Įdiekite ir sukonfigūruokite pfBlockerNg DNS juodajam sąrašui pfSense ugniasienėje


Ankstesniame straipsnyje buvo aptartas galingo FreeBSD pagrindu sukurto ugniasienės sprendimo, žinomo kaip pfSense, įdiegimas. „pfSense“, kaip minėta ankstesniame straipsnyje, yra labai galingas ir lankstus ugniasienės sprendimas, galintis panaudoti seną kompiuterį, kuris gali būti neveikiantis.

Šiame straipsnyje bus kalbama apie nuostabų pfsense priedų paketą, pavadintą pfBlockerNG.

pfBlockerNG yra paketas, kurį galima įdiegti sistemoje pfSense, kad ugniasienės administratorius galėtų išplėsti užkardos galimybes už tradicinės būsenos L2/L3/L4 ugniasienės.

Kadangi užpuolikų ir kibernetinių nusikaltėlių galimybės ir toliau tobulėja, turi tobulėti ir jų pastangoms sužlugdyti įdiegta apsauga. Kaip ir bet kokiame kompiuterių pasaulyje, nėra vieno sprendimo, kuris sutvarkytų visus gaminius.

pfBlockerNG suteikia pfSense galimybę ugniasienei priimti/atmesti sprendimus pagrįstus elementus, tokius kaip IP adreso geografinė padėtis, išteklių domeno pavadinimas arba konkrečių svetainių Alexa reitingai.

Galimybė apriboti elementus, pvz., domenų pavadinimus, yra labai naudinga, nes leidžia administratoriams sutrukdyti vidinių mašinų bandymams prisijungti prie žinomų blogų domenų (kitaip tariant, domenų, kuriuose gali būti kenkėjiškų programų, nelegalaus turinio ar kt. klastingi duomenys).

Šiame vadove bus paaiškinta, kaip konfigūruoti pfSense ugniasienės įrenginį, kad būtų galima naudoti pfBlockerNG paketą, taip pat kai kurie pagrindiniai domenų blokavimo sąrašų, kuriuos galima pridėti/konfigūruoti į pfBlockerNG įrankį, pavyzdžiai.

Reikalavimai

Šiame straipsnyje bus pateiktos kelios prielaidos ir jis bus pagrįstas ankstesniu diegimo straipsniu apie pfSense. Prielaidos bus tokios:

  • pfSense jau įdiegta ir šiuo metu nėra sukonfigūruotų taisyklių (švarus šiferis).
  • Ugniasienė turi tik WAN ir LAN prievadą (2 prievadus).
  • LAN pusėje naudojama IP schema yra 192.168.0.0/24.

Reikėtų pažymėti, kad pfBlockerNG galima konfigūruoti jau veikiančioje/sukonfigūruotoje pfSense ugniasienėje. Šių prielaidų priežastis čia yra tiesiog dėl sveiko proto, o daugelį užduočių, kurios bus baigtos, vis tiek galima atlikti naudojant nešvarią pfSense dėžutę.

Laboratorijos diagrama

Toliau pateiktame paveikslėlyje yra pfSense aplinkos laboratorinė diagrama, kuri bus naudojama šiame straipsnyje.

Įdiekite pfBlockerNG, skirtą pfSense

Kai laboratorija paruošta, laikas pradėti! Pirmiausia reikia prisijungti prie „pfSense“ ugniasienės žiniatinklio sąsajos. Vėlgi, ši laboratorijos aplinka naudoja 192.168.0.0/24 tinklą, o ugniasienė veikia kaip šliuzas, kurio adresas yra 192.168.0.1. Naudojant žiniatinklio naršyklę ir naršant adresu „https://192.168.0.1“, bus rodomas „pfSense“ prisijungimo puslapis.

