Asenna ja määritä pfBlockerNg DNS-mustalle listalle pfSense Firewallissa

Aiemmassa artikkelissa keskusteltiin tehokkaan FreeBSD-pohjaisen pfSensen palomuuriratkaisun asentamisesta. pfSense, kuten aikaisemmassa artikkelissa mainittiin, on erittäin tehokas ja joustava palomuuriratkaisu, joka voi hyödyntää vanhaa tietokonetta, joka ei ehkä tee paljon.

Tässä artikkelissa puhutaan upeasta pfsensen lisäosapaketista nimeltä pfBlockerNG.

pfBlockerNG on paketti, joka voidaan asentaa pfSenseen ja antaa palomuurin järjestelmänvalvojalle mahdollisuuden laajentaa palomuurin ominaisuuksia perinteisen tilallisen L2/L3/L4-palomuurin ulkopuolelle.

Kun hyökkääjien ja verkkorikollisten valmiudet kehittyvät jatkuvasti, on kehitettävä myös heidän ponnistelunsa estämiseksi käyttöön otettua puolustusta. Kuten missä tahansa tietokonemaailmassa, ei ole olemassa yhtä ratkaisua, joka korjaa kaikkia tuotteita.

pfBlockerNG tarjoaa pfSensen palomuurille mahdollisuuden tehdä salliviin/kieltäytyviin päätöksiin perustuvia kohteita, kuten IP-osoitteen maantieteellinen sijainti, resurssin verkkotunnus tai tiettyjen verkkosivustojen Alexa-luokitukset.

Mahdollisuus rajoittaa kohteita, kuten verkkotunnusten nimiä, on erittäin edullinen, koska sen avulla järjestelmänvalvojat voivat estää sisäisten koneiden yritykset muodostaa yhteys tunnettuihin huonoihin verkkotunnuksiin (toisin sanoen verkkotunnuksiin, joiden tiedetään sisältävän haittaohjelmia, laitonta sisältöä tai muita salakavalat tiedot).

Tässä oppaassa käydään läpi pfSense-palomuurilaitteen määrittäminen käyttämään pfBlockerNG-pakettia sekä joitain perusesimerkkejä toimialueen estoluetteloista, jotka voidaan lisätä/konfiguroida pfBlockerNG-työkaluun.

Vaatimukset

Tässä artikkelissa tehdään muutama oletus ja se perustuu aiempaan pfSense-asennusartikkeliin. Oletukset ovat seuraavat:

  • pfSense on jo asennettu, eikä sillä ole tällä hetkellä määritettyjä sääntöjä (puhdas pöytä).
  • Palomuurissa on vain WAN- ja LAN-portti (2 porttia).
  • LAN-puolella käytetty IP-malli on 192.168.0.0/24.

On huomattava, että pfBlockerNG voidaan määrittää jo käynnissä olevaan/konfiguroituun pfSense-palomuuriin. Syy näille olettamuksille on yksinkertaisesti järkeä ja monet suoritettavat tehtävät voidaan silti tehdä ei-puhtaalla pfSense-laatikolla.

Laboratoriokaavio

Alla oleva kuva on tässä artikkelissa käytettävän pfSense-ympäristön laboratoriokaavio.

Asenna pfBlockerNG for pfSense

Kun laboratorio on valmis lähtemään, on aika aloittaa! Ensimmäinen askel on muodostaa yhteys pfSense-palomuurin verkkokäyttöliittymään. Tämäkin laboratorioympäristö käyttää verkkoa 192.168.0.0/24, ja palomuuri toimii yhdyskäytävänä, jonka osoite on 192.168.0.1. Kun käytät verkkoselainta ja siirryt osoitteeseen https://192.168.0.1, näkyviin tulee pfSense-kirjautumissivu.

