Installéiert a konfiguréiert pfBlockerNg fir DNS Black Listing an pfSense Firewall

An engem fréieren Artikel gouf d'Installatioun vun enger mächteger FreeBSD baséiert Firewall Léisung bekannt als pfSense diskutéiert. pfSense, wéi am fréieren Artikel erwähnt, ass eng ganz mächteg a flexibel Firewall-Léisung déi en ale Computer benotze kann, dee vläicht net vill mécht.

Dësen Artikel schwätzt iwwer e wonnerschéine Add-on Package fir pfsense genannt pfBlockerNG.

pfBlockerNG ass e Package deen an pfSense installéiert ka ginn fir dem Firewall Administrateur d'Fäegkeet ze bidden d'Features vun der Firewall iwwer déi traditionell statesch L2/L3/L4 Firewall ze verlängeren.

Wéi d'Kapazitéite vun Ugräifer an Cyber Krimineller weider fortschrëtt, sou mussen d'Verteidegung déi gesat ginn fir hir Efforten z'ënnerbriechen. Wéi mat alles an der Informatikwelt gëtt et keng eng Léisung déi all Produkt dobaussen fixéiert.

pfBlockerNG bitt pfSense d'Fäegkeet fir d'Firewall z'erlaaben/ze refuséieren Entscheedungen baséiert Elementer wéi d'Geolocatioun vun enger IP Adress, den Domain Numm vun enger Ressource oder d'Alexa Bewäertunge vu bestëmmte Websäiten.

D'Kapazitéit fir Elementer wéi Domain Nimm ze beschränken ass ganz avantagéis well et Administrateuren erlaabt Versuche vun internen Maschinnen ze verhënneren, déi versichen sech mat bekannte schlechte Domainen ze verbannen (an anere Wierder, Domainen déi bekannt kënne sinn datt se Malware, illegalen Inhalt oder aner hunn. insidious Stécker vun Donnéeën).

Dëse Guide wäert duerch d'Konfiguratioun vun engem pfSense Firewall-Apparat goen fir de pfBlockerNG Package ze benotzen wéi och e puer grondleeënd Beispiller vun Domain Blocklëschten déi an de pfBlockerNG Tool bäigefüügt/konfiguréiert kënne ginn.

Dësen Artikel wäert e puer Viraussetzungen maachen a wäert aus dem virege Installatiounsartikel iwwer pfSense opbauen. D'Annahme wäerte wéi follegt sinn:

  • pfSense ass schonn installéiert an huet keng Regelen am Moment konfiguréiert (propper Schiefer).
  • D'Firewall huet nëmmen e WAN an e LAN Port (2 Ports).
  • Den IP Schema deen op der LAN Säit benotzt gëtt ass 192.168.0.0/24.

Et sollt bemierkt datt pfBlockerNG op eng scho lafend/konfiguréiert pfSense Firewall konfiguréiert ka ginn. De Grond fir dës Viraussetzungen hei ass einfach fir d'Sënnlechkeet a vill vun den Aufgaben, déi ofgeschloss ginn, kënnen nach ëmmer op enger net propperer Schiefer pfSense Këscht gemaach ginn.

D'Bild hei drënner ass de Labo Diagramm fir d'pfSense Ëmfeld dat an dësem Artikel benotzt gëtt.

Installéiert pfBlockerNG fir pfSense

Mam Labo prett fir ze goen, ass et Zäit fir unzefänken! Den éischte Schrëtt ass fir mat der Webinterface fir d'pfSense Firewall ze verbannen. Och dëst Labo Ëmfeld benotzt den 192.168.0.0/24 Netzwierk mat der Firewall déi als Paart mat enger Adress vun 192.168.0.1 handelt. Wann Dir e Webbrowser benotzt an op 'https://192.168.0.1' navigéiert gëtt d'pfSense Login Säit ugewisen.