Kai kurios naršyklės gali skųstis dėl SSL sertifikato, tai normalu, nes sertifikatą pasirašo pfSense ugniasienė. Galite saugiai priimti įspėjamąjį pranešimą ir, jei norite, gali būti įdiegtas galiojantis sertifikatas, pasirašytas teisėtos CA, tačiau tai nepatenka į šio straipsnio taikymo sritį.

Sėkmingai spustelėję Išplėstiniai ir Pridėti išimtį... spustelėkite, kad patvirtintumėte saugos išimtį. Tada bus rodomas pfSense prisijungimo puslapis, kuriame administratorius galės prisijungti prie ugniasienės įrenginio.

Prisijungę prie pagrindinio pfSense puslapio, spustelėkite išskleidžiamąjį meniu Sistema, tada pasirinkite Paketų tvarkyklė.

Spustelėjus šią nuorodą, bus rodomas paketų tvarkyklės langas. Pirmas įkeliamas puslapis bus visi šiuo metu įdiegti paketai ir bus tuščias (vėlgi šiame vadove daroma prielaida, kad pfSense įdiegtas švarus). Spustelėkite tekstą Galimi paketai, kad būtų pateiktas įdiegiamų pfSense paketų sąrašas.

Kai įkeliamas puslapis Galimi paketai, laukelyje Paieškos terminas įveskite pfblocker ir spustelėkite Ieškoti<“. Pirmas grąžinamas elementas turėtų būti pfBlockerNG. Dešinėje pfBlockerNG aprašo pusėje raskite mygtuką Įdiegti ir spustelėkite „+“, kad įdiegtumėte paketą.

Puslapis bus įkeltas iš naujo ir administratoriaus bus paprašyta patvirtinti diegimą spustelėjus Patvirtinti.

Patvirtinus, pfSense pradės diegti pfBlockerNG. Nenukrypkite nuo montuotojo puslapio! Palaukite, kol puslapyje bus parodytas sėkmingas įdiegimas.

Kai diegimas bus baigtas, pfBlockerNG konfigūracija gali prasidėti. Pirmoji užduotis, kurią reikia atlikti, yra keletas paaiškinimų, kas nutiks, kai pfBlockerNG bus tinkamai sukonfigūruotas.

Sukonfigūravus pfBlockerNG, svetainių DNS užklausas turėtų perimti pfSense ugniasienė, kurioje veikia pfBlockerNG programinė įranga. Tada pfBlockerNG turės atnaujintus žinomų blogų domenų, susietų su netinkamu IP adresu, sąrašus.

„pfSense“ ugniasienė turi perimti DNS užklausas, kad galėtų išfiltruoti netinkamus domenus, ir naudos vietinį DNS sprendiklį, žinomą kaip UnBound. Tai reiškia, kad LAN sąsajos klientai turi naudoti pfSense ugniasienę kaip DNS sprendiklį.

Jei klientas prašo domeno, esančio pfBlockerNG blokavimo sąrašuose, tada pfBlockerNG pateiks klaidingą domeno IP adresą. Pradėkime procesą!

pfBlockerNG konfigūracija, skirta pfSense

Pirmiausia pfSense užkardoje įgalinkite UnBound DNS sprendiklį. Norėdami tai padaryti, spustelėkite išskleidžiamąjį meniu Paslaugos, tada pasirinkite DNS sprendimo priemonė.

Kai puslapis bus įkeltas iš naujo, bus galima konfigūruoti bendruosius DNS sprendiklio nustatymus. Ši pirmoji parinktis, kurią reikia sukonfigūruoti, yra žymimasis laukelis „Įgalinti DNS sprendimo priemonę“.

Kiti nustatymai yra nustatyti DNS klausymo prievadą (paprastai 53 prievadą), nustatyti tinklo sąsajas, kurių DNS sprendiklis turėtų klausytis (šioje konfigūracijoje tai turėtų būti LAN prievadas ir Localhost), tada nustatyti išėjimo prievadą (turėtų būti WAN šioje konfigūracijoje).

