Installa u Ikkonfigura pfBlockerNg għal DNS Black Listing f'pfSense Firewall

F'artikolu preċedenti ġiet diskussa l-installazzjoni ta 'soluzzjoni qawwija ta' firewall ibbażata fuq FreeBSD magħrufa bħala pfSense. pfSense, kif imsemmi fl-artikolu preċedenti, hija soluzzjoni firewall qawwija ħafna u flessibbli li tista 'tagħmel użu ta' kompjuter antik li jista 'jkun li ma tagħmel ħafna.

Dan l-artikolu se jitkellem dwar pakkett add-on mill-isbaħ għal pfsense imsejjaħ pfBlockerNG.

pfBlockerNG huwa pakkett li jista 'jiġi installat f'pfSense biex jipprovdi lill-amministratur tal-firewall bil-kapaċità li jestendi l-kapaċitajiet tal-firewall lil hinn mill-firewall tradizzjonali L2/L3/L4 stateful.

Hekk kif il-kapaċitajiet tal-attakkanti u l-kriminali ċibernetiċi qed ikomplu javvanzaw, hekk ukoll għandhom id-difiżi li jiġu stabbiliti biex ifixklu l-isforzi tagħhom. Bħal kull ħaġa fid-dinja tal-kompjuters, m'hemmx soluzzjoni waħda li tirranġa l-prodott kollu hemmhekk.

pfBlockerNG jipprovdi pfSense bl-abbiltà għall-firewall li jippermetti/jiċħad deċiżjonijiet ibbażati fuq oġġetti bħall-ġeolokalizzazzjoni ta 'indirizz IP, l-isem tad-dominju ta' riżorsa, jew il-klassifikazzjonijiet Alexa ta 'websajts partikolari.

L-abbiltà li jiġu ristretti oġġetti bħall-ismijiet tad-dominju hija vantaġġuża ħafna peress li tippermetti lill-amministraturi jfixklu t-tentattivi ta’ magni interni li jippruvaw jikkonnettjaw ma’ dominji ħżiena magħrufa (fi kliem ieħor, oqsma li jistgħu jkunu magħrufa li għandhom malware, kontenut illegali, jew oħrajn). biċċiet ta’ data insidjużi).

Din il-gwida se timxi permezz tal-konfigurazzjoni ta 'apparat tal-firewall pfSense biex tuża l-pakkett pfBlockerNG kif ukoll xi eżempji bażiċi ta' listi ta 'blokk tad-dominju li jistgħu jiġu miżjuda/konfigurati fl-għodda pfBlockerNG.

Dan l-artikolu se jagħmel ftit suppożizzjonijiet u se jibni mill-artikolu ta 'installazzjoni preċedenti dwar pfSense. Is-suppożizzjonijiet se jkunu kif ġej:

  • pfSense huwa diġà installat u m'għandu l-ebda regoli kkonfigurati bħalissa (clean slate).
  • Il-firewall għandu biss port WAN u LAN (2 portijiet).
  • L-iskema IP li qed tintuża fuq in-naħa tal-LAN hija 192.168.0.0/24.

Għandu jiġi nnutat li pfBlockerNG jista 'jiġi kkonfigurat fuq firewall pfSense li diġà qed jaħdem/konfigurat. Ir-raġuni għal dawn is-suppożizzjonijiet hawnhekk hija sempliċement għall-fini tas-sanità u ħafna mill-kompiti li se jitlestew, xorta jistgħu jsiru fuq kaxxa pfSense tal-lavanja mhux nadifa.

L-immaġni hawn taħt hija d-dijagramma tal-laboratorju għall-ambjent pfSense li se tintuża f'dan l-artikolu.

Installa pfBlockerNG għal pfSense

Bil-laboratorju lest biex imur, wasal iż-żmien li tibda! L-ewwel pass huwa li tikkonnettja mal-interface tal-web għall-firewall pfSense. Għal darb'oħra dan l-ambjent tal-laboratorju qed juża n-netwerk 192.168.0.0/24 bil-firewall jaġixxi bħala l-portal b'indirizz ta '192.168.0.1. L-użu ta’ web browser u n-navigazzjoni lejn ‘https://192.168.0.1’ se juri l-paġna tal-login ta’ pfSense.

