Installige ja konfigureerige pfBlockerNg DNS-i musta nimekirja jaoks pfSense'i tulemüüris

Varasemas artiklis arutati võimsa FreeBSD-põhise tulemüürilahenduse pfSense installimist. Nagu eelmises artiklis mainitud, on pfSense väga võimas ja paindlik tulemüürilahendus, mis võib kasutada vana arvutit, mis võib-olla paneb paika ja ei tee palju.

Selles artiklis räägitakse pfsense'i suurepärasest lisapaketist nimega pfBlockerNG.

pfBlockerNG on pakett, mille saab installida pfSense'i, et pakkuda tulemüüri administraatorile võimalust laiendada tulemüüri võimalusi tavapärasest olekuga L2/L3/L4 tulemüürist kaugemale.

Kui ründajate ja küberkurjategijate võimekus areneb jätkuvalt, peab arenema ka nende jõupingutuste nurjamiseks loodud kaitse. Nagu mis tahes arvutusmaailmas, pole ka kogu toodet seal üks lahendus lahendanud.

pfBlockerNG annab pfSense'ile võimaluse tulemüüril lubada/keelduda otsustel põhinevaid üksusi, näiteks IP-aadressi geolokatsioon, ressursi domeeninimi või konkreetsete veebisaitide Alexa-reitingud.

Võimalus piirata üksusi, näiteks domeeninimesid, on väga kasulik, kuna see võimaldab administraatoritel takistada sisemiste masinate katseid ühendada end tuntud halbade domeenidega (teisisõnu domeenidega, millel võib olla teada pahavara, ebaseaduslikku sisu või muud salakavalad andmed).

Selles juhendis käsitletakse pfSense tulemüüri seadme konfigureerimist paketi pfBlockerNG kasutamiseks ning mõned põhinäited domeeniplokkide loenditest, mida saab tööriista pfBlockerNG lisada/konfigureerida.

See artikkel teeb paar eeldust ja tugineb varasemale pfSense'i installimise artiklile. Eeldused on järgmised:

  • pfSense on juba installitud ja sellel pole praegu seadistatud reegleid (puhas leht).
  • Tulemüüril on ainult WAN ja LAN port (2 porti).
  • LAN-i poolel kasutatav IP-skeem on 192.168.0.0/24.

Tuleb märkida, et pfBlockerNG saab konfigureerida juba töötaval/seadistatud pfSense'i tulemüüril. Nende eelduste põhjus on siin lihtsalt mõistuse huvides ja paljusid täidetavaid ülesandeid saab siiski teha mittepuhtalt tahvlilt pfSense.

Alloleval pildil on selles artiklis kasutatava keskkonna pfSense labori diagramm.

Paigaldage pfSense'i jaoks pfBlockerNG

Kui labor on valmis minema, on aeg alustada! Esimene samm on ühenduse loomine pfSense'i tulemüüri veebiliidesega. Jällegi kasutab see laborikeskkond võrku 192.168.0.0/24, mille tulemüür toimib lüüsina aadressiga 192.168.0.1. Veebibrauseri abil ja navigeerides saidile https://192.168.0.1 kuvatakse pfSense'i sisselogimisleht.

Mõni brauser võib SSL-sertifikaadi üle kurta, see on normaalne, kuna sertifikaadile on ise alla kirjutanud pfSense'i tulemüür. Võite hoiatusteate julgelt aktsepteerida ja soovi korral võib installida kehtiva CA allkirjastatud kehtiva sertifikaadi, kuid see ei kuulu selle artikli reguleerimisalasse.

Kui olete edukalt klõpsanud nuppu „Täpsem” ja seejärel „Lisa erand ...”, klõpsake turvaerandi kinnitamiseks. Seejärel kuvatakse pfSense'i sisselogimisleht ja administraatoril on võimalik tulemüüriseadmesse sisse logida.

Kui olete pfSense'i põhilehele sisse loginud, klõpsake rippmenüül „Süsteem“ ja valige seejärel „Pakettihaldur“.

Sellel lingil klõpsamine muutub paketihalduri aknaks. Esimesena laaditakse kõik praegu installitud paketid ja see on tühi (see eeldab taas, et pfSense'i puhas installimine). PfSense'i installitavate pakettide loendi kuvamiseks klõpsake tekstil „Saadaval paketid”.

