Instale y configure pfblockerng para el listado DNS Black en Pfsense Firewall

En un artículo anterior, se discutió la instalación de una potente solución de firewall basada en FreebSD conocida como PFSENSE. PfSense, como se menciona en el artículo anterior, es una solución de firewall muy poderosa y flexible que puede hacer uso de una computadora antigua que puede estar acostado no haciendo mucho.

Este artículo va a hablar sobre un maravilloso paquete de complementos para Pfsense llamado pfblockerng.

pfblockerng es un paquete que se puede instalar en PFSense para proporcionar al administrador del firewall la capacidad de extender las capacidades del firewall más allá del tradicional firewall l2/L3/L3.

A medida que las capacidades de los atacantes y los ciberdelincuentes continúan avanzando, también deben las defensas que se implementan para frustrar sus esfuerzos. Como con cualquier cosa en el mundo de la computación, no hay una solución que sola todos los productos.

PfBlockerng proporciona a PfSense la capacidad de que el firewall de tomar decisiones de permitir/negar elementos basados ​​en la geolocación de una dirección IP, el nombre de dominio de un recurso o las clasificaciones Alexa de sitios web particulares.

La capacidad de restringir en elementos como nombres de dominio es muy ventajosa, ya que permite a los administradores frustrar los intentos de máquinas internas que intentan conectarse a dominios malos conocidos (en otras palabras, dominios que se sabe que tienen malware, contenido ilegal u otros Datos insidiosos).

Esta guía pasará a través de la configuración de un dispositivo PFSense Firewall para usar el paquete pfblockerng, así como algunos ejemplos básicos de listas de bloques de dominio que se pueden agregar/configurar en la herramienta PFBLOCKERNG.

Requisitos

Este artículo hará un par de suposiciones y se desarrollará en el artículo de instalación anterior sobre PFSense. Los supuestos serán los siguientes:

• PfSense ya está instalado y no tiene reglas configuradas actualmente (limpieza pizarra).
• El firewall solo tiene un puerto WAN y un LAN (2 puertos).
• El esquema IP que se usa en el lado LAN es 192.168.0.24/04.

Cabe señalar que Pfblockerng se puede configurar en un firewall PFSense ya en ejecución/configurado. La razón de estos supuestos aquí es simplemente por el bien de la cordura y muchas de las tareas que se completarán, aún se pueden hacer en una caja de pfsense no clara.

Diagrama de laboratorio

La imagen a continuación es el diagrama de laboratorio para el entorno PFSense que se utilizará en este artículo.

Diagrama de red de PFSense

Instale pfblockerng para pfsense

Con el laboratorio listo para usar, es hora de comenzar! El primer paso es conectarse a la interfaz web para el firewall PfSense. Nuevamente, este entorno de laboratorio está utilizando el 192.168.0.24/04 Red con el firewall actuando como la puerta de enlace con una dirección de 192.168.0.1. Uso de un navegador web y navegando a 'https: // 192.168.0.1'Mostrará la página de inicio de sesión de PFSense.

Algunos navegadores pueden quejarse del certificado SSL, esto es normal ya que el certificado está firmado por el firewall de PfSense. Puede aceptar con seguridad el mensaje de advertencia y, si lo desea, se puede instalar un certificado válido firmado por una CA legítima, pero está más allá del alcance de este artículo.

Advertencia de PfSense SSL

Después de hacer clic con éxito 'Avanzado' y luego 'Añadir excepción… ', haga clic para confirmar la excepción de seguridad. La página de inicio de sesión de PFSense se mostrará y permitirá que el administrador inicie sesión en el dispositivo de firewall.

Ventana de inicio de sesión de Pfsense

Una vez que se registre en la página principal de PFSense, haga clic en 'Sistema'desplegable y luego seleccione'Gerente de empaquetación'.

Administrador de paquetes de PFSense

Haga clic en este enlace cambiará a la ventana Administrador de paquetes. La primera página que se carga será todos los paquetes instalados actualmente y estará en blanco (nuevamente, esta guía supone una instalación limpia de PFSense). Haga clic en el texto 'Paquetes disponibles'Se le proporcionará una lista de paquetes instalables para PFSense.

paquetes disponibles de PFSense

Una vez el 'Paquetes disponibles'Cargas de página, escriba'pfblocker' en el 'Término de búsqueda'casilla y haga clic en el'Buscar'. El primer elemento que se devuelve debe ser pfblockerng. Localizar el 'Instalar'Botón a la derecha de la descripción de Pfblockerng y haga clic en el '+' Para instalar el paquete.

