Instalējiet un konfigurējiet pfBlockerNg DNS melnajam sarakstam pfSense ugunsmūrī


Iepriekšējā rakstā tika apspriests spēcīga FreeBSD bāzes ugunsmūra risinājuma, kas pazīstams kā pfSense, instalēšana. pfSense, kā minēts iepriekšējā rakstā, ir ļoti spēcīgs un elastīgs ugunsmūra risinājums, kas var izmantot vecu datoru, kas, iespējams, atrodas daudz nedarot.

Šajā rakstā tiks runāts par brīnišķīgu pfsense papildinājumu paketi ar nosaukumu pfBlockerNG.

pfBlockerNG ir pakete, kuru var instalēt pfSense, lai nodrošinātu ugunsmūra administratoram iespēju paplašināt ugunsmūra iespējas ārpus tradicionālā stāvokļa L2/L3/L4 ugunsmūra.

Tā kā uzbrucēju un kibernoziedznieku spējas turpina attīstīties, jāpalielina arī aizsardzība, kas tiek ieviesta, lai kavētu viņu centienus. Tāpat kā jebkuram citam skaitļošanas pasaulē, nav viena risinājuma, kas visu produktu labotu.

pfBlockerNG nodrošina pfSense iespēju ugunsmūrim atļaut/atteikt lēmumus, pamatojoties uz tādiem elementiem kā IP adreses atrašanās vietas noteikšana, resursa domēna nosaukums vai noteiktu vietņu Alexa vērtējumi.

Spēja ierobežot tādus priekšmetus kā domēna vārdi ir ļoti izdevīga, jo tā ļauj administratoriem kavēt iekšējo mašīnu mēģinājumus izveidot savienojumu ar zināmiem sliktiem domēniem (citiem vārdiem sakot, domēniem, kuriem, iespējams, ir ļaunprātīga programmatūra, nelegāls saturs vai citi mānīgi dati).

Šajā rokasgrāmatā būs aprakstīta pfSense ugunsmūra ierīces konfigurēšana, lai izmantotu paketi pfBlockerNG, kā arī daži pamatdomēnu domēnu bloku sarakstu piemēri, kurus var pievienot/konfigurēt pfBlockerNG rīkā.

Šis raksts ļaus izdarīt dažus pieņēmumus un balstīsies uz iepriekšējo rakstu par pfSense instalēšanu. Pieņēmumi būs šādi:

  • pfSense jau ir instalēts, un tam pašlaik nav konfigurētu noteikumu (tīrs šīferis).
  • Ugunsmūrim ir tikai WAN un LAN ports (2 porti).
  • LAN pusē izmantotā IP shēma ir 192.168.0.0/24.

Jāatzīmē, ka pfBlockerNG var konfigurēt jau darbojošā/konfigurētā pfSense ugunsmūrī. Šo pieņēmumu iemesls šeit ir vienkārši saprāta dēļ, un daudzus no uzdevumiem, kas tiks izpildīti, joprojām var veikt uz tīras šīfera pfSense kastes.

Zemāk redzamais attēls ir pfSense vides laboratorijas diagramma, kas tiks izmantota šajā rakstā.

Instalējiet pfBlockerNG programmai pfSense

Kad laboratorija ir gatava darbam, ir pienācis laiks sākt! Pirmais solis ir izveidot savienojumu ar pfSense ugunsmūra tīmekļa saskarni. Arī šajā laboratorijas vidē tiek izmantots tīkls 192.168.0.0/24 ar ugunsmūri, kas darbojas kā vārteja ar adresi 192.168.0.1. Izmantojot tīmekļa pārlūkprogrammu un dodoties uz vietni ‘https://192.168.0.1’, tiks parādīta pfSense pieteikšanās lapa.

Dažas pārlūkprogrammas var sūdzēties par SSL sertifikātu, tas ir normāli, jo sertifikātu pats ir parakstījis pfSense ugunsmūris. Jūs varat droši pieņemt brīdinājuma ziņojumu, un, ja vēlaties, var instalēt derīgu sertifikātu, ko parakstījusi likumīga CA, taču tas neietilpst šī raksta darbības jomā.