Kui leht „Saadaval paketid” on laaditud, tippige väljale „Otsingutermin” „pfblocker” ja klõpsake nuppu „Otsi”. Esimene tagastatav üksus peaks olema pfBlockerNG. Leidke pfBlockerNG kirjeldusest paremal asuv nupp „Install” ja klõpsake paketi installimiseks nuppu ‘+’ .

Leht laaditakse uuesti ja palutakse administraatoril installimist kinnitada, klõpsates nuppu „Kinnita”.

Kui see on kinnitatud, hakkab pfSense installima pfBlockerNG. Ärge navigeerige installiprogrammi lehelt eemale! Oodake, kuni lehel kuvatakse edukas installimine.

Kui installimine on lõpule jõudnud, võib pfBlockerNG seadistamine alata. Esimene ülesanne, mis tuleb siiski täita, on mõned selgitused selle kohta, mis juhtub, kui pfBlockerNG on korralikult konfigureeritud.

Kui pfBlockerNG on konfigureeritud, peaks pfSense'i tulemüür kinni pidama veebisaitide DNS-i päringud, kus töötab tarkvara pfBlockerNG. Seejärel on pfBlockerNG-l värskendatud nimekirjad teadaolevatest halbadest domeenidest, mis on kaardistatud vale IP-aadressiga.

Vigaste domeenide välja filtreerimiseks peab pfSense tulemüür DNS-päringuid pealt püüdma ja kasutab kohalikku DNS-lahendust, mida nimetatakse sidumata. See tähendab, et LAN-liidese kliendid peavad DNS-i lahendajana kasutama pfSense tulemüüri.

Kui klient taotleb domeeni, mis on pfBlockerNG plokkide loendites, tagastab pfBlockerNG domeeni vale ip-aadressi. Alustame protsessi!

pfBlockerNG seadistamine pfSense jaoks

Esimene samm on lubada sidumata DNS-i lahendaja pfSense'i tulemüüris. Selleks klõpsake rippmenüül Teenused ja valige seejärel DNS-lahendaja.

Lehe uuesti laadimisel saab DNS-lahendaja üldseadeid konfigureerida. See esimene seadistatav valik on märkeruut „Luba DNS-i lahendaja”.

Järgmised seaded on määrata DNS-i kuulamisport (tavaliselt port 53), seadistada võrguliidesed, mida DNS-i lahendaja peaks kuulama (selles konfiguratsioonis peaks see olema LAN-port ja Localhost) ning seejärel väljumisport ( olema selles konfiguratsioonis WAN).

Kui valikud on tehtud, klõpsake lehe allosas kindlasti nuppu „Salvesta“ ja seejärel klõpsake lehe ülaosas kuvataval nupul „Rakenda muudatused“.

Järgmine samm on pfBlockerNG seadistamise esimene samm. Navigeerige menüü ‘Tulemüür’ alt pfBlockerNG seadistuste lehele ja klõpsake siis nupul ‘pfBlockerNG’.

Kui pfBlockerNG on laaditud, klõpsake enne pfBlockerNG aktiveerimist DNS-loendite seadistamise alustamiseks vahekaardil DNSBL.

Kui leht DNSBL laaditakse, on pfBlockerNG menüüde all uus menüükomplekt (mis on rohelisega esile tõstetud allpool). Esimene üksus, millele tuleb tähelepanu pöörata, on märkeruut „Luba DNSBL” (allpool rohelisega esile tõstetud).

Selle märkeruudu jaoks peab LAN-klientide DNS-päringute kontrollimiseks kastis pfSense kasutama sidumatut DNS-i lahendajat. Ärge muretsege, et sidumata seadistati varem, kuid see ruut tuleb märkida! Teine üksus, mida sellel ekraanil tuleb täita, on DNSBL Virtual IP.

See IP peab olema privaatvõrgu vahemikus ja mitte kehtiv IP selles võrgus, kus pfSense'i kasutatakse. Näiteks võib võrgus 192.168.0.0/24 asuv LAN-võrk kasutada 10.0.0.1 IP-d, kuna see on privaatne IP ja ei kuulu LAN-võrgu hulka.

Seda IP-d kasutatakse nii statistika kogumiseks kui ka domeenide jälgimiseks, mille pfBlockerNG tagasi lükkab.