Xi browsers jistgħu jilmentaw dwar iċ-ċertifikat SSL, dan huwa normali peress li ċ-ċertifikat huwa ffirmat minnu nnifsu mill-firewall pfSense. Tista' taċċetta b'mod sikur il-messaġġ ta' twissija u jekk mixtieq, jista' jiġi installat ċertifikat validu ffirmat minn CA leġittima iżda huwa lil hinn mill-ambitu ta' dan l-artikolu.

Wara li tikklikkja b'suċċess 'Avvanzat' u mbagħad 'Żid Eċċezzjoni...', ikklikkja biex tikkonferma l-eċċezzjoni tas-sigurtà. Il-paġna tal-login ta' pfSense imbagħad turi u tippermetti lill-amministratur jidħol fl-appliance tal-firewall.

Ladarba tkun illoggjat fil-paġna ewlenija tal-pfSense, ikklikkja fuq id-drop down 'Sistema' u mbagħad agħżel 'Package Manager'.

Meta tikklikkja din il-link tinbidel għat-tieqa tal-maniġer tal-pakketti. L-ewwel paġna li tgħabbi se tkun il-pakketti kollha installati bħalissa u se tkun vojta (din il-gwida għal darb'oħra qed tassumi installazzjoni nadifa ta' pfSense). Ikklikkja fuq it-test 'Pakketti Disponibbli' biex tingħata lista ta' pakketti li jistgħu jiġu installati għal pfSense.

Ladarba l-paġna 'Pakketti Disponibbli' titgħabbi, ikteb 'pfblocker' fil-kaxxa 'Terminu ta' tfittxija' u kklikkja fuq 'Fittex'. L-ewwel oġġett li jiġi rritornat għandu jkun pfBlockerNG. Sib il-buttuna 'Installa' fuq il-lemin tad-deskrizzjoni pfBlockerNG u kklikkja l-'+' biex tinstalla l-pakkett.

Il-paġna terġa’ tgħabbi u titlob lill-amministratur jikkonferma l-installazzjoni billi tikklikkja ‘Ikkonferma’.

Ladarba jiġi kkonfermat, pfSense jibda jinstalla pfBlockerNG. Tinnavigax 'il bogħod mill-paġna tal-installatur! Stenna sakemm il-paġna turi installazzjoni b'suċċess.

Ladarba l-installazzjoni tkun tlestiet, il-konfigurazzjoni pfBlockerNG tista 'tibda. L-ewwel kompitu li jeħtieġ li jitlesta għalkemm huwa xi spjegazzjonijiet dwar x'se jiġri ladarba pfBlockerNG jiġi kkonfigurat kif suppost.

Ladarba pfBlockerNG jiġi kkonfigurat, it-talbiet tad-DNS għal websajts għandhom jiġu interċettati mill-firewall pfSense li jħaddem is-softwer pfBlockerNG. pfBlockerNG imbagħad ikollu listi aġġornati ta 'dominji ħżiena magħrufa li huma mmappjati għal indirizz IP ħażin.

Il-firewall pfSense jeħtieġ li jinterċetta t-talbiet tad-DNS sabiex ikun jista' jiffiltra dominji ħżiena u se juża resolver DNS lokali magħruf bħala UnBound. Dan ifisser li l-klijenti fuq l-interface tal-LAN jeħtieġ li jużaw il-firewall pfSense bħala s-solvent tad-DNS.

Jekk il-klijent jitlob dominju li jkun fuq il-listi ta 'blokk ta' pfBlockerNG, allura pfBlockerNG jirritorna indirizz ip falz għad-dominju. Ejja nibdew il-proċess!

pfBlockerNG Konfigurazzjoni għal pfSense

L-ewwel pass huwa li tippermetti s-solvent UnBound DNS fuq il-firewall pfSense. Biex tagħmel dan, ikklikkja fuq il-menu drop-down 'Servizzi' u mbagħad agħżel 'DNS Resolver'.

Meta l-paġna terġa' tittella', is-settings ġenerali tas-solvent tad-DNS se jkunu konfigurabbli. Din l-ewwel għażla li trid tiġi kkonfigurata hija l-kaxxa ta’ kontroll għal ‘Enable DNS Resolver’.

Is-settings li jmiss huma li tissettja l-port tas-smigħ tad-DNS (normalment il-port 53), l-issettjar tal-interfaces tan-netwerk li s-solvent tad-DNS għandu jisma fuqhom (f'din il-konfigurazzjoni, għandu jkun il-port LAN u Localhost), u mbagħad issettja l-port tal-ħruġ (għandu jkun tkun WAN f'din il-konfigurazzjoni).