Pēc veiksmīgas noklikšķināšanas uz “Papildu” un pēc tam uz “Pievienot izņēmumu ...” noklikšķiniet, lai apstiprinātu drošības izņēmumu. Pēc tam tiks parādīta pfSense pieteikšanās lapa, un administrators varēs pieteikties ugunsmūra ierīcē.

Kad esat pieteicies galvenajā pfSense lapā, noklikšķiniet uz nolaižamās izvēlnes “Sistēma” un pēc tam atlasiet “Pakotņu pārvaldnieks”.

Noklikšķinot uz šīs saites, tiks atvērts pakešu pārvaldnieka logs. Pirmā ielādējamā lapa būs visas pašlaik instalētās pakotnes un būs tukša (atkal šajā rokasgrāmatā tiek pieņemts, ka pfSense ir tīra instalācija). Lai iegūtu pfSense instalējamo pakotņu sarakstu, noklikšķiniet uz teksta “Pieejamās paketes”.

Kad lapa “Pieejamie paketes” ir ielādēta, lodziņā “Meklēšanas vienums” ierakstiet “pfblocker” un noklikšķiniet uz “Meklēt”. Pirmajam atgrieztajam vienumam jābūt pfBlockerNG. Atrodiet pogu “Instalēt” pfBlockerNG apraksta labajā pusē un noklikšķiniet uz ‘+’ , lai instalētu pakotni.

Lapa tiks atkārtoti ielādēta un pieprasīs administratoram apstiprināt instalēšanu, noklikšķinot uz “Apstiprināt”.

Pēc apstiprināšanas pfSense sāks instalēt pfBlockerNG. Nevirzieties prom no instalētāja lapas! Pagaidiet, līdz lapā tiek parādīta veiksmīga instalēšana.

Kad instalēšana ir pabeigta, pfBlockerNG konfigurācija var sākties. Pirmais uzdevums, kas tomēr jāveic, ir daži paskaidrojumi par to, kas notiks, kad pfBlockerNG būs pareizi konfigurēts.

Kad pfBlockerNG ir konfigurēts, vietņu DNS pieprasījumus vajadzētu pārtvert pfSense ugunsmūrim, kurā darbojas programmatūra pfBlockerNG. Pēc tam pfBlockerNG būs atjaunināti zināmo slikto domēnu saraksti, kas ir piesaistīti sliktai IP adresei.

PfSense ugunsmūrim ir jāaptver DNS pieprasījumi, lai varētu filtrēt sliktos domēnus, un tas izmantos vietējo DNS risinātāju, kas pazīstams kā Nesaistīts. Tas nozīmē, ka LAN saskarnes klientiem kā DNS atrisinātājam jāizmanto pfSense ugunsmūris.

Ja klients pieprasa domēnu, kas atrodas pfBlockerNG bloku sarakstos, pfBlockerNG atgriezīs nepareizu domēna IP adresi. Sāksim procesu!

pfBlockerNG konfigurācija pfSense

Pirmais solis ir iespējot nesaistīto DNS risinātāju pfSense ugunsmūrī. Lai to izdarītu, noklikšķiniet uz nolaižamās izvēlnes “Pakalpojumi” un pēc tam atlasiet “DNS Resolver”.

Kad lapa tiek atkārtoti ielādēta, DNS risinātāja vispārējie iestatījumi būs konfigurējami. Šī pirmā konfigurējamā opcija ir izvēles rūtiņa “Iespējot DNS risinātāju”.

Nākamie iestatījumi ir iestatīt DNS klausīšanās portu (parasti 53. pieslēgvieta), iestatot tīkla saskarnes, kuras DNS risinātājam vajadzētu klausīties (šajā konfigurācijā tam jābūt LAN portam un Localhost), un pēc tam iestatīt izejas portu ( būt WAN šajā konfigurācijā).