Pasirinkę būtinai spustelėkite „Išsaugoti“ puslapio apačioje, tada spustelėkite mygtuką „Taikyti pakeitimus“, kuris pasirodys puslapio viršuje. puslapis.

Kitas žingsnis yra pirmasis konkrečiai pfBlockerNG konfigūravimo žingsnis. Eikite į pfBlockerNG konfigūracijos puslapį, esantį meniu Ugniasienė, tada spustelėkite pfBlockerNG.

Kai pfBlockerNG bus įkeltas, pirmiausia spustelėkite skirtuką DNSBL, kad pradėtumėte DNS sąrašų nustatymą prieš aktyvuodami pfBlockerNG.

Kai bus įkeltas puslapis DNSBL, po pfBlockerNG meniu bus naujas meniu rinkinys (paryškintas žaliai apačioje). Pirmas elementas, kurį reikia išspręsti, yra žymės langelis Įgalinti DNSBL (paryškintas žaliai toliau).

Norint patikrinti LAN klientų dns užklausas, norint atlikti šį žymės langelį, laukelyje pfSense reikės naudoti UnBound DNS sprendiklį. Nesijaudinkite UnBound buvo sukonfigūruotas anksčiau, bet šį langelį reikės pažymėti! Kitas elementas, kurį reikia užpildyti šiame ekrane, yra „DNSBL virtualusis IP“.

Šis IP turi būti privataus tinklo diapazone, o ne galiojantis IP tinkle, kuriame naudojama pfSense. Pavyzdžiui, LAN tinklas 192.168.0.0/24 gali naudoti 10.0.0.1 IP, nes tai yra privatus IP ir nėra LAN tinklo dalis.

Šis IP bus naudojamas statistikai rinkti ir domenams, kuriuos atmeta pfBlockerNG, stebėti.

Slenkant puslapiu žemyn, yra dar keletas nustatymų, kuriuos verta paminėti. Pirmasis yra „DNSBL klausymosi sąsaja“. Šiai sąrankai ir daugeliui sąrankų šis nustatymas turėtų būti nustatytas į LAN.

Kitas nustatymas yra Sąrašo veiksmas, esantis skiltyje DNSBL IP ugniasienės nustatymai. Šis nustatymas nustato, kas turėtų nutikti, kai DNSBL sklaidos kanale pateikiami IP adresai.

PfBlockerNG taisyklės gali būti nustatytos taip, kad būtų galima atlikti bet kokį veiksmų skaičių, tačiau greičiausiai pageidaujama parinktis bus „Atmesti abu“. Tai užkirs kelią įeinantiems ir išeinantiems ryšiams su IP/domenu DNSBL sklaidos kanale.

Pasirinkę elementus, slinkite į puslapio apačią ir spustelėkite mygtuką Išsaugoti. Kai puslapis bus įkeltas iš naujo, laikas sukonfigūruoti DNS blokų sąrašus, kurie turėtų būti naudojami.

pfBlockerNG suteikia administratoriui dvi parinktis, kurias galima konfigūruoti atskirai arba kartu, atsižvelgiant į administratoriaus pageidavimus. Abi parinktys yra rankiniai tiekimai iš kitų tinklalapių arba EasyLists.

Norėdami daugiau sužinoti apie skirtingus EasyLists, apsilankykite projekto pagrindiniame puslapyje: https://easylist.to/

Konfigūruokite pfBlockerNG EasyList

Pirmiausia aptarkime ir sukonfigūruokime EasyLists. Dauguma namų naudotojų manys, kad šie sąrašai yra pakankami ir mažiausia administracinė našta.

Du „pfBlockerNG“ pasiekiami „EasyList“ sąrašai yra „EasyList be elementų slėpimo“ ir „EasyPrivacy“. Norėdami naudoti vieną iš šių sąrašų, pirmiausia spustelėkite „DNSBL EasyList“ puslapio viršuje.

