Website-Suche

Installieren und konfigurieren Sie pfBlockerNg für DNS Black Listing in der pfSense Firewall

In einem früheren Artikel wurde die Installation einer leistungsstarken FreeBSD-basierten Firewall-Lösung namens pfSense besprochen. pfSense ist, wie im früheren Artikel erwähnt, eine sehr leistungsstarke und flexible Firewall-Lösung, die einen alten Computer nutzen kann, der möglicherweise herumliegt und nicht viel tut.

In diesem Artikel geht es um ein wunderbares Zusatzpaket für pfsense namens pfBlockerNG.

pfBlockerNG ist ein Paket, das in pfSense installiert werden kann, um dem Firewall-Administrator die Möglichkeit zu geben, die Funktionen der Firewall über die herkömmliche zustandsbehaftete L2/L3/L4-Firewall hinaus zu erweitern.

Da sich die Fähigkeiten von Angreifern und Cyberkriminellen ständig weiterentwickeln, müssen auch die Abwehrmaßnahmen, die eingerichtet werden, um ihre Bemühungen zu vereiteln, immer weiter voranschreiten. Wie bei allem in der Computerwelt gibt es keine Patentlösung, die alle Produkte behebt.

pfBlockerNG bietet pfSense die Möglichkeit, dass die Firewall auf der Grundlage von Elementen wie der Geolokalisierung einer IP-Adresse, dem Domänennamen einer Ressource oder den Alexa-Bewertungen bestimmter Websites Entscheidungen über das Zulassen/Ablehnen trifft.

Die Möglichkeit, Elemente wie Domänennamen einzuschränken, ist sehr vorteilhaft, da sie es Administratoren ermöglicht, Versuche interner Maschinen zu vereiteln, die versuchen, eine Verbindung zu bekanntermaßen schädlichen Domänen herzustellen (mit anderen Worten, Domänen, von denen bekannt ist, dass sie Malware, illegale Inhalte usw. enthalten). heimtückische Daten).

In dieser Anleitung wird die Konfiguration eines pfSense-Firewallgeräts für die Verwendung des pfBlockerNG-Pakets erläutert. Außerdem werden einige grundlegende Beispiele für Domänenblocklisten vorgestellt, die dem pfBlockerNG-Tool hinzugefügt/konfiguriert werden können.

Anforderungen

Dieser Artikel geht von einigen Annahmen aus und baut auf dem vorherigen Installationsartikel über pfSense auf. Die Annahmen werden wie folgt sein:

  • pfSense ist bereits installiert und es sind derzeit keine Regeln konfiguriert (Clean Slate).
  • Die Firewall verfügt nur über einen WAN- und einen LAN-Port (2 Ports).
  • Das auf der LAN-Seite verwendete IP-Schema ist 192.168.0.0/24.

Es ist zu beachten, dass pfBlockerNG auf einer bereits laufenden/konfigurierten pfSense-Firewall konfiguriert werden kann. Der Grund für diese Annahmen hier ist einfach der Vernunft halber und viele der Aufgaben, die erledigt werden, können immer noch auf einer nicht sauberen pfSense-Box erledigt werden.

Labordiagramm

Das Bild unten ist das Labordiagramm für die pfSense-Umgebung, die in diesem Artikel verwendet wird.

Installieren Sie pfBlockerNG für pfSense

Wenn das Labor betriebsbereit ist, kann es losgehen! Der erste Schritt besteht darin, eine Verbindung zur Weboberfläche der pfSense-Firewall herzustellen. Auch diese Laborumgebung verwendet das Netzwerk 192.168.0.0/24, wobei die Firewall als Gateway mit der Adresse 192.168.0.1 fungiert. Wenn Sie einen Webbrowser verwenden und zu „https://192.168.0.1“ navigieren, wird die pfSense-Anmeldeseite angezeigt.

Einige Browser beschweren sich möglicherweise über das SSL-Zertifikat. Dies ist normal, da das Zertifikat von der pfSense-Firewall selbstsigniert ist. Sie können die Warnmeldung getrost akzeptieren und bei Bedarf ein gültiges, von einer legitimen Zertifizierungsstelle signiertes Zertifikat installieren, dies geht jedoch über den Rahmen dieses Artikels hinaus.