Lehel alla kerides on veel mõned mainimist väärt seaded. Esimene neist on DNSBL-i kuulamisliides. Selle seadistuse ja enamiku seadistuste puhul peaks see seade olema seatud väärtusele „LAN”.

Teine seade on jaotises DNSBL IP tulemüüri seaded ‘Loendi toiming’. See seade määrab, mis peaks juhtuma, kui DNSBL-voog annab IP-aadressid.

Reegleid pfBlockerNG saab seadistada suvalise arvu toimingute tegemiseks, kuid tõenäoliselt on soovitud valik „Keela mõlemad”. See hoiab ära sissetulevad ja väljaminevad ühendused IP/domeeniga DNSBL voos.

Kui üksused on valitud, kerige lehe alaossa ja klõpsake nuppu Salvesta. Kui leht on uuesti laaditud, on aeg konfigureerida kasutatavad DNS-i blokeerimisloendid.

pfBlockerNG pakub administraatorile kahte võimalust, mida saab sõltuvalt administraatori eelistustest konfigureerida iseseisvalt või koos. Need kaks võimalust on manuaalsed kanalid teistelt veebilehtedelt või EasyLists.

Erinevate EasyListide kohta lisateabe saamiseks külastage projekti kodulehte: https://easylist.to/

Seadistage pfBlockerNG EasyList

Kõigepealt arutame ja seadistame EasyListsi. Enamik kodukasutajaid peab neid loendeid piisavaks ja halduslikult kõige vähem koormavaks.

Kaks pfBlockerNG-s saadaval olevat EasyListi on ‘EasyList with o Element Hiding’ ja ‘EasyPrivacy’. Nende loendite kasutamiseks klõpsake kõigepealt lehe ülaosas oleval DNSBL EasyListil.

Kui leht on uuesti laaditud, tehakse EasyListi seadistamise jaotis kättesaadavaks. Järgmised seaded tuleb konfigureerida:

  • DNS-i rühma nimi - kasutaja valik, kuid pole erimärke
  • Kirjeldus - kasutaja valik, erimärgid lubatud
  • EasyListi voogude olek - kas konfigureeritud loendit kasutatakse
  • EasyListi voog - milliseid loendeid kasutada (EasyList või EasyPrivacy) saab mõlemat lisada
  • Päis/silt - kasutaja valik, kuid pole erimärke

Järgmist jaotist kasutatakse loendite blokeeritavate osade määramiseks. Jällegi on need kõik kasutaja eelistused ja soovi korral saab valida mitu. Olulised seaded jaotises DNSBL - EasyListi seaded on järgmised:

  • Kategooriad - saab valida kasutaja eelistusi ja mitu
  • Loenditoiming - DNS-taotluste kontrollimiseks peab see olema seatud piiranguteta
  • Värskendussagedus - kui sageli värskendab pfSense halbade saitide loendit

Kui EasyListi seaded on konfigureeritud vastavalt kasutaja eelistustele, kerige kindlasti lehe alaossa ja klõpsake nuppu Salvesta. Kui leht on uuesti laaditud, kerige lehe ülaossa ja klõpsake vahekaarti Uuenda.

Kui olete vahekaardil Värskendus, kontrollige raadionupul olevat valikut „Laadi uuesti” ja seejärel märkige raadionupul valik „Kõik”. Varem EasyListi seadistamislehel valitud blokeerimisloendite saamiseks käivitatakse see veebireallaadimiste jada.

Seda tuleb teha käsitsi, vastasel juhul laaditakse loendeid alla enne ajastatud croni ülesannet. Kui soovite muudatusi teha (loendid on lisatud või eemaldatud), käivitage see samm kindlasti.

Vaadake võimalikke vigu allolevast logiaknast. Kui kõik läks plaanipäraselt, peaksid tulemüüri LAN-poolsed kliendimasinad suutma pfSense'i tulemüürist pärida teadaolevaid halbu saite ja saada vastutasuks halbu ip-aadresse. Jällegi tuleb kliendimasinad seadistada kasutama kasti pfsense oma DNS-i lahendajana!

Pange tähele ülaltoodud nslookupis, et URL tagastab vale IP, mis oli varem konfigureeritud pfBlockerNG konfiguratsioonis. See on soovitud tulemus. Selle tulemusel suunatakse URL-ile 100pour.com kõik taotlused valele IP-aadressile 10.0.0.1.