E puer Browser kënne sech iwwer den SSL Zertifika beschwéieren, dëst ass normal well de Zertifika selwer vun der pfSense Firewall ënnerschriwwe gëtt. Dir kënnt d'Warnungsmeldung sécher akzeptéieren an wann Dir wëllt, e gëlteg Zertifika ënnerschriwwen vun engem legitimen CA kann installéiert ginn, awer ass iwwer den Ëmfang vun dësem Artikel.

Nodeems Dir op Fortgeschratt geklickt hutt an dann Ausnam addéieren ..., klickt fir d'Sécherheet Ausnam ze bestätegen. D'pfSense Login Säit gëtt dann ugewisen an erlaabt den Administrateur sech op de Firewall Apparat umellen.

Wann Dir Iech op d'HaaptpfSense Säit ugemellt hutt, klickt op de 'System' Dropdown a wielt dann 'Package Manager'.

Klickt op dëse Link wäert an d'Packagemanager Fënster änneren. Déi éischt Säit fir ze lueden wäert all déi aktuell installéiert Pakete sinn a wäert eidel sinn (erëm dëse Guide geet un eng propper pfSense Installatioun). Klickt op den Text 'Available Packages' fir eng Lëscht vun installéierbare Packagen fir pfSense ze kréien.

Wann d'Säit 'Verfügbar Packagen' lued, gitt 'pfblocker' an d'Këscht 'Sichbegrëff' a klickt op 'Sich'. Den éischten Artikel deen zréckgeet soll pfBlockerNG sinn. Situéiert de 'Installéieren' Knäppchen riets vun der pfBlockerNG Beschreiwung a klickt op '+' fir de Package z'installéieren.

D'Säit wäert nei lueden an den Administrateur freet d'Installatioun ze bestätegen andeems Dir op 'Confirméieren' klickt.

Eemol bestätegt, fänkt pfSense un pfBlockerNG z'installéieren. Navigéiert net vun der Installateur Säit ewech! Waart bis d'Säit erfollegräich Installatioun weist.

Wann d'Installatioun fäerdeg ass, kann d'pfBlockerNG Konfiguratioun ufänken. Déi éischt Aufgab, déi awer ofgeschloss muss ginn, ass e puer Erklärungen iwwer wat geschitt wann pfBlockerNG richteg konfiguréiert ass.

Wann pfBlockerNG konfiguréiert ass, sollten DNS Ufroe fir Websäite vun der pfSense Firewall ofgefaangen ginn, déi d'pfBlockerNG Software leeft. pfBlockerNG wäert dann aktualiséiert Lëschte vu bekannte schlechte Domainen hunn, déi op eng schlecht IP Adress mapéiert sinn.

D'pfSense Firewall muss DNS-Ufroen offangen fir fäeg sinn schlecht Domainen ze filteren an e lokalen DNS-Resolver bekannt als UnBound ze benotzen. Dëst bedeit datt Clienten op der LAN-Interface d'pfSense Firewall als DNS-Resolver benotze mussen.

Wann de Client en Domain freet deen op de Blocklëschte vun pfBlockerNG ass, da gëtt pfBlockerNG eng falsch IP Adress fir d'Domain zréck. Loosst eis de Prozess ufänken!

pfBlockerNG Configuratioun fir pfSense

Den éischte Schrëtt ass den UnBound DNS Resolver op der pfSense Firewall z'aktivéieren. Fir dëst ze maachen, klickt op den Dropdown-Menü 'Services' a wielt dann 'DNS Resolver'.

Wann d'Säit nei lued, sinn d'DNS Resolver allgemeng Astellunge konfiguréierbar. Dës éischt Optioun, déi konfiguréiert muss ginn, ass d'Checkbox fir 'DNS Resolver aktivéieren'.

Déi nächst Astellunge sinn den DNS Lauschteren Hafen ze setzen (normalerweis Port 53), d'Netzwierkschnëttplazen ze setzen, op déi den DNS Resolver soll lauschteren (an dëser Konfiguratioun sollt et den LAN Hafen an de Localhost sinn), an dann den Ausgangshafen astellen (soll) WAN an dëser Konfiguratioun sinn).

