Instal·leu i configureu pfBlockerNg per a la llista negra de DNS al tallafocs pfSense

En un article anterior es va parlar de la instal·lació d'una potent solució de tallafoc basada en FreeBSD coneguda com pfSense. pfSense, com s'ha esmentat a l'article anterior, és una solució de tallafocs molt potent i flexible que pot fer ús d'un ordinador antic que pot ser que no faci gaire.

Aquest article parlarà d'un meravellós paquet de complements per a pfsense anomenat pfBlockerNG.

pfBlockerNG és un paquet que es pot instal·lar a pfSense per proporcionar a l'administrador del tallafoc la possibilitat d'estendre les capacitats del tallafoc més enllà del tallafoc L2/L3/L4 amb estat tradicional.

A mesura que les capacitats dels atacants i els ciberdelinqüents continuen avançant, també ho faran les defenses que es posen en marxa per frustrar els seus esforços. Com amb qualsevol cosa al món de la informàtica, no hi ha una solució única que solucioni tots els productes.

pfBlockerNG ofereix a pfSense la possibilitat que el tallafoc permeti/denegui decisions basades en elements com ara la geolocalització d'una adreça IP, el nom de domini d'un recurs o les puntuacions d'Alexa de llocs web concrets.

La possibilitat de restringir elements com els noms de domini és molt avantatjosa, ja que permet als administradors frustrar els intents de màquines internes que intenten connectar-se a dominis dolents coneguts (és a dir, dominis que se sap que tenen programari maliciós, contingut il·legal o altres). dades insidioses).

Aquesta guia explicarà la configuració d'un dispositiu tallafocs pfSense per utilitzar el paquet pfBlockerNG, així com alguns exemples bàsics de llistes de bloqueig de dominis que es poden afegir/configurar a l'eina pfBlockerNG.

Aquest article farà un parell de suposicions i es basarà en l'article d'instal·lació anterior sobre pfSense. Els supòsits seran els següents:

  • pfSense ja està instal·lat i no té regles configurades actualment (neteja).
  • El tallafoc només té una WAN i un port LAN (2 ports).
  • L'esquema d'IP que s'utilitza al costat de la LAN és 192.168.0.0/24.

Cal tenir en compte que pfBlockerNG es pot configurar en un tallafoc pfSense ja en execució/configurat. El motiu d'aquestes suposicions aquí és simplement per la raó del cor i moltes de les tasques que es completaran encara es poden fer en una caixa pfSense no neta.

La imatge següent és el diagrama de laboratori de l'entorn pfSense que s'utilitzarà en aquest article.

Instal·leu pfBlockerNG per a pfSense

Amb el laboratori a punt per començar, és hora de començar! El primer pas és connectar-se a la interfície web del tallafoc pfSense. Un cop més, aquest entorn de laboratori utilitza la xarxa 192.168.0.0/24 amb el tallafoc que actua com a passarel·la amb una adreça de 192.168.0.1. Si utilitzeu un navegador web i navegueu a https://192.168.0.1, es mostrarà la pàgina d'inici de sessió de pfSense.

Alguns navegadors poden queixar-se del certificat SSL, això és normal ja que el certificat està signat pel tallafoc pfSense. Podeu acceptar el missatge d'advertència amb seguretat i, si ho desitgeu, es pot instal·lar un certificat vàlid signat per una CA legítima, però està fora de l'abast d'aquest article.

Després de fer clic a Avançat i després a Afegeix una excepció..., feu clic per confirmar l'excepció de seguretat. La pàgina d'inici de sessió de pfSense es mostrarà i permetrà que l'administrador iniciï sessió al dispositiu tallafoc.

Un cop hàgiu iniciat sessió a la pàgina principal de pfSense, feu clic al menú desplegable Sistema i, a continuació, seleccioneu Gestor de paquets.

En fer clic en aquest enllaç canviarà a la finestra del gestor de paquets. La primera pàgina a carregar seran tots els paquets instal·lats actualment i estaran en blanc (de nou aquesta guia suposa una instal·lació neta de pfSense). Feu clic al text Paquets disponibles per obtenir una llista de paquets instal·lables per a pfSense.