Kad atlases ir veiktas, lapas apakšdaļā noteikti noklikšķiniet uz “Saglabāt” un pēc tam noklikšķiniet uz pogas “Lietot izmaiņas”, kas parādīsies lapas augšdaļā.

Nākamais solis ir pirmais pfBlockerNG konfigurācijas solis. Pārejiet uz pfBlockerNG konfigurācijas lapu izvēlnē Firewall un pēc tam noklikšķiniet uz pfBlockerNG.

Kad pfBlockerNG ir ielādēts, vispirms noklikšķiniet uz cilnes DNSBL, lai sāktu DNS sarakstu iestatīšanu pirms pfBlockerNG aktivizēšanas.

Kad tiek ielādēta lapa DNSBL, zem pfBlockerNG izvēlnēm būs jauns izvēlņu komplekts (zemāk izcelts zaļā krāsā). Pirmais jautājums, kas jārisina, ir izvēles rūtiņa “Iespējot DNSBL” (zemāk iezīmēta zaļā krāsā).

Lai pārbaudītu DNS pieprasījumus no LAN klientiem, šai izvēles rūtiņai lodziņā pfSense būs jāizmanto neierobežots DNS risinātājs. Neuztraucieties, un saistīšana tika konfigurēta agrāk, taču šī izvēles rūtiņa būs jāatzīmē! Otrs elements, kas jāaizpilda šajā ekrānā, ir “DNSBL Virtual IP”.

Šim IP jābūt privātā tīkla diapazonā, nevis derīgam IP tīklā, kurā tiek izmantota pfSense. Piemēram, LAN tīklā 192.168.0.0/24 varētu izmantot 10.0.0.1 IP, jo tas ir privāts IP un nav LAN tīkla daļa.

Šis IP tiks izmantots, lai apkopotu statistiku, kā arī uzraudzītu domēnus, kurus pfBlockerNG noraida.

Ritinot lejup pa lapu, ir vērts pieminēt vēl dažus iestatījumus. Pirmais ir ‘DNSBL klausīšanās interfeiss’. Šai un lielākajai daļai iestatījumu šim iestatījumam jābūt iestatītam uz “LAN”.

Otrs iestatījums ir “Saraksta darbība” sadaļā “DNSBL IP ugunsmūra iestatījumi”. Šis iestatījums nosaka, kam jānotiek, ja DNSBL plūsma nodrošina IP adreses.

PfBlockerNG kārtulas var iestatīt, lai veiktu jebkuru darbību skaitu, taču visticamāk vēlamā opcija būs ‘Noraidīt abus’. Tas novērsīs ienākošos un izejošos savienojumus ar IP/domēnu DNSBL plūsmā.

Kad vienumi ir atlasīti, ritiniet līdz lapas apakšai un noklikšķiniet uz pogas Saglabāt. Kad lapa tiek atkārtoti ielādēta, ir pienācis laiks konfigurēt izmantojamos DNS bloku sarakstus.

pfBlockerNG nodrošina administratoram divas iespējas, kuras var konfigurēt neatkarīgi vai kopā atkarībā no administratora vēlmēm. Abas iespējas ir manuālas plūsmas no citām tīmekļa lapām vai EasyLists.

Lai uzzinātu vairāk par dažādiem EasyLists, lūdzu, apmeklējiet projekta mājas lapu: https://easylist.to/

Konfigurējiet pfBlockerNG EasyList

Vispirms apspriedīsim un konfigurēsim EasyLists. Lielākā daļa mājas lietotāju uzskatīs, ka šie saraksti ir pietiekami, kā arī vismazāk administratīvi apgrūtinoši.

Divi pfBlockerNG pieejamie EasyLists ir ‘EasyList w/o Element Hiding’ un ‘EasyPrivacy’. Lai izmantotu kādu no šiem sarakstiem, lapas augšdaļā vispirms noklikšķiniet uz ‘DNSBL EasyList’.

