Instale e configure Pfblockerng para a Listagem Black DNS no PfSense Firewall

Em um artigo anterior, a instalação de uma poderosa solução de firewall baseada em FreeBSD conhecida como pfsense foi discutida. PfSense, como mencionado no artigo anterior, é uma solução de firewall muito poderosa e flexível que pode usar um computador antigo que pode estar deitado por não fazer muito.

Este artigo vai falar sobre um maravilhoso pacote complementar para pfsense chamado pfblockerng.

pfblockerng é um pacote que pode ser instalado no PFSense para fornecer ao administrador do firewall a capacidade de estender as capacidades do firewall além do tradicional firewall L2/L3/L4.

À medida que as capacidades de atacantes e criminosos cibernéticos continuam a avançar, as defesas que são implementadas para impedir seus esforços. Como em qualquer coisa no mundo da computação, não há uma solução única conserta todo o produto.

O Pfblockerng fornece ao PfSense a capacidade de o firewall tomar itens baseados em decisões de decisões, como a geolocalização de um endereço IP, o nome de domínio de um recurso ou as classificações do Alexa de sites específicos.

A capacidade de restringir itens como nomes de domínio é muito vantajosa, pois permite que os administradores frustrem tentativas de máquinas internas que tentam se conectar a domínios ruins conhecidos (em outras palavras, domínios que podem ser conhecidos por ter malware, conteúdo ilegal ou outro Dados insidiosos).

Este guia passará pela configuração de um dispositivo de firewall pfsense para usar o pacote pfblockerng, bem como alguns exemplos básicos de listas de blocos de domínio que podem ser adicionadas/configuradas na ferramenta pfblockerng.

Requisitos

Este artigo fará algumas suposições e se desenvolverá com o artigo de instalação anterior sobre PfSense. As suposições serão as seguintes:

• O PFSense já está instalado e não possui regras atualmente configuradas (LIMPE SLATE).
• O firewall tem apenas uma WAN e uma porta LAN (2 portas).
• O esquema de IP usado no lado da LAN é 192.168.0.0/24.

Deve -se notar que o pfblockerng pode ser configurado em um firewall pfsense já executando/configurado. A razão para essas suposições aqui é simplesmente por causa da sanidade e muitas das tarefas que serão concluídas, ainda podem ser feitas em uma caixa de ardósia não limpa Pfsense.

Diagrama de laboratório

A imagem abaixo é o diagrama de laboratório para o ambiente pfsense que será usado neste artigo.

Diagrama de rede PFSense

Instale o pfblockerng para pfsense

Com o laboratório pronto para ir, é hora de começar! O primeiro passo é conectar -se à interface da web para o PfSense Firewall. Novamente, este ambiente de laboratório está usando o 192.168.0.0/24 Rede com o firewall atuando como o gateway com um endereço de 192.168.0.1. Usando um navegador da web e navegando para 'https: // 192.168.0.1'Exibirá a página de login do PfSense.

Alguns navegadores podem reclamar do certificado SSL, isso é normal, pois o certificado é auto -assinado pelo PfSense Firewall. Você pode aceitar com segurança a mensagem de aviso e, se desejado, um certificado válido assinado por uma CA legítima pode ser instalado, mas está além do escopo deste artigo.

Aviso de SSL do PFSense

Depois de clicar com sucesso 'Avançado' e então 'Adicione exceção… ', clique para confirmar a exceção de segurança. A página de login do PFSense será exibida e permitirá que o administrador faça login no appliance do firewall.

Janela de login do PFSense

Depois de fazer login na página principal do PFSense, clique no 'Sistema'Desça e depois selecione'Gerenciador de pacotes'.

Gerente de pacote PFSense

Clicar neste link mudará para a janela Gerenciador de pacotes. A primeira página a ser carregada será todos os pacotes atualmente instalados e ficará em branco (novamente este guia está assumindo uma instalação limpa do PFSense). Clique no texto 'Pacotes disponíveis'Para receber uma lista de pacotes instaláveis ​​para PfSense.