La página recargará y solicitará al administrador confirmar la instalación haciendo clic en 'Confirmar'.

Instale pfblockerng para pfsense

Una vez confirmado, PfSense comenzará a instalar pfblockerng. No navegue lejos de la página del instalador! Espere hasta que la página muestre una instalación exitosa.

Instalación de Pfblockerng

Una vez que se ha completado la instalación, la configuración de Pfblockerng puede comenzar. Sin embargo, la primera tarea que debe completarse son algunas explicaciones sobre lo que va a suceder una vez que pfblockerng esté configurado correctamente.

Una vez que se configura PFBLockERNG, las solicitudes de DNS para sitios web deben ser interceptadas por el firewall PfSense que ejecuta el software PFBLOCKERNG. Pfblockerng tendrá listas actualizadas de dominios malos conocidos que se asignan a una dirección IP mala.

El firewall de PFSense necesita interceptar solicitudes de DNS para poder filtrar dominios malos y utilizará un resolución de DNS local conocido como Unbound. Esto significa que los clientes en la interfaz LAN deben usar el firewall PFSense como resolución de DNS.

Si el cliente solicita un dominio que esté en las listas de bloques de Pfblockerng, entonces PfBlockerng devolverá una dirección IP falsa para el dominio. Comencemos el proceso!

Configuración de Pfblockerng para PFSense

El primer paso es habilitar el DNS no unido Resolvente en el firewall de Pfsense. Para hacer esto, haga clic en el 'Servicios'Menú desplegable y luego seleccionar'Resolución de DNS'.

resolución de dns pfsense

Cuando la página se vuelve a cargar, la configuración general del resolución de DNS será configurable. Esta primera opción que debe configurarse es la casilla de verificación para 'Habilitar el resolutor DNS'.

La siguiente configuración es establecer el puerto de escucha del DNS (normalmente puerto 53), configurar las interfaces de red en las que debe escuchar el resolutor DNS (en esta configuración, debe ser el puerto LAN y localhost) y luego configurar el puerto de salida (debe Be Wan en esta configuración).

PfSense habilita el resolución DNS

Una vez que se hayan realizado las selecciones, asegúrese de hacer clic ''Ahorrar'En la parte inferior de la página y luego haga clic en'Aplicar cambios'Botón que aparecerá en la parte superior de la página.

El siguiente paso es el primer paso en la configuración de Pfblockerng específicamente. Navegue a la página de configuración de Pfblockerng en 'Cortafuegos'menú y luego haga clic en'pfblockerng'.

configuración de pfblockerng

Una vez que se haya cargado pfblockerng, haga clic en 'DNSBL'pestaña primero para comenzar a configurar las listas de DNS antes de activar pfblockerng.

Configurar listas DNS

Cuando el 'DNSBL'Cargas de página, habrá un nuevo conjunto de menús debajo de los menús Pfblockerng (resaltado en verde a continuación). El primer elemento que debe abordarse es el 'Habilitar DNSBL'casilla de verificación (resaltada en verde a continuación).

Esta casilla de verificación requerirá el DNS no unido El resolución se utilizará en la caja PFSense para inspeccionar las solicitudes de DNS de los clientes LAN. No se preocupe, Unbound se configuró antes, pero este cuadro deberá verificarse! El otro elemento que debe completarse en esta pantalla es el 'IP virtual DNSBL'.

Esta IP debe estar en el rango de red privada y no en una IP válida en la red en la que se está utilizando PFSENSE. Por ejemplo, una red LAN en 192.168.0.24/04 podría usar una IP de 10.0.0.1 Como es una IP privada y no es parte de la red LAN.

Esta IP se utilizará para recopilar estadísticas y monitorear los dominios que están siendo rechazados por Pfblockerng.

Habilitar DNSBL para PfSense

Desplazarse hacia abajo en la página, hay algunas configuraciones más que vale la pena mencionar. El primero es el 'Interfaz de escucha DNSBL'. Para esta configuración, y la mayoría de las configuraciones, esta configuración debe configurarse en 'Lan'.

La otra configuración es 'Acción de lista' bajo 'Configuración de firewall de DNSBL IP'. Esta configuración determina lo que debería suceder cuando una alimentación DNSBL proporciona direcciones IP.

Las reglas de Pfblockerng se pueden configurar para hacer cualquier cantidad de acciones, pero muy probablemente 'Negar ambos'será la opción deseada. Esto evitará conexiones entrantes y salientes al dominio IP/en la alimentación DNSBL.