Un cop es carregui la pàgina Paquets disponibles, escriviu pfblocker al quadre Terme de cerca i feu clic a Cerca. El primer element que es retorna hauria de ser pfBlockerNG. Localitzeu el botó Instal·lar a la dreta de la descripció de pfBlockerNG i feu clic al '+' per instal·lar el paquet.

La pàgina es tornarà a carregar i demanarà a l'administrador que confirmi la instal·lació fent clic a Confirmar.

Un cop confirmat, pfSense començarà a instal·lar pfBlockerNG. No us allunyeu de la pàgina de l'instal·lador! Espereu fins que la pàgina mostri la instal·lació correcta.

Un cop finalitzada la instal·lació, es pot començar la configuració de pfBlockerNG. Tanmateix, la primera tasca que s'ha de completar són algunes explicacions sobre què passarà un cop pfBlockerNG estigui configurat correctament.

Un cop configurat pfBlockerNG, les sol·licituds de DNS dels llocs web haurien de ser interceptades pel tallafoc pfSense que executa el programari pfBlockerNG. pfBlockerNG tindrà llistes actualitzades de dominis dolents coneguts que s'assignen a una adreça IP incorrecta.

El tallafoc pfSense ha d'interceptar les sol·licituds de DNS per poder filtrar dominis dolents i utilitzarà un solucionador de DNS local conegut com UnBound. Això significa que els clients de la interfície LAN han d'utilitzar el tallafoc pfSense com a solucionador de DNS.

Si el client sol·licita un domini que es troba a les llistes de bloqueig de pfBlockerNG, pfBlockerNG retornarà una adreça IP falsa per al domini. Comencem el procés!

Configuració de pfBlockerNG per a pfSense

El primer pas és habilitar la resolució de DNS UnBound al tallafoc pfSense. Per fer-ho, feu clic al menú desplegable Serveis i, a continuació, seleccioneu Resolució DNS.

Quan la pàgina es torni a carregar, la configuració general de la resolució de DNS es podrà configurar. Aquesta primera opció que s'ha de configurar és la casella de selecció Activa el resolutor de DNS.

La configuració següent consisteix a establir el port d'escolta DNS (normalment el port 53), establir les interfícies de xarxa que hauria d'escoltar el resolutor de DNS (en aquesta configuració, hauria de ser el port LAN i Localhost) i després establir el port de sortida (hauria de ser WAN en aquesta configuració).

Un cop fetes les seleccions, assegureu-vos de fer clic a Desa a la part inferior de la pàgina i després feu clic al botó Aplica els canvis que apareixerà a la part superior de la pàgina.

El següent pas és el primer pas en la configuració de pfBlockerNG específicament. Aneu a la pàgina de configuració de pfBlockerNG al menú Firewall i feu clic a pfBlockerNG.

Un cop s'hagi carregat pfBlockerNG, primer feu clic a la pestanya DNSBL per començar a configurar les llistes de DNS abans d'activar pfBlockerNG.

Quan es carregui la pàgina DNSBL, hi haurà un nou conjunt de menús a sota dels menús de pfBlockerNG (ressaltats en verd a continuació). El primer element que cal abordar és la casella de selecció Activa DNSBL (ressaltat en verd a continuació).

Aquesta casella de selecció requerirà que s'utilitzi el resolutor DNS UnBound a la casella pfSense per inspeccionar les sol·licituds de DNS dels clients de la LAN. No us preocupeu, UnBound s'ha configurat abans, però s'haurà de marcar aquesta casella! L'altre element que s'ha d'emplenar en aquesta pantalla és la IP virtual DNSBL.

Aquesta IP ha d'estar a l'interval de la xarxa privada i no una IP vàlida a la xarxa en què s'utilitza pfSense. Per exemple, una xarxa LAN a 192.168.0.0/24 podria utilitzar una IP de 10.0.0.1, ja que és una IP privada i no forma part de la xarxa LAN.

Aquesta IP s'utilitzarà per recopilar estadístiques i controlar els dominis que pfBlockerNG rebutja.

Desplaçant-vos cap avall per la pàgina, hi ha algunes configuracions més que val la pena esmentar. El primer és la Interfície d'escolta DNSBL. Per a aquesta configuració, i la majoria de les configuracions, aquesta configuració s'hauria d'establir a LAN.