Pacotes PFSense disponíveis

Uma vez o 'Pacotes disponíveis'Página carrega, tipo'pfblocker' no 'Termo de pesquisa'Caixa e clique no'Procurar'. O primeiro item que é devolvido deve ser pfblockerng. Localize o 'InstalarBotão à direita da descrição do Pfblockerng e clique no '+' Para instalar o pacote.

A página recarregará e solicitará que o administrador confirme a instalação clicando 'confirme'.

Instale o pfblockerng para pfsense

Uma vez confirmado, o PfSense começará a instalar Pfblockerng. Não navegue para longe da página do instalador! Aguarde até a página exibir uma instalação bem -sucedida.

Instalação do Pfblockerng

Depois que a instalação for concluída, a configuração pfblockerng pode começar. A primeira tarefa que precisa ser concluída é algumas explicações sobre o que vai acontecer quando o pfblockerng for configurado corretamente.

Depois que o pfblockerng estiver configurado, os pedidos de sites DNS devem ser interceptados pelo firewall pfsense que executa o software pfblockerng. Pfblockerng terá listas atualizadas de domínios ruins conhecidos que são mapeados para um endereço IP ruim.

O firewall do PFSense precisa interceptar solicitações DNS para poder filtrar domínios ruins e usará um resolvedor de DNS local conhecido como Unbound. Isso significa que os clientes na interface LAN precisam usar o firewall do PFSense como resolvedor de DNS.

Se o cliente solicitar um domínio que esteja nas listas de blocos do Pfblockerng, o Pfblockerng retornará um endereço IP falso para o domínio. Vamos começar o processo!

Configuração do Pfblockerng para PfSense

O primeiro passo é ativar o DNS não ligado Resolver no firewall pfsense. Para fazer isso, clique no 'Serviços'menu suspenso e depois selecione'Resolver DNS'.

Resolver DNS do PFSense

Quando a página recarrega, as configurações gerais do resolver DNS serão configuráveis. Esta primeira opção que precisa ser configurada é a caixa de seleção para 'Ativar resolvedor de DNS'.

As próximas configurações são definir a porta de escuta do DNS (normalmente a porta 53), definindo as interfaces de rede que o resolvedor de DNS deve ouvir (nesta configuração, deve ser a porta LAN e o localhost) e, em seguida, definir a porta de saída (deve estar WAN nesta configuração).

Resolver DNS ativa o PFSense

Depois que as seleções forem feitas, não deixe de clicar em 'Salvar'Na parte inferior da página e depois clique no'Aplicar mudançasBotão que aparecerá no topo da página.

A próxima etapa é a primeira etapa na configuração do pfblockerng especificamente. Navegue até a página de configuração do Pfblockerng sob o 'Firewall'Menu e depois clique em'pfblockerng'.

Configuração pfblockerng

Depois que o pfblockerng estiver carregado, clique no 'Dnsbl'Guia Primeiro para começar a configurar as listas DNS antes de ativar o Pfblockerng.

Configurar listas DNS

Quando o 'Dnsbl'Página Cargas, haverá um novo conjunto de menus sob os menus Pfblockerng (destacados em verde abaixo). O primeiro item que precisa ser abordado é o 'Ativar dnsbl'Caixa de seleção (destacada em verde abaixo).

Esta caixa de seleção exigirá o DNS não ligado Resolver seja usado na caixa PFSense para inspecionar solicitações DNS de clientes da LAN. Não se preocupe, a não foi configurada anteriormente, mas esta caixa precisará ser verificada! O outro item que precisa ser preenchido nessa tela é o 'IP virtual DNSBL'.

Este IP precisa estar no intervalo de rede privado e não um IP válido na rede em que o PfSense está sendo usado. Por exemplo, uma rede LAN em 192.168.0.0/24 poderia usar um IP de 10.0.0.1 Como é um IP privado e não faz parte da rede LAN.

Este IP será usado para reunir estatísticas e monitorar domínios que estão sendo rejeitados por Pfblockerng.

Ativar DNSBL para PfSense

Rolando para baixo na página, há mais algumas configurações que vale a pena mencionar. O primeiro é o 'Interface de escuta DNSBL'. Para esta configuração e a maioria das configurações, essa configuração deve ser definida como 'LAN'.