Wann d'Selektioune gemaach gi sinn, gitt sécher op 'Späicheren' um Enn vun der Säit ze klicken a klickt dann op de 'Ännerungen uwenden' Knäppchen deen uewen op der Säit erschéngt.

Deen nächste Schrëtt ass den éischte Schrëtt an der Konfiguratioun vu pfBlockerNG speziell. Navigéiert op d'pfBlockerNG Konfiguratiounssäit ënner dem 'Firewall' Menü a klickt dann op 'pfBlockerNG'.

Wann pfBlockerNG gelueden ass, klickt op d'DNSBL Tab als éischt fir d'DNS Lëschte opzestellen ier Dir pfBlockerNG aktivéiert.

Wann d'DNSBL Säit lued, gëtt et en neie Set vu Menüen ënner de pfBlockerNG Menüen (gréng ënner markéiert). Den éischten Artikel dee muss adresséiert ginn ass d'Checkbox 'Enable DNSBL' (gréng ënnerstrach).

Dës Checkbox erfuerdert datt den UnBound DNS Resolver op der pfSense Këscht benotzt gëtt fir dns Ufroe vu LAN Clienten z'inspektéieren. Maacht Iech keng Suergen UnBound gouf virdru konfiguréiert awer dës Këscht muss iwwerpréift ginn! Deen aneren Element deen op dësem Bildschierm ausgefëllt muss ginn ass den 'DNSBL Virtual IP'.

Dës IP muss am privaten Netzwierk sinn an net eng valabel IP am Netz an deem pfSense benotzt gëtt. Zum Beispill, e LAN Netzwierk op 192.168.0.0/24 kéint en IP vun 10.0.0.1 benotzen well et e privaten IP ass an net Deel vum LAN Netz ass.

Dës IP gëtt benotzt fir Statistiken ze sammelen an och Domainen ze iwwerwaachen déi vun pfBlockerNG verworf ginn.

Wann Dir op d'Säit scrollt, ginn et e puer méi Astellunge fir ze nennen. Déi éischt ass den 'DNSBL Listening Interface'. Fir dëse Setup, an déi meescht Setups, sollt dës Astellung op 'LAN' gesat ginn.

Déi aner Astellung ass 'List Action' ënner 'DNSBL IP Firewall Settings'. Dës Astellung bestëmmt wat geschitt wann en DNSBL Feed IP Adressen ubitt.

D'pfBlockerNG Reegele kënnen opgestallt ginn fir all Zuel vun Aktiounen ze maachen, awer héchstwahrscheinlech ass 'Deny Both' déi gewënschte Optioun. Dëst wäert inbound an outbound Verbindungen op d'IP/Domain op der DNSBL Feed verhënneren.

Wann d'Elementer ausgewielt goufen, scrollt bis ënnen vun der Säit a klickt op de 'Späicheren' Knäppchen. Wann d'Säit nei lued, ass et Zäit d'DNS Block Lëschten ze konfiguréieren déi benotzt solle ginn.

pfBlockerNG bitt dem Administrateur zwou Optiounen, déi onofhängeg oder zesummen konfiguréiert kënne ginn ofhängeg vun der Preferenz vum Administrator. Déi zwou Optiounen sinn manuell Feeds vun anere Websäiten oder EasyLists.

Fir méi iwwer déi verschidde EasyLists ze liesen, besicht w.e.g. d'Homepage vum Projet: https://easylist.to/

PfBlockerNG EasyList konfiguréieren

Loosst eis d'EasyLists als éischt diskutéieren a konfiguréieren. Déi meescht Heembenotzer fannen dës Lëschte genuch wéi och am mannsten administrativ belaaschtend.

Déi zwee EasyLists verfügbar an pfBlockerNG sinn 'EasyList w/o Element Hiding' an 'EasyPrivacy'. Fir eng vun dëse Lëschten ze benotzen, klickt éischt op d'DNSBL EasyList uewen op der Säit.