Kai puslapis bus įkeltas iš naujo, bus pasiekiama EasyList konfigūracijos skiltis. Reikės sukonfigūruoti šiuos nustatymus:

  • DNS grupės pavadinimas – vartotojo pasirinkimas, bet be specialių simbolių
  • Aprašymas – naudotojo pasirinkimas, leidžiami specialieji simboliai
  • EasyList sklaidos kanalų būsena – ar naudojamas sukonfigūruotas sąrašas
  • EasyList kanalas – kurį sąrašą naudoti (EasyList ar EasyPrivacy), galima pridėti abu
  • Antraštė/etiketė – naudotojo pasirinkimas, bet be specialiųjų simbolių

Kitas skyrius naudojamas nustatyti, kurios sąrašų dalys bus užblokuotos. Vėlgi, tai yra vartotojo pageidavimai ir, jei pageidaujama, galima pasirinkti kelis. Svarbūs „DNSBL – EasyList Settings“ nustatymai yra tokie:

  • Kategorijos – galima pasirinkti naudotojo nuostatas ir kelias
  • Sąrašo veiksmas – turi būti nustatyta kaip „Nesusiribota“, kad būtų galima patikrinti DNS užklausas
  • Atnaujinimo dažnis – kaip dažnai pfSense atnaujins blogų svetainių sąrašą

Kai „EasyList“ nustatymai sukonfigūruoti pagal vartotojo nuostatas, būtinai slinkite į puslapio apačią ir spustelėkite mygtuką Išsaugoti. Kai puslapis bus įkeltas iš naujo, slinkite į puslapio viršų ir spustelėkite skirtuką Atnaujinti.

Atnaujinimo skirtuke pažymėkite akutę, esančią Įkelti iš naujo, tada pažymėkite akutę Visi. Tai bus vykdoma per daugybę internetinių atsisiuntimų, kad būtų gauti anksčiau EasyList konfigūracijos puslapyje pasirinkti blokų sąrašai.

Tai turi būti padaryta rankiniu būdu, kitaip sąrašai nebus atsisiunčiami iki suplanuotos cron užduoties. Kiekvieną kartą, kai atliekami pakeitimai (sąrašai pridedami arba pašalinami), būtinai atlikite šį veiksmą.

Žemiau esančiame žurnalo lange ieškokite klaidų. Jei viskas klostėsi pagal planą, užkardos LAN pusėje esantys klientų įrenginiai turėtų galėti pateikti užklausą pfSense užkardoje dėl žinomų blogų svetainių ir mainais gauti netinkamus IP adresus. Vėlgi, klientų mašinos turi būti nustatytos naudoti pfsense langelį kaip savo DNS sprendiklį!

Atkreipkite dėmesį į aukščiau pateiktą nslookup, kad url grąžina klaidingą IP, sukonfigūruotą anksčiau pfBlockerNG konfigūracijose. Tai yra norimas rezultatas. Dėl to bet kokia URL 100pour.com užklausa būtų nukreipta į klaidingą 10.0.0.1 IP adresą.

Sukonfigūruokite pfSense DNSBL informacijos santraukas

Priešingai nei AdBlock EasyLists, pfBlockerNG sistemoje taip pat galima naudoti kitus DNS juoduosius sąrašus. Yra šimtai sąrašų, kurie naudojami kenkėjiškų programų komandoms ir valdymui, šnipinėjimo programoms, reklaminėms programoms, tor mazgams ir visiems kitiems naudingiems sąrašams sekti.