A outra configuração é 'Ação da lista' sob 'Configurações de firewall IP DNSBL'. Esta configuração determina o que deve acontecer quando um feed DNSBL fornece endereços IP.

As regras pfblockerng podem ser configuradas para executar qualquer número de ações, mas provavelmente ''Negar os dois'Será a opção desejada. Isso impedirá conexões de entrada e saída com o IP/domínio no feed DNSBL.

Configure o DNSBL para PfSense

Depois que os itens forem selecionados, role até a parte inferior da página e clique no 'Salvar' botão. Uma vez que a página recarregue, é hora de configurar as listas de blocos DNS que devem ser usadas.

O Pfblockerng fornece ao administrador duas opções que podem ser configuradas de forma independente ou juntas, dependendo da preferência do administrador. As duas opções são feeds manuais de outras páginas da Web ou Easylists.

Para ler mais sobre os diferentes Easylists, visite a página inicial do projeto: https: // easylist.para/

Configure Pfblockerng Easylist

Vamos discutir e configurar os Easylists primeiro. A maioria dos usuários domésticos achará essas listas suficientes e as menos onerosas administrativamente onerosas.

Os dois Easylists disponíveis em Pfblockerng são 'Easylist sem o elemento escondido' e 'EasyPrivacy'. Para usar uma dessas listas, clique primeiro no 'DNSBL Easylist' no topo da página.

Configure o DNSBL Easylist

Uma vez que a página recarregue, o Easylist A seção de configuração será disponibilizada. As seguintes configurações precisarão ser configuradas:

• Nome do grupo DNS - Escolha do usuário, mas sem personagens especiais
• Descrição - Escolha do usuário, caracteres especiais permitidos
• Easylist Feeds State - Se a lista configurada é usada
• Alimentação easylist - Qual lista a ser usada (Easylist ou EasyPrivacy) pode ser adicionada
• Cabeçalho/etiqueta - Escolha do usuário, mas sem caracteres especiais

Configuração do Easylist para PfSense

A próxima seção é usada para determinar quais partes das listas serão bloqueadas. Novamente, tudo isso é preferência do usuário e vários podem ser selecionados, se desejar. As configurações importantes no 'DNSBL - Configurações do Easylist' são como segue:

• Categorias - A preferência do usuário e múltiplos podem ser selecionados
• Ação da lista - Precisa ser definido como 'ilimitado' para inspecionar solicitações de DNS
• Frequência de atualização - Com que frequência o PfSense atualizará a lista de sites ruins

Configurações de Easylist DNSBL

Quando as configurações do Easylist forem configuradas para as preferências do usuário, role até o final da página e clique no 'Salvar' botão. Depois que a página recarregue, role até o topo da página e clique no 'Atualizar' aba.

Uma vez na guia Atualizar, verifique o botão de rádio para 'recarregar'E então verifique o botão de rádio para'Todos'. Isso será executado através de uma série de downloads da web para obter as listas de blocos selecionadas na página de configuração do Easylist anteriormente.

Isso deve ser feito manualmente, de outra forma, as listas não serão baixadas até a tarefa cron programada. A qualquer momento são feitas (listas adicionadas ou removidas) Certifique -se de executar esta etapa.

Atualize as configurações do Easylist

Assista à janela de log abaixo para qualquer erro. Se tudo foi planejado, as máquinas clientes no lado da LAN do firewall devem poder consultar o firewall do PfSense para sites ruins conhecidos e receber endereços IP ruins em troca. Novamente, as máquinas clientes devem ser definidas para usar a caixa PfSense como resolvedor de DNS, embora!

Verifique o NSLOOKUP quanto a erros

Observe no nslookup acima de que o URL retorna o Falso IP configurado anteriormente nas configurações Pfblockerng. Este é o resultado desejado. Isso resultaria em qualquer pedido ao URL '100Pour.com'sendo direcionado para o endereço IP falso de 10.0.0.1.