Jotkut selaimet voivat valittaa SSL-sertifikaatista, tämä on normaalia, koska pfSense-palomuuri allekirjoittaa varmenteen itse. Voit hyväksyä varoitusviestin turvallisesti ja halutessasi voidaan asentaa laillisen CA:n allekirjoittama voimassa oleva varmenne, mutta se ei kuulu tämän artikkelin piiriin.

Kun olet napsauttanut onnistuneesti Lisäasetukset ja sitten Lisää poikkeus…, vahvista suojauspoikkeus napsauttamalla. Tämän jälkeen pfSense-kirjautumissivu tulee näkyviin ja antaa järjestelmänvalvojan kirjautua palomuurilaitteistoon.

Kun olet kirjautunut pfSense-pääsivulle, napsauta avattavaa Järjestelmä-valikkoa ja valitse sitten Paketinhallinta.

Tämän linkin napsauttaminen vaihtaa paketinhallintaikkunaan. Ensimmäinen ladattava sivu on kaikki tällä hetkellä asennetut paketit ja se on tyhjä (jälleen tämä opas olettaa puhtaan pfSense-asennuksen). Napsauta tekstiä Saatavilla olevat paketit, niin saat luettelon pfSensen asennettavista paketeista.

Kun Saatavilla olevat paketit -sivu latautuu, kirjoita pfblocker Hakutermi-kenttään ja napsauta Haku<'. Ensimmäisen palautettavan kohteen tulee olla pfBlockerNG. Etsi pfBlockerNG-kuvauksen oikealta puolelta Asenna-painike ja asenna paketti napsauttamalla +-painiketta.

Sivu latautuu uudelleen ja pyytää järjestelmänvalvojaa vahvistamaan asennuksen napsauttamalla Vahvista.

Vahvistuksen jälkeen pfSense alkaa asentaa pfBlockerNG:tä. Älä navigoi pois asennussivulta! Odota, kunnes sivulla näkyy onnistunut asennus.

Kun asennus on valmis, pfBlockerNG-määritys voi alkaa. Ensimmäinen tehtävä, joka on kuitenkin suoritettava, on joitain selityksiä siitä, mitä tapahtuu, kun pfBlockerNG on määritetty oikein.

Kun pfBlockerNG on määritetty, pfSense-palomuurin, joka käyttää pfBlockerNG-ohjelmistoa, tulee siepata verkkosivustojen DNS-pyynnöt. pfBlockerNG:llä on sitten päivitetyt luettelot tunnetuista huonoista verkkotunnuksista, jotka on kartoitettu huonoon IP-osoitteeseen.

pfSense-palomuurin on siepattava DNS-pyynnöt voidakseen suodattaa huonot verkkotunnukset ja käyttää paikallista DNS-selvittäjää, joka tunnetaan nimellä UnBound. Tämä tarkoittaa, että LAN-liitännän asiakkaiden on käytettävä pfSense-palomuuria DNS-selvittäjänä.

Jos asiakas pyytää verkkotunnusta, joka on pfBlockerNG:n estolistalla, pfBlockerNG palauttaa väärän IP-osoitteen toimialueelle. Aloitetaan prosessi!

pfBlockerNG pfSensen asetukset

Ensimmäinen vaihe on ottaa käyttöön UnBound DNS -ratkaisu pfSense-palomuurissa. Voit tehdä tämän napsauttamalla avattavaa Palvelut-valikkoa ja valitsemalla sitten DNS Resolver.

Kun sivu latautuu uudelleen, DNS-ratkaisun yleisasetukset ovat määritettävissä. Tämä ensimmäinen määritettävä vaihtoehto on Ota DNS Resolver käyttöön -valintaruutu.

Seuraavat asetukset ovat DNS-kuunteluportin asettaminen (yleensä portti 53), verkkoliitäntöjen asettaminen, joita DNS-selvittimen tulee kuunnella (tässä kokoonpanossa sen pitäisi olla LAN-portti ja Localhost) ja sitten lähtöportti (pitäisi olla WAN tässä kokoonpanossa).