Nachdem Sie erfolgreich auf „Erweitert“ und dann auf „Ausnahme hinzufügen…“ geklickt haben, klicken Sie, um die Sicherheitsausnahme zu bestätigen. Anschließend wird die pfSense-Anmeldeseite angezeigt und ermöglicht dem Administrator die Anmeldung bei der Firewall-Appliance.

Sobald Sie sich auf der Hauptseite von pfSense angemeldet haben, klicken Sie auf das Dropdown-Menü „System“ und wählen Sie dann „Paketmanager“ aus.

Wenn Sie auf diesen Link klicken, gelangen Sie zum Fenster des Paketmanagers. Die erste Seite, die geladen wird, enthält alle derzeit installierten Pakete und ist leer (diese Anleitung geht wiederum von einer sauberen pfSense-Installation aus). Klicken Sie auf den Text „Verfügbare Pakete“, um eine Liste der installierbaren Pakete für pfSense anzuzeigen.

Sobald die Seite „Verfügbare Pakete“ geladen wird, geben Sie „pfblocker“ in das Feld „Suchbegriff“ ein und klicken Sie auf „Suchen<“.'. Das erste zurückgegebene Element sollte pfBlockerNG sein. Suchen Sie die Schaltfläche „Installieren“ rechts neben der pfBlockerNG-Beschreibung und klicken Sie auf das „+“, um das Paket zu installieren.

Die Seite wird neu geladen und fordert den Administrator auf, die Installation durch Klicken auf „Bestätigen“ zu bestätigen.

Nach der Bestätigung beginnt pfSense mit der Installation von pfBlockerNG. Navigieren Sie nicht von der Installationsseite weg! Warten Sie, bis auf der Seite eine erfolgreiche Installation angezeigt wird.

Sobald die Installation abgeschlossen ist, kann mit der pfBlockerNG-Konfiguration begonnen werden. Die erste Aufgabe, die jedoch erledigt werden muss, besteht darin, einige Erklärungen dazu zu geben, was passieren wird, sobald pfBlockerNG ordnungsgemäß konfiguriert ist.

Sobald pfBlockerNG konfiguriert ist, sollten DNS-Anfragen für Websites von der pfSense-Firewall abgefangen werden, auf der die pfBlockerNG-Software ausgeführt wird. pfBlockerNG verfügt dann über aktualisierte Listen bekannter fehlerhafter Domänen, die einer fehlerhaften IP-Adresse zugeordnet sind.

Die pfSense-Firewall muss DNS-Anfragen abfangen, um fehlerhafte Domänen herauszufiltern, und verwendet einen lokalen DNS-Resolver namens UnBound. Das bedeutet, dass Clients an der LAN-Schnittstelle die pfSense-Firewall als DNS-Resolver verwenden müssen.

Wenn der Client eine Domäne anfordert, die auf den Sperrlisten von pfBlockerNG steht, gibt pfBlockerNG eine falsche IP-Adresse für die Domäne zurück. Beginnen wir mit dem Prozess!

pfBlockerNG-Konfiguration für pfSense

Der erste Schritt besteht darin, den UnBound DNS-Resolver in der pfSense-Firewall zu aktivieren. Klicken Sie dazu auf das Dropdown-Menü „Dienste“ und wählen Sie dann „DNS-Resolver“ aus.

Wenn die Seite neu geladen wird, können die allgemeinen Einstellungen des DNS-Resolvers konfiguriert werden. Die erste Option, die konfiguriert werden muss, ist das Kontrollkästchen für „DNS-Resolver aktivieren“.

Die nächsten Einstellungen bestehen darin, den DNS-Abhörport festzulegen (normalerweise Port 53), die Netzwerkschnittstellen festzulegen, die der DNS-Resolver abhören soll (in dieser Konfiguration sollten es der LAN-Port und Localhost sein) und dann den Ausgangsport festzulegen (sollte). in dieser Konfiguration WAN sein).