Configure feeds dnsbl para pfsense

Em contraste com o Easylists de Adblock, Há também a capacidade de usar outras listas pretas do DNS no Pfblockerng. Existem centenas de listas usadas para rastrear comando e controle de malware, spyware, adware, nós de Tor e todos os tipos de outras listas úteis.

Essas listas geralmente podem ser puxadas para Pfblockerng e também usadas como outras listas negras do DNS. Existem alguns recursos que fornecem listas úteis:

• https: // fórum.PfSense.org/índice.php?Tópico = 114499.0
• https: // fórum.PfSense.org/índice.php?Tópico = 102470.0
• https: // fórum.PfSense.org/índice.php?Tópico = 86212.0

Os links acima fornecem tópicos no fórum de PfSense, onde os membros publicaram uma grande coleção da lista que usam. Algumas das listas favoritas do autor incluem o seguinte:

• http: // Adaway.org/hosts.TXT
• http: // www.Malwaredomainlist.com/hostslist/hosts.TXT
• http: // pgl.Yoyo.org/adservers/serverlist.php?HostFormat = Hosts & Mimetype = PlainText
• https: // zeustracker.Abuso.CH/Blocklist.php?Download = domainBlockList
• https: //.GithubUserContent.com/BBCAN177/4A8BF37C131BE4803CB2/RAW

Novamente, existem toneladas de outras listas e o autor incentiva fortemente que os indivíduos procuram mais/outras listas. Vamos continuar com as tarefas de configuração embora.

O primeiro passo é entrar no menu de configuração de Pfblockerng novamente através de 'Firewall' -> 'pfblockerng' -> 'Dsnbl'.

Uma vez na página de configuração do DNSBL novamente, clique no 'DNSBL Feeds'texto e depois clique no'AdicionarBotão assim que a página atualiza.

Configure feeds dnsbl para pfsense

O botão Adicionar permitirá que o administrador adicione mais listas de endereços IP ou nomes de DNS ruins ao software Pfblockerng (os dois itens que já estão na lista são os autores de testes). O botão Adicionar traz o administrador a uma página em que as listas DNSBL podem ser adicionadas ao firewall.

Configuração do DNS Badlist

As configurações importantes nesta saída são as seguintes:

• Nome do grupo DNS - Usuário escolhido
• Descrição - Útil para manter grupos organizados
• Configurações DNSBL - Estas são as listas reais
• Estado - Se essa fonte é usada ou não e como é obtida
• Fonte - O link/fonte da lista preta do DNS
• Cabeçalho/etiqueta - Escolha do usuário; Sem personagens especiais
• Ação da lista - Definido para ilimitar
• Frequência de atualização - Com que frequência a lista deve ser atualizada

Depois que essas configurações forem definidas, clique no salvar botão para baixo na parte inferior da página. Como em quaisquer alterações no Pfblockerng, as mudanças entrarão em vigor no próximo intervalo cron programado ou o administrador pode forçar manualmente uma recarga navegando para o ''Atualizar'Guia, clique no'recarregar'Botão de rádio e depois clique no'Todos' botao de radio. Depois que eles forem selecionados, clique no 'Correr' botão.

DNSBL Feeds Atualizar configurações

Assista à janela de log abaixo para qualquer erro. Se tudo foi planejado, teste que as listas estão funcionando simplesmente tentando fazer um nslookup de um cliente no lado da LAN para um dos domínios listados em um dos arquivos de texto usados ​​na configuração DNSBL.

Assista à pesquisa DNS

Como pode ser visto na saída acima, o dispositivo PFSense está retornando o endereço IP virtual que foi configurado em Pfblockerng como o IP ruim para os domínios da Lista Negra.

Neste ponto, o administrador pode continuar ajustando as listas adicionando mais listas ou criando listas de domínio/IP personalizadas. O Pfblockerng continuará a redirecionar esses domínios restritos para um endereço IP falso.

Obrigado por ler este artigo sobre Pfblockerng. Mostre sua apreciação ou suporte para o software PFSense, bem como para o Pfblockerng, contribuindo de qualquer maneira possível para o desenvolvimento contínuo de ambos os produtos maravilhosos. Como sempre, comente abaixo com quaisquer sugestões ou perguntas!