Kun valinnat on tehty, muista klikata Tallenna sivun alareunassa ja klikata sitten Käytä muutokset -painiketta, joka tulee näkyviin sivun yläosaan. sivulle.

Seuraava vaihe on ensimmäinen vaihe erityisesti pfBlockerNG:n määrittämisessä. Siirry pfBlockerNG-määrityssivulle Palomuuri-valikon alla ja napsauta sitten pfBlockerNG.

Kun pfBlockerNG on ladattu, napsauta ensin DNSBL-välilehteä aloittaaksesi DNS-luetteloiden määrityksen ennen pfBlockerNG:n aktivointia.

Kun DNSBL-sivu latautuu, pfBlockerNG-valikoiden alla on uusia valikkoja (korostettu vihreällä alla). Ensimmäinen korjattava kohde on Ota DNSBL käyttöön -valintaruutu (korostettu vihreällä alla).

Tämä valintaruutu edellyttää, että pfSense-ruudussa on käytettävä UnBound DNS -ratkaisua LAN-asiakkaiden dns-pyyntöjen tarkastamiseksi. Älä huoli UnBound määritettiin aiemmin, mutta tämä ruutu on valittava! Toinen tässä näytössä täytettävä kohta on DNSBL Virtual IP.

Tämän IP-osoitteen on oltava yksityisen verkon alueella eikä kelvollinen IP-osoite verkossa, jossa pfSenseä käytetään. Esimerkiksi LAN-verkko osoitteessa 192.168.0.0/24 voi käyttää IP-osoitetta 10.0.0.1, koska se on yksityinen IP-osoite eikä osa LAN-verkkoa.

Tätä IP-osoitetta käytetään tilastojen keräämiseen sekä verkkotunnuksien seurantaan, jotka pfBlockerNG hylkää.

Sivua vierittäessä alaspäin on muutamia mainitsemisen arvoisia asetuksia. Ensimmäinen on DNSBL-kuunteluliittymä. Tässä asetuksessa ja useimmissa asetuksissa tämän asetuksen tulee olla LAN.

Toinen asetus on Listatoiminto kohdassa DNSBL IP Firewall Settings. Tämä asetus määrittää, mitä tapahtuu, kun DNSBL-syöte tarjoaa IP-osoitteita.

pfBlockerNG-säännöt voidaan määrittää suorittamaan mitä tahansa toimintoja, mutta todennäköisesti Estä molemmat on haluttu vaihtoehto. Tämä estää saapuvat ja lähtevät yhteydet DNSBL-syötteen IP-osoitteeseen/verkkoalueeseen.

Kun kohteet on valittu, vieritä sivun alaosaan ja napsauta Tallenna-painiketta. Kun sivu latautuu uudelleen, on aika määrittää käytettävät DNS-estoluettelot.

pfBlockerNG tarjoaa järjestelmänvalvojalle kaksi vaihtoehtoa, jotka voidaan määrittää erikseen tai yhdessä järjestelmänvalvojan mieltymysten mukaan. Nämä kaksi vaihtoehtoa ovat manuaalisia syötteitä muilta verkkosivuilta tai EasyLists-luetteloista.

Lue lisää erilaisista EasyListeistä projektin kotisivulta: https://easylist.to/

Määritä pfBlockerNG EasyList

Keskustellaan ja määritetään ensin EasyLists. Useimmat kotikäyttäjät pitävät näitä luetteloita riittävinä ja vähiten hallinnollisesti raskaina.

Kaksi pfBlockerNG:ssä saatavilla olevaa EasyList-listaa ovat EasyList ilman elementtien piilottamista ja EasyPrivacy. Jos haluat käyttää jotakin näistä luetteloista, napsauta ensin DNSBL EasyList -kuvaketta sivun yläreunassa.

