabályok tetszőleges számú művelet végrehajtására állíthatók be, de valószínűleg a „Mindkettő tagadása” lesz a kívánt lehetőség. Ez megakadályozza a bejövő és kimenő kapcsolatokat a DNSBL-hírcsatorna IP-címéhez/tartományához.

Miután kiválasztotta az elemeket, görgessen az oldal aljára, és kattintson a „Mentés” gombra. Az oldal újratöltése után ideje konfigurálni a használni kívánt DNS-blokklistákat.

A pfBlockerNG két lehetőséget biztosít az adminisztrátornak, amelyeket az adminisztrátor preferenciáitól függően egymástól függetlenül vagy együtt lehet konfigurálni. A két lehetőség más weboldalakról vagy az EasyLists listákról származó kézi feedek.

Ha többet szeretne megtudni a különböző EasyListekről, látogasson el a projekt honlapjára: https://easylist.to/

A pfBlockerNG EasyList beállítása

Először beszéljük meg és konfiguráljuk az EasyListeket. A legtöbb otthoni felhasználó ezeket a listákat elegendőnek és adminisztratív szempontból legkevésbé terhesnek találja.

A pfBlockerNG-ben elérhető két EasyList az „EasyList elemrejtés nélkül” és az „EasyPrivacy”. E listák valamelyikének használatához először kattintson a „DNSBL EasyList” elemre az oldal tetején.

Az oldal újratöltése után elérhetővé válik az EasyList konfigurációs szakasz. A következő beállításokat kell konfigurálni:

  • DNS-csoport neve – a felhasználó választása, speciális karakterek nélkül
  • Leírás – A felhasználó választása, speciális karakterek megengedettek
  • EasyList hírcsatornák állapota – A konfigurált lista használatban van-e
  • EasyList hírcsatorna – Melyik listát kell használni (EasyList vagy EasyPrivacy), mindkettő hozzáadható
  • Fejléc/Címke – A felhasználó választása, de nincsenek speciális karakterek

A következő szakasz annak meghatározására szolgál, hogy a listák mely részei lesznek blokkolva. Ezek ismét a felhasználói preferenciák, és több is kiválasztható, ha kívánja. A „DNSBL – EasyList beállítások” fontos beállításai a következők:

  • Kategóriák – Felhasználói preferenciák és több is kiválasztható
  • Listaművelet – A DNS-kérelmek ellenőrzéséhez „Nincs kötve” értékre kell állítani
  • Frissítési gyakoriság – Milyen gyakran frissíti a pfSense a rossz webhelyek listáját

Ha az EasyList beállításai a felhasználó preferenciái szerint vannak konfigurálva, görgessen le az oldal aljára, és kattintson a „Mentés” gombra. Az oldal újratöltése után görgessen az oldal tetejére, és kattintson a „Frissítés” fülre.

A frissítés lapon jelölje be az „Újratöltés” választógombot, majd a „Minden” választógombot. Ez egy sor webes letöltésen keresztül fut le, hogy megkapja az EasyList konfigurációs oldalon korábban kiválasztott blokklistákat.

Ezt manuálisan kell megtenni, különben a listák nem töltődnek le az ütemezett cron feladatig. Bármikor módosításokat hajt végre (listák hozzáadása vagy eltávolítása), feltétlenül futtassa ezt a lépést.

Figyelje meg az alábbi naplóablakot az esetleges hibákért. Ha minden a tervek szerint ment, a tűzfal LAN oldalán lévő kliensgépeknek képesnek kell lenniük lekérdezni a pfSense tűzfalat az ismert rossz oldalak után, és cserébe rossz IP-címeket kell kapniuk. Az ügyfélgépeket ismét be kell állítani, hogy a pfsense dobozt használják DNS-feloldóként!

Figyelje meg a fenti nslookupban, hogy az url a pfBlockerNG konfigurációkban korábban beállított hamis IP-címet adja vissza. Ez a kívánt eredmény. Ez azt eredményezné, hogy a „100pour.com” URL-re irányuló kérések a 10.0.0.1 hamis IP-címre irányulnak.

A pfSense DNSBL-hírcsatornáinak konfigurálása

Az AdBlock EasyLists-ekkel ellentétben lehetőség van más DNS-fekete listák használatára is a pfBlockerNG-n belül. Több száz lista létezik, amelyek nyomon követhetők a rosszindulatú programok parancsai és vezérlése, a spyware, adware, a tor csomópontok és mindenféle más hasznos lista.