Nachdem Sie Ihre Auswahl getroffen haben, klicken Sie unbedingt unten auf der Seite auf „Speichern“ und dann auf die Schaltfläche „Änderungen übernehmen“, die oben angezeigt wird die Seite.

Der nächste Schritt ist der erste Schritt speziell bei der Konfiguration von pfBlockerNG. Navigieren Sie zur pfBlockerNG-Konfigurationsseite im Menü „Firewall“ und klicken Sie dann auf „pfBlockerNG“.

Sobald pfBlockerNG geladen ist, klicken Sie zunächst auf die Registerkarte „DNSBL“, um mit der Einrichtung der DNS-Listen zu beginnen, bevor Sie pfBlockerNG aktivieren.

Wenn die Seite „DNSBL“ geladen wird, wird unter den pfBlockerNG-Menüs eine neue Reihe von Menüs angezeigt (unten grün hervorgehoben). Der erste Punkt, der behoben werden muss, ist das Kontrollkästchen „DNSBL aktivieren“ (unten grün hervorgehoben).

Für dieses Kontrollkästchen muss der UnBound DNS-Resolver im pfSense-Feld verwendet werden, um DNS-Anfragen von LAN-Clients zu überprüfen. Keine Sorge, UnBound wurde bereits früher konfiguriert, aber dieses Kontrollkästchen muss aktiviert werden! Das andere Element, das auf diesem Bildschirm ausgefüllt werden muss, ist „DNSBL Virtual IP“.

Diese IP muss im privaten Netzwerkbereich liegen und darf keine gültige IP in dem Netzwerk sein, in dem pfSense verwendet wird. Beispielsweise könnte ein LAN-Netzwerk unter 192.168.0.0/24 die IP-Adresse 10.0.0.1 verwenden, da es sich um eine private IP handelt und nicht Teil des LAN-Netzwerks ist.

Diese IP wird zum Sammeln von Statistiken sowie zum Überwachen von Domänen verwendet, die von pfBlockerNG abgelehnt werden.

Wenn Sie auf der Seite nach unten scrollen, gibt es noch einige weitere erwähnenswerte Einstellungen. Das erste ist das „DNSBL Listening Interface“. Für dieses Setup und die meisten Setups sollte diese Einstellung auf „LAN“ eingestellt sein.

Die andere Einstellung ist „List Action“ unter „DNSBL IP Firewall Settings“. Diese Einstellung bestimmt, was passieren soll, wenn ein DNSBL-Feed IP-Adressen bereitstellt.

Die pfBlockerNG-Regeln können so eingerichtet werden, dass sie eine beliebige Anzahl von Aktionen ausführen, aber höchstwahrscheinlich ist „Beides verweigern“ die gewünschte Option. Dadurch werden ein- und ausgehende Verbindungen zur IP/Domäne im DNSBL-Feed verhindert.

Nachdem Sie die Elemente ausgewählt haben, scrollen Sie zum Ende der Seite und klicken Sie auf die Schaltfläche „Speichern“. Sobald die Seite neu geladen wird, ist es an der Zeit, die DNS-Blocklisten zu konfigurieren, die verwendet werden sollen.

pfBlockerNG bietet dem Administrator zwei Optionen, die je nach Vorliebe des Administrators unabhängig voneinander oder zusammen konfiguriert werden können. Die beiden Optionen sind manuelle Feeds von anderen Webseiten oder EasyLists.

Um mehr über die verschiedenen EasyLists zu erfahren, besuchen Sie bitte die Homepage des Projekts: https://easylist.to/

Konfigurieren Sie pfBlockerNG EasyList

Lassen Sie uns zunächst die EasyLists besprechen und konfigurieren. Für die meisten Heimanwender sind diese Listen ausreichend und am wenigsten verwaltungstechnisch aufwändig.

Die beiden in pfBlockerNG verfügbaren EasyLists sind „EasyList w/o Element Hiding“ und „EasyPrivacy“. Um eine dieser Listen zu verwenden, klicken Sie zunächst oben auf der Seite auf „DNSBL EasyList“.