Kad lapa tiks atkārtoti ielādēta, būs pieejama konfigurēšanas sadaļa EasyList. Būs jākonfigurē šādi iestatījumi:

  • DNS grupas nosaukums - lietotāja izvēle, bet nav īpašu rakstzīmju
  • Apraksts - lietotāja izvēle, atļautas īpašās rakstzīmes
  • EasyList plūsmu stāvoklis - vai tiek izmantots konfigurētais saraksts
  • EasyList plūsma - abus var pievienot gan izmantojamo sarakstu (EasyList, gan EasyPrivacy)
  • Galvene/iezīme - lietotāja izvēle, bet nav īpašu rakstzīmju
  • u B14 003c/ul>

    Nākamo sadaļu izmanto, lai noteiktu, kuras saraksta daļas tiks bloķētas. Arī šīs visas ir lietotāja izvēles, un pēc vēlēšanās var izvēlēties vairākas. Svarīgi iestatījumi sadaļā “DNSBL - EasyList Settings” ir šādi:

    • Kategorijas - var izvēlēties lietotāja izvēli un vairākus
    • Saraksta darbība - lai pārbaudītu DNS pieprasījumus, tai jābūt iestatītai uz “Nav saistību”
    • Atjaunināšanas biežums - cik bieži pfSense atjauninās slikto vietņu sarakstu

    Kad EasyList iestatījumi ir konfigurēti pēc lietotāja vēlmēm, noteikti ritiniet līdz lapas apakšai un noklikšķiniet uz pogas Saglabāt. Kad lapa tiek atkārtoti ielādēta, ritiniet līdz lapas augšdaļai un noklikšķiniet uz cilnes Atjaunināt.

    Atverot cilni Atjaunināšana, atzīmējiet izvēles pogu “Pārlādēt” un pēc tam atzīmējiet izvēles pogu “Visi”. Tas notiks, izmantojot vairākas lejupielādes tīmeklī, lai iegūtu bloku sarakstus, kas iepriekš atlasīti EasyList konfigurācijas lapā.

    Tas jādara manuāli, pretējā gadījumā saraksti tiks lejupielādēti tikai pēc ieplānotā cron uzdevuma. Veicot izmaiņas jebkurā laikā (pievienoti vai noņemti saraksti), noteikti veiciet šo darbību.

    Skatiet žurnāla logu, lai redzētu kļūdas. Ja viss notika pēc plāna, klienta mašīnām ugunsmūra LAN pusē vajadzētu būt iespējai pieprasīt pfSense ugunsmūrim zināmas sliktas vietnes un pretī saņemt sliktas ip adreses. Atkal klientu mašīnām jābūt iestatītām izmantot pfsense lodziņu kā savu DNS risinātāju!

    Iepriekš esošajā nslookup pamaniet, ka vietrādis URL atgriež viltus IP, kas iepriekš konfigurēts pfBlockerNG konfigurācijās. Tas ir vēlamais rezultāts. Tā rezultātā jebkurš pieprasījums uz vietni URL “100pour.com” tiktu novirzīts uz nepareizu 10.0.0.1 IP adresi.

    Konfigurējiet DNSbl plūsmas pfSense

    Atšķirībā no AdBlock EasyLists, pfBlockerNG ir arī iespēja izmantot citus DNS melnos sarakstus. Ir simtiem sarakstu, kas tiek izmantoti, lai izsekotu ļaunprātīgas programmatūras komandēšanu un vadību, spiegprogrammatūru, reklāmprogrammatūru, tor mezglus un visu veidu citus noderīgus sarakstus.