DNSf-voogude seadistamine pfSense jaoks

Erinevalt AdBlock EasyListidest on pfBlockerNG-s ka võimalus kasutada teisi DNS-i musti loendeid. Leidub sadu loendeid, mida kasutatakse pahavara käskude ja juhtimise, nuhkvara, reklaamvara, torisõlmede ja igasuguste muude kasulike loendite jälgimiseks.

Neid loendeid saab sageli tõmmata pfBlockerNG-sse ja kasutada ka täiendavate DNS-i mustade loenditena. Kasulikke loendeid pakuvad üsna paljud ressursid:

  • https://forum.pfsense.org/index.php?topic=114499.0
  • https://forum.pfsense.org/index.php?topic=102470.0
  • https://forum.pfsense.org/index.php?topic=86212.0

Ülalolevad lingid pakuvad lõime pfSense'i foorumisse, kuhu liikmed on postitanud suure koguse kasutatavatest loenditest. Mõni autori lemmikute loend sisaldab järgmist:

  • http://adaway.org/hosts.txt
  • http://www.malwaredomainlist.com/hostslist/hosts.txt
  • http://pgl.yoyo.org/adservers/serverlist.php?hostformat=hosts&mimetype=plaintext
  • https://zeustracker.abuse.ch/blocklist.php?download=domainblocklist
  • https://gist.githubusercontent.com/BBcan177/4a8bf37c131be4803cb2/raw

Jällegi on palju muid loendeid ja autor julgustab tungivalt, et inimesed otsiksid rohkem/muid loendeid. Jätkame siiski seadistamisülesannetega.

Esimene samm on minna uuesti tulemüüri -> 'pfBlockerNG' -> 'DSNBL' kaudu pfBlockerNG konfiguratsioonimenüüsse.

Kui olete uuesti DNSBL-i konfiguratsioonilehel, klõpsake teksti DNSBL-kanalid ja seejärel klõpsake nuppu Lisa, kui leht on värskendatud.

Nupp Lisa võimaldab administraatoril lisada tarkvarale pfBlockerNG veel halbade IP-aadresside või DNS-i nimede loendeid (kaks loendis juba olevat üksust on autorilt testimisel). Nupp Lisa lisab administraatori lehele, kus tulemüüri saab lisada DNSBL-i loendeid.

Selle väljundi olulised seaded on järgmised:

  • DNS-i rühma nimi - valitud kasutaja
  • Kirjeldus - kasulik gruppide korrastatuks hoidmiseks
  • DNSBL-i seaded - need on tegelikud loendid
    • Riik - kas seda allikat kasutatakse või mitte ja kuidas see on saadud
    • Allikas - DNS-i musta nimekirja link/allikas
    • Päis/silt - kasutaja valik; pole erimärke

    Kui need sätted on määratud, klõpsake lehe allosas oleval nupul Salvesta. Nagu kõigi pfBlockerNG muudatuste puhul, jõustuvad muudatused järgmisel ajastatud croni intervallil või saab administraator käsitsi uuesti laadida, navigeerides vahekaardile Uuendus, klõpsates raadionuppu „Laadi uuesti“ ja klõpsates seejärel nuppu „Kõik“ Raadio nupp. Kui need on valitud, klõpsake nuppu Käivita.

    Vaadake võimalikke vigu allolevast logiaknast. Kui kõik läks plaanipäraselt, proovige, kas loendid töötavad, proovides lihtsalt teha ls-poolsel kliendil nslookup ühte DNSBL-i konfiguratsioonis kasutatud tekstifailides loetletud domeenidest.

    Nagu ülaltoodud väljundist nähtub, tagastab pfSense-seade virtuaalse IP-aadressi, mis oli konfigureeritud pfBlockerNG-s musta nimekirja domeenide halva IP-na.

    Siinkohal sai administraator jätkata loendite häälestamist, lisades veel loendeid või luues kohandatud domeeni/IP loendid. pfBlockerNG jätkab nende piiratud domeenide ümbersuunamist võltsitud IP-aadressile.

    Täname, et lugesite seda artiklit pfBlockerNG kohta. Palun näidake oma tunnustust või toetust nii pfSense'i tarkvarale kui ka pfBlockerNG-le, aidates igal juhul kaasa mõlema imelise toote jätkuvale arendamisele. Nagu alati, palun kommenteerige allpool ettepanekute või küsimustega!