Sobald die Seite neu geladen wird, wird der Konfigurationsabschnitt EasyList verfügbar gemacht. Die folgenden Einstellungen müssen konfiguriert werden:

  • DNS-Gruppenname – Wahl des Benutzers, jedoch ohne Sonderzeichen
  • Beschreibung – Auswahl durch den Benutzer, Sonderzeichen zulässig
  • EasyList Feeds State – Ob die konfigurierte Liste verwendet wird
  • EasyList Feed – Welche Liste verwendet werden soll (EasyList oder EasyPrivacy), beide können hinzugefügt werden
  • Header/Label – Benutzerauswahl, aber keine Sonderzeichen

Im nächsten Abschnitt wird festgelegt, welche Teile der Listen gesperrt werden. Auch hier handelt es sich alles um Benutzerpräferenzen und bei Bedarf können mehrere ausgewählt werden. Die wichtigen Einstellungen in den „DNSBL – EasyList Settings“ sind wie folgt:

  • Kategorien – Benutzerpräferenz und mehrere können ausgewählt werden
  • Listenaktion – Muss auf „Ungebunden“ gesetzt sein, um DNS-Anfragen zu überprüfen
  • Aktualisierungshäufigkeit – Wie oft pfSense die Liste fehlerhafter Websites aktualisiert

Wenn die EasyList-Einstellungen entsprechend den Präferenzen des Benutzers konfiguriert sind, scrollen Sie unbedingt zum Ende der Seite und klicken Sie auf die Schaltfläche „Speichern“. Sobald die Seite neu geladen wird, scrollen Sie zum Seitenanfang und klicken Sie auf die Registerkarte „Aktualisieren“.

Sobald Sie sich auf der Registerkarte „Update“ befinden, aktivieren Sie das Optionsfeld für „Neu laden“ und dann das Optionsfeld für „Alle“. Dadurch werden eine Reihe von Web-Downloads durchgeführt, um die zuvor auf der EasyList-Konfigurationsseite ausgewählten Sperrlisten zu erhalten.

Dies muss manuell erfolgen, andernfalls werden die Listen erst beim geplanten Cron-Task heruntergeladen. Immer wenn Änderungen vorgenommen werden (Listen hinzugefügt oder entfernt werden), müssen Sie diesen Schritt unbedingt ausführen.

Beobachten Sie das Protokollfenster unten auf etwaige Fehler. Wenn alles nach Plan läuft, sollten Client-Rechner auf der LAN-Seite der Firewall in der Lage sein, die pfSense-Firewall nach bekanntermaßen fehlerhaften Websites abzufragen und im Gegenzug fehlerhafte IP-Adressen zu erhalten. Auch hier müssen die Client-Rechner jedoch so eingestellt sein, dass sie die Pfsense-Box als DNS-Resolver verwenden!

Beachten Sie im obigen nslookup, dass die URL die falsche IP zurückgibt, die zuvor in den pfBlockerNG-Konfigurationen konfiguriert wurde. Das ist das gewünschte Ergebnis. Dies würde dazu führen, dass jede Anfrage an die URL „100pour.com“ an die falsche IP-Adresse 10.0.0.1 weitergeleitet würde.

Konfigurieren Sie DNSBL-Feeds für pfSense

Im Gegensatz zu den AdBlock EasyLists besteht innerhalb von pfBlockerNG auch die Möglichkeit, andere DNS Black Lists zu nutzen. Es gibt Hunderte von Listen, die zur Verfolgung von Malware-Befehlen und -Kontrollen, Spyware, Adware, Tor-Knoten und allen möglichen anderen nützlichen Listen verwendet werden.

Diese Listen können häufig in pfBlockerNG übernommen und auch als weitere DNS-Blacklists verwendet werden. Es gibt eine ganze Reihe von Ressourcen, die nützliche Listen bereitstellen:

  • https://forum.pfsense.org/index.php?topic=114499.0
  • https://forum.pfsense.org/index.php?topic=102470.0
  • https://forum.pfsense.org/index.php?topic=86212.0

Die obigen Links stellen Threads im pfSense-Forum bereit, in denen Mitglieder eine große Sammlung der von ihnen verwendeten Listen gepostet haben. Zu den Favoritenlisten des Autors gehören die folgenden:

  • http://adaway.org/hosts.txt
  • http://www.malwaredomainlist.com/hostslist/hosts.txt
  • http://pgl.yoyo.org/adservers/serverlist.php?hostformat=hosts&mimetype=plaintext
  • https://zeustracker.abuse.ch/blocklist.php?download=domainblocklist
  • https://gist.githubusercontent.com/BBcan177/4a8bf37c131be4803cb2/raw

Auch hier gibt es jede Menge andere Listen, und der Autor empfiehlt Einzelpersonen dringend, nach weiteren/anderen Listen zu suchen. Fahren wir jedoch mit den Konfigurationsaufgaben fort.