Wann d'Säit nei lued, gëtt d'EasyList Konfiguratiounssektioun verfügbar gemaach. Déi folgend Astellunge musse konfiguréiert ginn:

  • DNS-Gruppnumm - Benotzerwahl awer keng speziell Zeechen
  • Beschreiwung - Benotzerwahl, speziell Zeechen erlaabt
  • EasyList Feeds Staat - Ob déi konfiguréiert Lëscht benotzt gëtt
  • EasyList Feed - Wéi eng Lëscht ze benotzen (EasyList oder EasyPrivacy) kënne béid bäigefüügt ginn
  • Header/Label - Benotzerwahl awer keng speziell Zeechen

Déi nächst Sektioun gëtt benotzt fir ze bestëmmen wéi eng Deeler vun de Lëschte blockéiert ginn. Erëm dëst sinn all Benotzer Präferenz a Multiple kënne gewielt ginn wann Dir wëllt. Déi wichteg Astellungen am 'DNSBL - EasyList Settings' sinn wéi follegt:

  • Kategorien - Benotzerpräferenz a Multiple kënne gewielt ginn
  • Lëscht Aktioun - Muss op 'Unbound' gesat ginn fir DNS Ufroen z'inspektéieren
  • Aktualiséierungsfrequenz - Wéi dacks wäert pfSense d'Lëscht vu schlechte Site aktualiséieren

Wann d'EasyList Astellungen op d'Astellunge vum Benotzer konfiguréiert sinn, gitt sécher bis ënnen vun der Säit ze scrollen a klickt op de 'Späicheren' Knäppchen. Wann d'Säit nei lued, scrollt bis uewen op der Säit a klickt op de Tab Update.

Eemol op der Update Tab, kontrolléiert de Radio Knäppchen fir 'Reload' a kontrolléiert dann de Radio Knäppchen fir 'All'. Dëst wäert duerch eng Serie vu Web-Downloads lafen fir d'Blocklëschte virdru op der EasyList Konfiguratiounssäit ausgewielt ze kréien.

Dëst muss manuell gemaach ginn soss ginn Lëschte net erofgeluede bis déi geplangte Cron Task. All Kéier wann Ännerungen gemaach ginn (Lëschte bäigefüügt oder ewechgeholl) gitt sécher dëse Schrëtt auszeféieren.

Kuckt d'Logbuchfenster hei drënner fir Feeler. Wann alles geplangt ass, sollten Clientsmaschinnen op der LAN Säit vun der Firewall d'pfSense Firewall fir bekannte schlechte Site ufroen a schlecht IP Adressen zréck kréien. Nach eng Kéier mussen d'Clientmaschinne gesat ginn fir d'pfsense Box als hiren DNS Resolver ze benotzen!

Notéiert am nslookup uewendriwwer datt d'URL déi falsch IP zréckginn, déi virdru konfiguréiert ass an de pfBlockerNG Konfiguratiounen. Dëst ass de gewënschte Resultat. Dëst géif dozou féieren datt all Ufro un d'URL '100pour.com' op déi falsch IP Adress vum 10.0.0.1 geleet gëtt.

DNSBL Feeds fir pfSense konfiguréieren

Am Géigesaz zu den AdBlock EasyLists gëtt et och d'Fäegkeet aner DNS Black Lists bannent pfBlockerNG ze benotzen. Et ginn Honnerte vu Lëschten déi benotzt gi fir Malware Kommando a Kontroll, Spyware, Adware, Tor Noden an all aner nëtzlech Lëschten ze verfolgen.