Ladarba jkunu saru l-għażliet, kun żgur li tikklikkja ‘Save’ fin-naħa t’isfel tal-paġna u mbagħad ikklikkja l-buttuna ‘Applika Bidliet’ li tidher fin-naħa ta’ fuq tal-paġna.

Il-pass li jmiss huwa l-ewwel pass fil-konfigurazzjoni ta 'pfBlockerNG speċifikament. Innaviga lejn il-paġna ta’ konfigurazzjoni ta’ pfBlockerNG taħt il-menu ‘Firewall’ u mbagħad ikklikkja fuq ‘pfBlockerNG’.

Ladarba pfBlockerNG ikun mgħobbi, ikklikkja fuq it-tab 'DNSBL' l-ewwel biex tibda twaqqaf il-listi DNS qabel ma tattiva pfBlockerNG.

Meta titgħabba l-paġna 'DNSBL', se jkun hemm sett ġdid ta' menus taħt il-menus tal-pfBlockerNG (enfasizzati bl-aħdar hawn taħt). L-ewwel oġġett li jeħtieġ li jiġi indirizzat huwa l-kaxxa ta’ kontroll ‘Enable DNSBL’ (enfasizzat bl-aħdar hawn taħt).

Din il-kaxxa ta' kontroll teħtieġ li s-solvent tad-DNS UnBound jintuża fuq il-kaxxa pfSense sabiex jiġu spezzjonati t-talbiet tad-DNS mill-klijenti LAN. Tinkwetax UnBound ġie kkonfigurat qabel iżda din il-kaxxa trid tiġi ċċekkjata! L-oġġett l-ieħor li jeħtieġ li jimtela fuq dan l-iskrin huwa l-'DNSBL Virtual IP'.

Dan l-IP jeħtieġ li jkun fil-medda tan-netwerk privat u mhux IP validu fuq in-netwerk li fih qed jintuża pfSense. Pereżempju, netwerk LAN fuq 192.168.0.0/24 jista 'juża IP ta' 10.0.0.1 peress li huwa IP privat u mhuwiex parti min-netwerk LAN.

Din l-IP se tintuża biex tiġbor statistika kif ukoll timmonitorja dominji li qed jiġu rrifjutati minn pfBlockerNG.

Skrolljar 'l isfel fil-paġna, hemm ftit aktar settings ta' min isemmi. L-ewwel hija l-'DNSBL Listening Interface'. Għal din is-setup, u l-biċċa l-kbira tas-setups, dan is-setting għandu jkun issettjat għal 'LAN'.

L-issettjar l-ieħor huwa 'Lista Azzjoni' taħt 'DNSBL IP Firewall Settings'. Dan l-issettjar jiddetermina x'għandu jiġri meta feed DNSBL jipprovdi indirizzi IP.

Ir-regoli pfBlockerNG jistgħu jiġu stabbiliti biex jagħmlu kwalunkwe numru ta 'azzjonijiet iżda x'aktarx 'Iċħad it-tnejn' tkun l-għażla mixtieqa. Dan se jipprevjeni konnessjonijiet deħlin u ħerġin għall-IP/dominju fuq l-għalf DNSBL.

Ladarba l-oġġetti jkunu ġew magħżula, iscrollja sal-qiegħ tal-paġna u kklikkja l-buttuna 'Save'. Ladarba l-paġna terġa' tittella', wasal iż-żmien li jiġu kkonfigurati l-Listi tal-Blokk tad-DNS li għandhom jintużaw.

pfBlockerNG jipprovdi lill-amministratur b'żewġ għażliet li jistgħu jiġu kkonfigurati b'mod indipendenti jew flimkien skont il-preferenza tal-amministratur. Iż-żewġ għażliet huma għalf manwali minn paġni tal-web oħra jew EasyLists.

Biex taqra aktar dwar l-EasyLists differenti, jekk jogħġbok żur il-paġna ewlenija tal-proġett: https://easylist.to/

Ikkonfigura pfBlockerNG EasyList

Ejja niddiskutu u kkonfiguraw l-EasyLists l-ewwel. Ħafna mill-utenti domestiċi jsibu dawn il-listi bħala suffiċjenti kif ukoll l-inqas ta’ piż amministrattiv.

Iż-żewġ EasyLists disponibbli f'pfBlockerNG huma 'EasyList w/o Element Hiding' u 'EasyPrivacy'. Biex tuża waħda minn dawn il-listi, l-ewwel ikklikkja fuq il-‘DNSBL EasyList’ fin-naħa ta’ fuq tal-paġna.