    Šos sarakstus bieži var ievietot pfBlockerNG un izmantot arī kā citus DNS melnos sarakstus. Ir diezgan daudz resursu, kas nodrošina noderīgus sarakstus:

    • https://forum.pfsense.org/index.php?topic=114499.0
    • https://forum.pfsense.org/index.php?topic=102470.0
    • https://forum.pfsense.org/index.php?topic=86212.0

    Iepriekš minētās saites nodrošina pavedienus pfSense forumā, kur dalībnieki ir ievietojuši lielu sarakstu ar viņu izmantoto sarakstu. Daži no autora iecienītākajiem sarakstiem ietver:

    • http://adaway.org/hosts.txt
    • http://www.malwaredomainlist.com/hostslist/hosts.txt
    • http://pgl.yoyo.org/adservers/serverlist.php?hostformat=hosts&mimetype=plaintext
    • https://zeustracker.abuse.ch/blocklist.php?download=domainblocklist
    • https://gist.githubusercontent.com/BBcan177/4a8bf37c131be4803cb2/raw

    Atkal ir daudz citu sarakstu, un autors stingri mudina personas meklēt vairāk/citus sarakstus. Turpināsim ar konfigurācijas uzdevumiem.

    Pirmais solis ir vēlreiz ieiet pfBlockerNG konfigurācijas izvēlnē, izmantojot ‘Firewall’ -> ‘pfBlockerNG’ -> ’DSNBL’.

    Atkārtoti DNSBL konfigurācijas lapā noklikšķiniet uz teksta DNSBL plūsmas un pēc tam noklikšķiniet uz pogas Pievienot, tiklīdz lapa tiks atsvaidzināta.

    Poga Pievienot ļaus administratoram pfBlockerNG programmatūrai pievienot vairāk sliktu IP adrešu vai DNS nosaukumu sarakstus (divi sarakstā jau esošie vienumi ir autora testēšanas rezultāti). Poga Pievienot novirza administratoru uz lapu, kurā ugunsmūrim var pievienot DNSBL sarakstus.

    Svarīgi šīs izejas iestatījumi ir šādi:

    • DNS grupas nosaukums - izvēlēts lietotājs
    • Apraksts - noderīgs grupu uzturēšanai
    • DNSBL iestatījumi - šie ir faktiskie saraksti
      • Stāvoklis - vai avots tiek izmantots vai nav un kā tas iegūts
      • Avots - DNS melnā saraksta saite/avots
      • Header/Label - lietotāja izvēle; nav īpašu rakstzīmju

      Kad šie iestatījumi ir iestatīti, lapas apakšdaļā noklikšķiniet uz pogas Saglabāt. Tāpat kā jebkuras izmaiņas pfBlockerNG, izmaiņas stāsies spēkā nākamajā ieplānotajā cron intervālā, vai arī administrators var manuāli piespiest atkārtotu ielādi, pārejot uz cilni Atjaunināt, noklikšķiniet uz pogas Pārlādēt un pēc tam noklikšķiniet uz Visi radio poga. Kad tie ir atlasīti, noklikšķiniet uz pogas Palaist.

      Skatiet žurnāla logu, lai redzētu kļūdas. Ja viss notika pēc plāna, pārbaudiet, vai saraksti darbojas, vienkārši mēģinot veikt nslookup no klienta lan pusē uz kādu no domēniem, kas uzskaitīti vienā no DNSBL konfigurācijā izmantotajiem teksta failiem.

      Kā redzams iepriekš izvadē, pfSense ierīce atgriež virtuālo IP adresi, kas pfBlockerNG tika konfigurēta kā sliktā IP melnā saraksta domēniem.

      Šajā brīdī administrators varēja turpināt sarakstu pielāgošanu, pievienojot vairāk sarakstu vai izveidojot pielāgotus domēnu/IP sarakstus. pfBlockerNG turpinās novirzīt šos ierobežotos domēnus uz viltotu IP adresi.

      Paldies, ka izlasījāt šo rakstu par pfBlockerNG. Lūdzu, parādiet savu atzinību vai atbalstu programmatūrai pfSense, kā arī pfBlockerNG, vienalga, cik vien iespējams, veicinot abu šo brīnišķīgo produktu turpmāku attīstību. Kā vienmēr, lūdzu, komentējiet tālāk ar visiem ieteikumiem vai jautājumiem!