L'altra configuració és Acció de llista a Configuració del tallafoc IP DNSBL. Aquesta configuració determina què hauria de passar quan un canal DNSBL proporciona adreces IP.

Les regles pfBlockerNG es poden configurar per fer qualsevol nombre d'accions, però el més probable és que Denegar les dues sigui l'opció desitjada. Això evitarà les connexions entrants i sortints a la IP/domini del canal DNSBL.

Un cop seleccionats els elements, desplaceu-vos fins a la part inferior de la pàgina i feu clic al botó Desa. Un cop tornada a carregar la pàgina, és hora de configurar les llistes de bloqueig de DNS que s'han d'utilitzar.

pfBlockerNG ofereix a l'administrador dues opcions que es poden configurar de manera independent o conjuntament segons les preferències de l'administrador. Les dues opcions són feeds manuals d'altres pàgines web o EasyLists.

Per obtenir més informació sobre les diferents EasyLists, visiteu la pàgina d'inici del projecte: https://easylist.to/

Configura pfBlockerNG EasyList

Primer parlem i configurem les EasyLists. La majoria dels usuaris domèstics trobaran que aquestes llistes són suficients, així com les menys costoses administrativament.

Les dues EasyLists disponibles a pfBlockerNG són EasyList w/o Element Hiding i EasyPrivacy. Per utilitzar una d'aquestes llistes, primer feu clic a DNSBL EasyList a la part superior de la pàgina.

Un cop es torni a carregar la pàgina, la secció de configuració EasyList estarà disponible. S'hauran de configurar els paràmetres següents:

  • Nom del grup DNS: elecció de l'usuari però sense caràcters especials
  • Descripció: elecció de l'usuari, caràcters especials permesos
  • Estat dels canals EasyList: si s'utilitza la llista configurada
  • Feed EasyList: quina llista utilitzar (EasyList o EasyPrivacy) es poden afegir totes dues
  • Capçalera/Etiqueta: elecció de l'usuari però sense caràcters especials

La secció següent s'utilitza per determinar quines parts de les llistes es bloquejaran. De nou, aquestes són totes les preferències de l'usuari i es poden seleccionar múltiples si es desitja. Els paràmetres importants a DNSBL - Configuració EasyList són els següents:

  • Categories: es poden seleccionar les preferències de l'usuari i múltiples
  • Acció de llista: s'ha d'establir com a Sense vincular per inspeccionar les sol·licituds de DNS
  • Freqüència d'actualització: amb quina freqüència pfSense actualitzarà la llista de llocs defectuosos

Quan la configuració EasyList estigui configurada segons les preferències de l'usuari, assegureu-vos de desplaçar-vos fins a la part inferior de la pàgina i fer clic al botó Desa. Un cop la pàgina es torni a carregar, desplaceu-vos fins a la part superior de la pàgina i feu clic a la pestanya Actualitza.

Un cop a la pestanya d'actualització, comproveu el botó d'opció Recarrega i, a continuació, marqueu el botó d'opció Tots. Això s'executarà mitjançant una sèrie de descàrregues web per obtenir les llistes de bloqueig seleccionades anteriorment a la pàgina de configuració EasyList.

Això s'ha de fer manualment, en cas contrari, les llistes no es baixaran fins a la tasca cron programada. Sempre que es facin canvis (s'afegeixen o s'eliminen llistes), assegureu-vos d'executar aquest pas.

Mireu la finestra de registre següent per detectar qualsevol error. Si tot ha anat segons el previst, les màquines client del costat de la LAN del tallafoc haurien de poder consultar el tallafoc pfSense per a llocs dolents coneguts i rebre a canvi adreces IP dolentes. De nou, les màquines client s'han de configurar per utilitzar la caixa pfsense com a solucionador de DNS.

Observeu a la nslookup anterior que l'URL retorna la IP falsa configurada anteriorment a les configuracions de pfBlockerNG. Aquest és el resultat desitjat. Això donaria lloc a qualsevol sol·licitud a l'URL 100pour.com dirigida a l'adreça IP falsa de 10.0.0.1.