Dës Lëschte kënnen dacks an pfBlockerNG gezunn ginn an och als weider DNS Black Lists benotzt ginn. Et gi zimmlech e puer Ressourcen déi nëtzlech Lëschte ubidden:

  • https://forum.pfsense.org/index.php?topic=114499.0
  • https://forum.pfsense.org/index.php?topic=102470.0
  • https://forum.pfsense.org/index.php?topic=86212.0

D'Links hei uewen liwweren Threads um pfSense Forum wou Memberen eng grouss Sammlung vun de Lëschte gepost hunn déi se benotzen. E puer vun de Liiblingslëschte vum Auteur enthalen déi folgend:

  • http://adaway.org/hosts.txt
  • http://www.malwaredomainlist.com/hostslist/hosts.txt
  • http://pgl.yoyo.org/adservers/serverlist.php?hostformat=hosts&mimetype=plaintext
  • https://zeustracker.abuse.ch/blocklist.php?download=domainblocklist
  • https://gist.githubusercontent.com/BBcan177/4a8bf37c131be4803cb2/raw

Et ginn erëm Tonne vun anere Lëschten an den Auteur encouragéiert staark datt Individuen méi/aner Lëschte sichen. Loosst eis awer weider mat den Konfiguratiounsaufgaben.

Den éischte Schrëtt ass erëm an de pfBlockerNG Konfiguratiounsmenü duerch 'Firewall' -> 'pfBlockerNG' -> 'DSNBL' ze goen.

Eemol op der DNSBL Konfiguratiounssäit erëm, klickt op den 'DNSBL Feeds' Text a klickt dann op de 'Add' Knäppchen eemol d'Säit erfrëscht.

D'Add Button erlaabt den Administrateur méi Lëschte vu schlechte IP Adressen oder DNS Nimm un d'pfBlockerNG Software ze addéieren (déi zwee Elementer déi schonn op der Lëscht sinn, sinn den Auteur vum Test). D'Add Button bréngt den Administrator op eng Säit wou DNSBL Lëschte kënnen an d'Firewall bäigefüügt ginn.

Déi wichteg Astellungen an dësem Output sinn déi folgend:

  • DNS Group Numm - Benotzer gewielt
  • Beschreiwung - Nëtzlech fir Gruppen organiséiert ze halen
  • DNSBL Astellungen - Dëst sinn déi aktuell Lëschte
    • Staat - Ob dës Quell benotzt gëtt oder net a wéi se kritt gëtt
    • Quell - De Link/Quell vun der DNS Black List
    • Header/Label – Benotzerwahl; keng speziell Zeechen

    Wann dës Astellunge festgeluecht goufen, klickt op de Späicher Knäppchen ënnen op der Säit. Wéi mat all Ännerunge fir pfBlockerNG, ginn d'Ännerungen am nächste geplangte Cron-Intervall a Kraaft getrueden oder den Administrateur kann eng Reload manuell forcéieren andeems Dir op den Tab 'Update' navigéiert, klickt op de Radio Knäppchen 'Reload' a klickt dann op 'All' Radio Knäppchen. Wann dës ausgewielt sinn, klickt op de 'Run' Knäppchen.

    Kuckt d'Logbuchfenster hei drënner fir Feeler. Wann alles plangen gaangen ass, Test datt d'Lëschte funktionnéieren andeems Dir einfach probéiert e nslookup vun engem Client op der Lan Säit op eng vun den Domainen ze maachen, déi an engem vun den Textdateien an der DNSBL Konfiguratioun benotzt ginn.

    Wéi am Output uewen gesi ka ginn, gëtt de pfSense Apparat déi virtuell IP Adress zréck, déi am pfBlockerNG konfiguréiert gouf als déi schlecht IP fir d'Schwaarzlëscht Domainen.

    Zu dësem Zäitpunkt konnt den Administrateur d'Lëschte weider ofstëmmen andeems Dir méi Lëschte bäidréit oder personaliséiert Domain-/IP-Lëschte erstellt. pfBlockerNG wäert weiderhin dës limitéiert Domainen op eng falsch IP Adress viruleeden.

    Merci fir dësen Artikel iwwer pfBlockerNG ze liesen. W.e.g. weist Är Valorisatioun oder Ënnerstëtzung fir d'pfSense Software souwéi pfBlockerNG andeems Dir op jiddefalls méiglech bäidroe fir déi weider Entwécklung vu béide vun dëse wonnerschéine Produkter. Wéi ëmmer w.e.g. kommentéiert hei ënnen mat Suggestiounen oder Froen!