Der erste Schritt besteht darin, über „Firewall->pfBlockerNG-> erneut in das Konfigurationsmenü von pfBlockerNG zu gelangen 'DSNBL'.

Klicken Sie erneut auf der DNSBL-Konfigurationsseite auf den Text „DNSBL-Feeds“ und dann auf die Schaltfläche „Hinzufügen“, sobald die Seite aktualisiert wird.

Mit der Schaltfläche „Hinzufügen“ kann der Administrator weitere Listen fehlerhafter IP-Adressen oder DNS-Namen zur pfBlockerNG-Software hinzufügen (die beiden Elemente, die sich bereits in der Liste befinden, stammen aus Tests des Autors). Über die Schaltfläche „Hinzufügen“ gelangt der Administrator zu einer Seite, auf der DNSBL-Listen zur Firewall hinzugefügt werden können.

Die wichtigen Einstellungen in dieser Ausgabe sind die folgenden:

  • DNS-Gruppenname – Vom Benutzer ausgewählt
  • Beschreibung – Nützlich für die Organisation von Gruppen
  • DNSBL-Einstellungen – Dies sind die tatsächlichen Listen
    • Status – Ob diese Quelle verwendet wird oder nicht und wie sie bezogen wird
    • Quelle – Der Link/die Quelle der DNS-Schwarzen Liste
    • Header/Label – Benutzerauswahl; keine Sonderzeichen
  • Aktion auflisten – Auf „Ungebunden“ gesetzt
  • Aktualisierungshäufigkeit – Wie oft die Liste aktualisiert werden soll

Sobald diese Einstellungen festgelegt wurden, klicken Sie unten auf der Seite auf die Schaltfläche Speichern. Wie bei allen Änderungen an pfBlockerNG werden die Änderungen beim nächsten geplanten Cron-Intervall wirksam, oder der Administrator kann manuell ein Neuladen erzwingen, indem er zur Registerkarte „Update“ navigiert und auf „Neu laden“ klickt Klicken Sie auf das Optionsfeld „/strong>“ und dann auf das Optionsfeld „Alle“. Sobald diese ausgewählt sind, klicken Sie auf die Schaltfläche „Ausführen“.

Beobachten Sie das Protokollfenster unten auf etwaige Fehler. Wenn alles nach Plan gelaufen ist, testen Sie, ob die Listen funktionieren, indem Sie einfach versuchen, einen NSlookup von einem Client auf der LAN-Seite zu einer der Domänen durchzuführen, die in einer der in der DNSBL-Konfiguration verwendeten Textdateien aufgeführt sind.

Wie in der obigen Ausgabe zu sehen ist, gibt das pfSense-Gerät die virtuelle IP-Adresse zurück, die in pfBlockerNG als fehlerhafte IP für die Blacklist-Domänen konfiguriert wurde.

An diesem Punkt könnte der Administrator die Listen weiter optimieren, indem er weitere Listen hinzufügt oder benutzerdefinierte Domänen-/IP-Listen erstellt. pfBlockerNG wird diese eingeschränkten Domänen weiterhin auf eine gefälschte IP-Adresse umleiten.

Vielen Dank, dass Sie diesen Artikel über pfBlockerNG gelesen haben. Bitte zeigen Sie Ihre Wertschätzung oder Unterstützung für die pfSense-Software sowie pfBlockerNG, indem Sie auf jede erdenkliche Weise zur Weiterentwicklung dieser beiden wunderbaren Produkte beitragen. Bitte kommentieren Sie wie immer unten mit Anregungen oder Fragen!