Configura els canals DNSBL per a pfSense

A diferència d'AdBlock EasyLists, també hi ha la possibilitat d'utilitzar altres llistes negres de DNS dins de pfBlockerNG. Hi ha centenars de llistes que s'utilitzen per fer un seguiment de l'ordre i el control de programari maliciós, programari espia, programari publicitari, nodes tor i tot tipus de llistes útils.

Aquestes llistes sovint es poden extreure a pfBlockerNG i també es poden utilitzar com a llistes negres de DNS addicionals. Hi ha molts recursos que proporcionen llistes útils:

  • https://forum.pfsense.org/index.php?topic=114499.0
  • https://forum.pfsense.org/index.php?topic=102470.0
  • https://forum.pfsense.org/index.php?topic=86212.0

Els enllaços anteriors proporcionen fils al fòrum de pfSense on els membres han publicat una gran col·lecció de la llista que utilitzen. Algunes de les llistes preferides de l'autor inclouen les següents:

  • http://adaway.org/hosts.txt
  • http://www.malwaredomainlist.com/hostslist/hosts.txt
  • http://pgl.yoyo.org/adservers/serverlist.php?hostformat=hosts&mimetype=plaintext
  • https://zeustracker.abuse.ch/blocklist.php?download=domainblocklist
  • https://gist.githubusercontent.com/BBcan177/4a8bf37c131be4803cb2/raw

De nou, hi ha moltes altres llistes i l'autor recomana fermament que els individus cerquin més/altres llistes. Tanmateix, continuem amb les tasques de configuració.

El primer pas és tornar al menú de configuració de pfBlockerNG a través de Firewall -> pfBlockerNG -> DSNBL.

Un cop a la pàgina de configuració DNSBL de nou, feu clic al text DNSBL Feeds i, a continuació, feu clic al botó Afegeix un cop la pàgina s'actualitzi.

El botó d'afegir permetrà a l'administrador afegir més llistes d'adreces IP incorrectes o noms DNS al programari pfBlockerNG (els dos elements que ja hi ha a la llista són de l'autor de les proves). El botó afegir porta l'administrador a una pàgina on es poden afegir llistes DNSBL al tallafoc.

Els paràmetres importants d'aquesta sortida són els següents:

  • Nom del grup DNS: escollit per l'usuari
  • Descripció: útil per mantenir els grups organitzats
  • Configuració DNSBL: aquestes són les llistes reals
    • Estat: si aquesta font s'utilitza o no i com s'obté
    • Font: l'enllaç/font de la llista negra de DNS
    • Encapçalament/etiqueta: elecció de l'usuari; sense caràcters especials

    Un cop s'hagin establert aquests paràmetres, feu clic al botó Desa a la part inferior de la pàgina. Com amb qualsevol canvi a pfBlockerNG, els canvis tindran efecte en el següent interval de cron programat o l'administrador pot forçar una recàrrega manualment navegant a la pestanya Actualització, feu clic al botó d'opció Torna a carregar i després feu clic a Tots. botó de ràdio. Un cop seleccionats, feu clic al botó Executar.

    Mireu la finestra de registre següent per detectar qualsevol error. Si tot ha anat segons el pla, comproveu que les llistes funcionen simplement intentant fer una cerca n des d'un client del costat de la LAN a un dels dominis que figuren en un dels fitxers de text utilitzats a la configuració DNSBL.

    Com es pot veure a la sortida anterior, el dispositiu pfSense està retornant l'adreça IP virtual que es va configurar a pfBlockerNG com a IP dolenta per als dominis de la llista negra.

    En aquest punt, l'administrador podria continuar ajustant les llistes afegint més llistes o creant llistes de dominis/IP personalitzades. pfBlockerNG continuarà redirigint aquests dominis restringits a una adreça IP falsa.

    Gràcies per llegir aquest article sobre pfBlockerNG. Si us plau, mostreu el vostre agraïment o suport pel programari pfSense, així com per pfBlockerNG, contribuint de la manera que sigui possible al desenvolupament continuat d'aquests dos meravellosos productes. Com sempre, comenta a continuació amb qualsevol suggeriment o pregunta!