Kun sivu latautuu uudelleen, EasyList-määritysosio tulee saataville. Seuraavat asetukset on määritettävä:

  • DNS-ryhmän nimi – Käyttäjän valinta, mutta ei erikoismerkkejä
  • Kuvaus – Käyttäjän valinta, erikoismerkit sallittu
  • EasyList-syötteiden tila – Käytetäänkö määritettyä luetteloa
  • EasyList-syöte – Mitä listaa käytetään (EasyList vai EasyPrivacy), molemmat voidaan lisätä
  • Otsikko/tunniste – Käyttäjän valinta, mutta ei erikoismerkkejä

Seuraavaa osaa käytetään määrittämään, mitkä luettelon osat estetään. Jälleen nämä ovat kaikki käyttäjän mieltymyksiä ja useita voidaan valita haluttaessa. Tärkeät asetukset DNSBL – EasyList Settings -kohdassa ovat seuraavat:

  • Luokat – Voit valita käyttäjän mieltymyksiä ja useita
  • Luettelotoiminto – täytyy asettaa arvoon "Ei sidottu", jotta DNS-pyynnöt voidaan tarkastaa
  • Päivitystiheys – kuinka usein pfSense päivittää huonojen sivustojen luettelon

Kun EasyList-asetukset on määritetty käyttäjän mieltymysten mukaan, muista selata sivun alareunaan ja klikata Tallenna-painiketta. Kun sivu latautuu uudelleen, vieritä sivun yläosaan ja napsauta Päivitä-välilehteä.

Kun olet päivitysvälilehdellä, valitse Lataa uudelleen -valintanappi ja valitse sitten Kaikki. Tämä suoritetaan useiden verkkolatausten läpi, jotta saadaan aiemmin EasyList-määrityssivulla valitut estoluettelot.

Tämä on tehtävä manuaalisesti, muuten luetteloita ei ladata ennen ajoitettua cron-tehtävää. Aina kun muutoksia tehdään (lisätään tai poistetaan luetteloita), suorita tämä vaihe.

Katso alla olevasta lokiikkunasta mahdolliset virheet. Jos kaikki meni suunnitelmien mukaan, palomuurin LAN-puolella olevien asiakaskoneiden pitäisi pystyä tiedustelemaan pfSense-palomuurilta tunnettuja huonoja sivustoja ja saamaan vastineeksi huonoja IP-osoitteita. Jälleen asiakaskoneet on asetettava käyttämään pfsense-laatikkoa DNS-selvittäjänä!

Huomaa yllä olevassa nslookupissa, että url palauttaa väärän IP-osoitteen, joka on määritetty aiemmin pfBlockerNG-kokoonpanoissa. Tämä on haluttu tulos. Tämä johtaisi siihen, että kaikki URL-osoitteen 100pour.com pyynnöt ohjataan väärään IP-osoitteeseen 10.0.0.1.

Määritä pfSensen DNSBL-syötteet

Toisin kuin AdBlock EasyLists, pfBlockerNG:ssä on myös mahdollisuus käyttää muita DNS-mustia listoja. On olemassa satoja luetteloita, joita käytetään haittaohjelmien komentojen ja hallinnan, vakoiluohjelmien, mainosohjelmien, tor-solmujen ja kaikenlaisten muiden hyödyllisten luetteloiden seuraamiseen.

Nämä luettelot voidaan usein vetää pfBlockerNG:hen ja käyttää myös muina DNS-mustina listoina. On olemassa useita hyödyllisiä luetteloita tarjoavia resursseja:

  • https://forum.pfsense.org/index.php?topic=114499.0
  • https://forum.pfsense.org/index.php?topic=102470.0
  • https://forum.pfsense.org/index.php?topic=86212.0

Yllä olevat linkit tarjoavat säikeitä pfSensen foorumille, jossa jäsenet ovat julkaisseet suuren kokoelman käyttämiään luetteloita. Jotkut kirjoittajan suosikkiluetteloista ovat seuraavat:

  • http://adaway.org/hosts.txt
  • http://www.malwaredomainlist.com/hostslist/hosts.txt
  • http://pgl.yoyo.org/adservers/serverlist.php?hostformat=hosts&mimetype=plaintext
  • https://zeustracker.abuse.ch/blocklist.php?download=domainblocklist
  • https://gist.githubusercontent.com/BBcan177/4a8bf37c131be4803cb2/raw

Jälleen on paljon muita luetteloita, ja kirjoittaja rohkaisee voimakkaasti ihmisiä etsimään lisää/muita luetteloita. Jatketaan kuitenkin konfigurointitehtävillä.