Ladarba l-paġna terġa' tittella', it-taqsima tal-konfigurazzjoni EasyList tkun disponibbli. Is-settings li ġejjin iridu jiġu kkonfigurati:

  • Isem tal-Grupp DNS – Għażla tal-utent iżda l-ebda karattri speċjali
  • Deskrizzjoni – Għażla tal-utent, karattri speċjali permessi
  • EasyList Feeds State – Jekk tintużax il-lista kkonfigurata
  • EasyList Feed – Liema lista tuża (EasyList jew EasyPrivacy) it-tnejn jistgħu jiġu miżjuda
  • Header/Tikketta – Għażla tal-utent iżda l-ebda karattri speċjali

It-taqsima li jmiss tintuża biex tiddetermina liema partijiet tal-listi se jiġu mblukkati. Għal darb'oħra dawn huma kollha preferenza tal-utent u multipli jistgħu jintgħażlu jekk mixtieq. Is-settings importanti fil-‘DNSBL – EasyList Settings’ huma kif ġej:

  • Kategoriji – Jistgħu jintgħażlu preferenza tal-utent u multipli
  • Lista l-Azzjoni – Jeħtieġ li tiġi ssettjata bħala ‘M’hemmx obbligi’ sabiex jiġu spezzjonati t-talbiet tad-DNS
  • Frekwenza ta' Aġġornament – Kemm-il darba pfSense se taġġorna l-lista ta' siti ħżiena

Meta s-settings tal-EasyList jiġu kkonfigurati skont il-preferenzi tal-utent, kun żgur li tiskrollja sal-qiegħ tal-paġna u kklikkja l-buttuna 'Save'. Ladarba l-paġna terġa’ tittella’, iscrollja sal-quċċata tal-paġna u kklikkja fuq it-tab ‘Aġġorna’.

Ladarba fuq it-tab tal-aġġornament, iċċekkja l-buttuna tar-radju għal 'Reload' u mbagħad iċċekkja l-buttuna tar-radju għal 'Kull'. Dan se jgħaddi minn serje ta' downloads mill-web biex jinkisbu l-listi ta' blokki magħżula fil-paġna ta' konfigurazzjoni EasyList aktar kmieni.

Dan għandu jsir manwalment inkella l-listi ma jitniżżlux sakemm isir il-kompitu cron skedat. Kull meta jsiru bidliet (listi miżjuda jew imneħħija) kun żgur li tmexxi dan il-pass.

Ara t-tieqa tal-ġurnal hawn taħt għal kwalunkwe żball. Jekk kollox mar għall-pjan, il-magni tal-klijenti fuq in-naħa tal-LAN tal-firewall għandhom ikunu jistgħu jfittxu l-firewall pfSense għal siti ħżiena magħrufa u jirċievu indirizzi ip ħżiena bi tpattija. Għal darb'oħra l-magni tal-klijenti għandhom ikunu ssettjati biex jużaw il-kaxxa pfsense bħala s-solvent tad-DNS tagħhom għalkemm!

Avviż fl-nslookup hawn fuq li l-url jirritorna l-IP falza kkonfigurat aktar kmieni fil-konfigurazzjonijiet pfBlockerNG. Dan huwa r-riżultat mixtieq. Dan jirriżulta f’kull talba lill-URL ‘100pour.com’ tiġi diretta lejn l-indirizz IP falz ta’ 10.0.0.1.

Ikkonfigura DNSBL Feeds għal pfSense

B'kuntrast mal-AdBlock EasyLists, hemm ukoll il-kapaċità li tuża DNS Iswed Lists oħra fi ħdan pfBlockerNG. Hemm mijiet ta' listi li jintużaw biex jittraċċaw il-kmand u l-kontroll tal-malware, spyware, adware, tor nodes, u kull xorta ta' listi utli oħra.