Ezek a listák gyakran behúzhatók a pfBlockerNG-be, és további DNS feketelistaként is használhatók. Van néhány forrás, amely hasznos listákat tartalmaz:

  • https://forum.pfsense.org/index.php?topic=114499.0
  • https://forum.pfsense.org/index.php?topic=102470.0
  • https://forum.pfsense.org/index.php?topic=86212.0

A fenti linkek a pfSense fórumának szálait biztosítják, ahol a tagok az általuk használt listák nagy gyűjteményét tettek közzé. A szerző néhány kedvenc listája a következőket tartalmazza:

  • http://adaway.org/hosts.txt
  • http://www.malwaredomainlist.com/hostslist/hosts.txt
  • http://pgl.yoyo.org/adservers/serverlist.php?hostformat=hosts&mimetype=plaintext
  • https://zeustracker.abuse.ch/blocklist.php?download=domainblocklist
  • https://gist.githubusercontent.com/BBcan177/4a8bf37c131be4803cb2/raw

Ismét rengeteg más lista van, és a szerző határozottan bátorítja az egyéneket, hogy keressenek több/más listát. De folytassuk a konfigurációs feladatokkal.

Az első lépés az, hogy ismét be kell lépni a pfBlockerNG konfigurációs menüjébe a „Tűzfal->pfBlockerNG-> segítségével. „DSNBL”.

A DNSBL konfigurációs oldalán ismét kattintson a „DNSBL-hírcsatornák” szövegre, majd az oldal frissítése után kattintson a „Hozzáadás” gombra.

A hozzáadás gombbal az adminisztrátor további hibás IP-címeket vagy DNS-neveket tartalmazó listákat adhat hozzá a pfBlockerNG szoftverhez (a listában már szereplő két elem a szerző teszteléséből származik). A hozzáadás gomb egy oldalra viszi a rendszergazdát, ahol DNSBL-listákat adhat hozzá a tűzfalhoz.

A kimenet fontos beállításai a következők:

  • DNS-csoport neve – kiválasztott felhasználó
  • Leírás – Hasznos a csoportok rendszerezéséhez
  • DNSBL-beállítások – Ezek a tényleges listák
    • Állam – Felhasználják-e a forrást vagy sem, és hogyan szerezték be
    • Forrás – A DNS feketelista hivatkozása/forrása
    • Fejléc/címke – Felhasználó választása; nincsenek speciális karakterek
  • Listaművelet – Kötelezetlen értékre állítva
  • Frissítési gyakoriság – Milyen gyakran kell frissíteni a listát

A beállítások megadása után kattintson a mentés gombra az oldal alján. A pfBlockerNG minden módosításához hasonlóan a módosítások a következő ütemezett cron-intervallumban lépnek életbe, vagy a rendszergazda manuálisan is kényszerítheti az újratöltést a „Frissítés” lapra navigálással, majd kattintson az „Újratöltés<” gombra." választógombot, majd kattintson a "Összes" választógombra. Miután kiválasztotta ezeket, kattintson a „Futtatás” gombra.

Figyelje meg az alábbi naplóablakot az esetleges hibákért. Ha minden a tervek szerint ment, tesztelje a listák működését úgy, hogy egyszerűen megkísérel egy nslookup-ot a LAN-oldalon lévő kliensről a DNSBL konfigurációban használt szövegfájlok egyikében felsorolt tartományok egyikére.

Amint a fenti kimenetből látható, a pfSense eszköz a pfBlockerNG-ben beállított virtuális IP-címet adja vissza a feketelista-tartományok rossz IP-címeként.

Ezen a ponton a rendszergazda folytathatja a listák hangolását további listák hozzáadásával vagy egyéni tartomány-/IP-listák létrehozásával. A pfBlockerNG továbbra is hamis IP-címre irányítja át ezeket a korlátozott tartományokat.

Köszönjük, hogy elolvasta ezt a cikket a pfBlockerNG-ről. Kérjük, fejezze ki elismerését vagy támogatását a pfSense szoftver és a pfBlockerNG iránt azáltal, hogy minden lehetséges módon hozzájárul mindkét csodálatos termék folyamatos fejlesztéséhez. Mint mindig, kérjük, kommentelje alább, ha bármilyen javaslata vagy kérdése van!