Ensimmäinen vaihe on siirtyä uudelleen pfBlockerNG:n määritysvalikkoon Palomuuri - -> "pfBlockerNG" -> kautta. DSNBL.

Kun olet jälleen DNSBL-määrityssivulla, napsauta DNSBL-syötteet-tekstiä ja napsauta sitten Lisää-painiketta, kun sivu päivittyy.

Lisää-painikkeen avulla järjestelmänvalvoja voi lisätä luetteloita huonoista IP-osoitteista tai DNS-nimistä pfBlockerNG-ohjelmistoon (kaksi luettelossa olevaa kohdetta ovat tekijän testauksesta). Lisää-painike tuo järjestelmänvalvojan sivulle, jolla DNSBL-luetteloita voidaan lisätä palomuuriin.

Tämän lähdön tärkeät asetukset ovat seuraavat:

  • DNS-ryhmän nimi – Käyttäjä valittu
  • Kuvaus – Hyödyllinen ryhmien järjestämisessä
  • DNSBL-asetukset – Nämä ovat todellisia luetteloita
    • Tila – Käytetäänkö kyseistä lähdettä vai ei ja miten se hankitaan
    • Lähde – DNS-mustan listan linkki/lähde
    • Otsikko/tunniste – Käyttäjän valinta; ei erikoismerkkejä
  • Luettelotoiminto – Aseta arvoon Ei sitova
  • Päivitystiheys – kuinka usein luettelo tulee päivittää

Kun nämä asetukset on määritetty, napsauta tallenna-painiketta sivun alareunassa. Kuten kaikki pfBlockerNG:n muutokset, muutokset tulevat voimaan seuraavana ajoitetun cron-välin aikana tai järjestelmänvalvoja voi pakottaa uudelleenlatauksen manuaalisesti siirtymällä Päivitä-välilehdelle ja napsauttamalla Lataa uudelleen<."-valintanappia ja napsauta sitten Kaikki-valintanappia. Kun ne on valittu, napsauta Suorita-painiketta.

Katso alla olevasta lokiikkunasta mahdolliset virheet. Jos kaikki meni suunnitelmien mukaan, testaa luetteloiden toimivuus yrittämällä yksinkertaisesti tehdä nslookup LAN-puolen asiakkaalta johonkin DNSBL-kokoonpanossa käytetyssä tekstitiedostossa lueteltuihin toimialueisiin.

Kuten yllä olevasta lähdöstä voidaan nähdä, pfSense-laite palauttaa virtuaalisen IP-osoitteen, joka määritettiin pfBlockerNG:ssä mustan listan verkkotunnusten huonoksi IP-osoitteeksi.

Tässä vaiheessa järjestelmänvalvoja voi jatkaa luetteloiden virittämistä lisäämällä luetteloita tai luomalla mukautettuja verkkotunnus-/IP-luetteloita. pfBlockerNG jatkaa näiden rajoitettujen verkkotunnusten uudelleenohjausta väärennettyyn IP-osoitteeseen.

Kiitos, että luit tämän pfBlockerNG-artikkelin. Osoita arvostustasi tai tukesi pfSense-ohjelmistolle sekä pfBlockerNG:lle osallistumalla kaikin mahdollisin tavoin näiden molempien upeiden tuotteiden jatkuvaan kehittämiseen. Kuten aina, kommentoi alle, jos sinulla on ehdotuksia tai kysymyksiä!