Dawn il-listi spiss jistgħu jinġibdu f'pfBlockerNG u jintużaw ukoll bħala Listi Iswed tad-DNS ulterjuri. Hemm pjuttost ftit riżorsi li jipprovdu listi utli:

  • https://forum.pfsense.org/index.php?topic=114499.0
  • https://forum.pfsense.org/index.php?topic=102470.0
  • https://forum.pfsense.org/index.php?topic=86212.0

Il-links ta 'hawn fuq jipprovdu ħjut fuq il-forum ta' pfSense fejn il-membri poġġew ġabra kbira tal-lista li jużaw. Xi wħud mil-listi favoriti tal-awtur jinkludu dawn li ġejjin:

  • http://adaway.org/hosts.txt
  • http://www.malwaredomainlist.com/hostslist/hosts.txt
  • http://pgl.yoyo.org/adservers/serverlist.php?hostformat=hosts&mimetype=plaintext
  • https://zeustracker.abuse.ch/blocklist.php?download=domainblocklist
  • https://gist.githubusercontent.com/BBcan177/4a8bf37c131be4803cb2/raw

Għal darb'oħra hemm tunnellati ta 'listi oħra u l-awtur iħeġġeġ bil-qawwa li l-individwi jfittxu aktar/listi oħra. Ejja nkomplu bil-kompiti tal-konfigurazzjoni għalkemm.

L-ewwel pass huwa li terġa’ tidħol fil-menu tal-konfigurazzjoni ta’ pfBlockerNG permezz ta’ ‘Firewall’ -> ‘pfBlockerNG’ -> ‘DSNBL’.

Ladarba fuq il-paġna tal-konfigurazzjoni DNSBL għal darb'oħra, ikklikkja fuq it-test 'DNSBL Feeds' u mbagħad ikklikkja fuq il-buttuna 'Żid' ladarba l-paġna tiġġedded.

Il-buttuna żid se tippermetti lill-amministratur iżid aktar listi ta 'indirizzi IP ħżiena jew ismijiet DNS mas-softwer pfBlockerNG (iż-żewġ oġġetti diġà fil-lista huma tal-awtur mill-ittestjar). Il-buttuna żid iġġib lill-amministratur f'paġna fejn il-listi DNSBL jistgħu jiżdiedu mal-firewall.

Is-settings importanti f'dan l-output huma dawn li ġejjin:

  • Isem tal-Grupp DNS – L-utent magħżul
  • Deskrizzjoni – Utli biex il-gruppi jinżammu organizzati
  • Settings DNSBL – Dawn huma l-listi attwali
    • Stat – Jekk dak is-sors jintużax jew le u kif jinkiseb
    • Sors – Il-link/sors tad-DNS Black List
    • Header/Label – Għażla tal-utent; ebda karattri speċjali

    Ladarba dawn is-settings ikunu ġew issettjati, ikklikkja l-buttuna ħlief 'l isfel fil-qiegħ tal-paġna. Bħal kull tibdil f'pfBlockerNG, il-bidliet jidħlu fis-seħħ fl-intervall cron skedat li jmiss jew l-amministratur jista' manwalment jisforza tagħbija mill-ġdid billi jinnaviga fit-tab 'Aġġorna', ikklikkja l-buttuna tar-radju 'Reload', u mbagħad ikklikkja fuq il-'Kull' buttuna tar-radju. Ladarba dawk jintgħażlu, ikklikkja l-buttuna 'Run'.

    Ara t-tieqa tal-ġurnal hawn taħt għal kwalunkwe żball. Jekk kollox mar għall-pjan, ittestja li l-listi qed jaħdmu billi sempliċement tipprova tagħmel nslookup minn klijent fuq in-naħa tal-lan għal wieħed mill-oqsma elenkati f'wieħed mill-fajls tat-test użati fil-konfigurazzjoni DNSBL.

    Kif jidher fl-output ta 'hawn fuq, l-apparat pfSense qed jirritorna l-indirizz IP virtwali li kien ikkonfigurat f'pfBlockerNG bħala l-IP ħażin għad-dominji tal-lista s-sewda.

    F'dan il-punt l-amministratur jista 'jkompli jirfina l-listi billi jżid aktar listi jew joħloq listi tad-dominju/IP tad-dwana. pfBlockerNG se jkompli jidderieġi dawn id-dominji ristretti għal indirizz IP falz.

    Grazzi talli qrajt dan l-artikolu dwar pfBlockerNG. Jekk jogħġbok uri l-apprezzament jew l-appoġġ tiegħek għas-software pfSense kif ukoll pfBlockerNG billi tikkontribwixxi b'kull mod possibbli għall-iżvilupp kontinwu ta 'dawn iż-żewġ prodotti mill-isbaħ. Bħal dejjem jekk jogħġbok ikkummenta hawn taħt bi kwalunkwe suġġeriment jew mistoqsija!