Šiuos sąrašus dažnai galima įtraukti į pfBlockerNG ir naudoti kaip kitus DNS juoduosius sąrašus. Yra nemažai išteklių, kuriuose pateikiami naudingi sąrašai:

  • https://forum.pfsense.org/index.php?topic=114499.0
  • https://forum.pfsense.org/index.php?topic=102470.0
  • https://forum.pfsense.org/index.php?topic=86212.0

Aukščiau pateiktose nuorodose pateikiamos temos pfSense forume, kur nariai paskelbė didelę naudojamų sąrašų kolekciją. Kai kurie iš autoriaus mėgstamiausių sąrašų yra šie:

  • http://adaway.org/hosts.txt
  • http://www.malwaredomainlist.com/hostslist/hosts.txt
  • http://pgl.yoyo.org/adservers/serverlist.php?hostformat=hosts&mimetype=plaintext
  • https://zeustracker.abuse.ch/blocklist.php?download=domainblocklist
  • https://gist.githubusercontent.com/BBcan177/4a8bf37c131be4803cb2/raw

Vėl yra daugybė kitų sąrašų ir autorius primygtinai ragina, kad asmenys ieškotų daugiau/kitų sąrašų. Tačiau tęskime konfigūravimo užduotis.

Pirmas veiksmas – vėl įeiti į pfBlockerNG konfigūracijos meniu per 'Firewall' -> 'pfBlockerNG' ->DSNBL“.

Dar kartą DNSBL konfigūracijos puslapyje spustelėkite tekstą DNSBL sklaidos kanalai, tada spustelėkite mygtuką Pridėti, kai puslapis bus atnaujintas.

Pridėti mygtukas leis administratoriui pridėti daugiau netinkamų IP adresų ar DNS pavadinimų sąrašų prie pfBlockerNG programinės įrangos (du sąraše esantys elementai yra autoriaus iš testavimo). Mygtukas „Pridėti“ nukreipia administratorių į puslapį, kuriame DNSBL sąrašai gali būti įtraukti į užkardą.

Svarbūs šios išvesties nustatymai yra šie:

  • DNS grupės pavadinimas – pasirinktas vartotojas
  • Aprašymas – naudinga tvarkant grupes
  • DNSBL nustatymai – tai tikrieji sąrašai
    • Būsena – ar tas šaltinis naudojamas, ar ne ir kaip jis gaunamas
    • Šaltinis – DNS juodojo sąrašo nuoroda/šaltinis
    • Antraštė/etiketė – vartotojo pasirinkimas; jokių specialių simbolių
  • Sąrašo veiksmas – nustatyti į Neribota
  • Atnaujinimo dažnis – kaip dažnai sąrašas turi būti atnaujinamas

Kai nustatysite šiuos nustatymus, puslapio apačioje spustelėkite mygtuką Išsaugoti. Kaip ir bet kokie pfBlockerNG pakeitimai, pakeitimai įsigalios kitą suplanuotą cron intervalą arba administratorius gali rankiniu būdu priverstinai įkelti iš naujo, eidamas į skirtuką Atnaujinti, spustelėkite Įkelti iš naujo<“ akutę, tada spustelėkite akutę „Visi“. Pasirinkę juos, spustelėkite mygtuką Vykdyti.

Žemiau esančiame žurnalo lange ieškokite klaidų. Jei viskas vyko pagal planą, patikrinkite, ar sąrašai veikia, tiesiog pamėgindami atlikti nslookup iš kliento, esančio LAN pusėje, į vieną iš domenų, išvardytų viename iš DNSBL konfigūracijoje naudojamų tekstinių failų.

Kaip matyti iš anksčiau pateiktos išvesties, pfSense įrenginys grąžina virtualų IP adresą, kuris buvo sukonfigūruotas pfBlockerNG kaip blogas juodojo sąrašo domenų IP.

Šiuo metu administratorius gali tęsti sąrašų derinimą pridėdamas daugiau sąrašų arba kurdamas pasirinktinius domenų/IP sąrašus. pfBlockerNG ir toliau nukreips šiuos apribotus domenus į netikrą IP adresą.

Dėkojame, kad perskaitėte šį straipsnį apie pfBlockerNG. Parodykite savo dėkingumą arba paramą pfSense programinei įrangai ir pfBlockerNG, bet kokiu būdu prisidėdami prie tolesnio abiejų šių nuostabių produktų kūrimo. Kaip visada, komentuokite žemiau, jei turite pasiūlymų ar klausimų!