Configurar DNSBL para PFSense

Una vez que se hayan seleccionado los elementos, desplácese hasta la parte inferior de la página y haga clic en 'Ahorrar' botón. Una vez que la página se vuelve a cargar, es hora de configurar las listas de bloques DNS que deben usarse.

PfBlockerng proporciona al administrador dos opciones que se pueden configurar de forma independiente o juntas dependiendo de la preferencia del administrador. Las dos opciones son alimentos manuales de otras páginas web o Easylists.

Para leer más sobre los diferentes Easylists, visite la página de inicio del proyecto: https: // Easylist.a/

Configurar pfblockerng easylist

Discutamos y configuremos primero a los Easylists. La mayoría de los usuarios de hogares encontrarán que estas listas son suficientes y la menor administrativa.

Los dos Easylists disponibles en Pfblockerng son 'ESELISTIS W/O ELEMENTO OBSERIZANDO' y 'Easyprivacy'. Para usar una de estas listas, primero haga clic en el 'DNSBL Easylist' en la parte superior de la página.

Configurar DNSBL Easylist

Una vez que la página se vuelve a cargar, el Orilista La sección de configuración estará disponible. Deberá configurar la siguiente configuración:

• Nombre del grupo DNS - Elección del usuario pero no hay caracteres especiales
• Descripción - Elección del usuario, caracteres especiales permitidos
• Easylist Feeds State - Si se usa la lista configurada
• Alimento de fácil - Qué lista de usar (Easylist o EasyPrivacy) se pueden agregar ambos
• Encabezado/etiqueta - Elección del usuario pero no hay caracteres especiales

Configuración de Easylist para PFSense

La siguiente sección se utiliza para determinar qué partes de las listas se bloquearán. Nuevamente, todos estos son preferencias del usuario y se pueden seleccionar múltiples si se desea. La configuración importante en el 'DNSBL - Configuración de Easylist' son como sigue:

• Categorías - Se pueden seleccionar la preferencia del usuario y múltiples
• Acción de lista - Debe establecerse en 'desacreditar' para inspeccionar las solicitudes de DNS
• Frecuencia de actualización - Con qué frecuencia PFSense actualizará la lista de sitios malos

Configuración de DNSBL Easylist

Cuando la configuración de Easylist esté configurada a las preferencias del usuario, asegúrese de desplazarse a la parte inferior de la página y haga clic en 'Ahorrar' botón. Una vez que la página se vuelva a cargar, desplácese hasta la parte superior de la página y haga clic en 'Actualizar' pestaña.

Una vez en la pestaña Actualizar, consulte el botón de radio para 'Recargar'Y luego revise el botón de radio para'Todo'. Esto se ejecutará a través de una serie de descargas web para obtener las listas de bloques seleccionadas en la página de configuración de Easylist anteriormente.

Esto debe hacerse manualmente, de lo contrario, las listas no se descargarán hasta que la tarea cron programada. En cualquier momento se realizan cambios (listas agregadas o eliminadas) asegúrese de ejecutar este paso.

Actualizar la configuración de Easylist

Mire la ventana de registro a continuación para obtener cualquier error. Si todo saliera a planear, las máquinas cliente en el lado LAN del firewall deberían poder consultar el firewall de Pfsense para sitios malos conocidos y recibir direcciones IP malas a cambio. Nuevamente, las máquinas cliente deben estar configuradas para usar el cuadro PFSense como su resolución DNS!

Verifique los errores de NSLookUp en busca de errores

Observe en el NSLookup anterior que la URL devuelve la IP FALSE configurada anteriormente en las configuraciones de PfBlockEng. Este es el resultado deseado. Esto resultaría en cualquier solicitud a la URL '100 Pour.comunicarse'Ser dirigida a la dirección IP falsa de 10.0.0.1.

Configurar los alimentos DNSBL para PFSense

En contraste con el AdBlock Easylists, También existe la capacidad de usar otras listas de DNS Black dentro de Pfblockerng. Hay cientos de listas que se utilizan para rastrear el comando y el control de malware, el spyware, el adware, los nodos Tor y todo tipo de otras listas útiles.

Estas listas a menudo se pueden llevar a Pfblockerng y también se usan como más listas de DNS Black. Hay bastantes recursos que proporcionan listas útiles:

• https: // foro.pfsense.org/índice.php?tema = 114499.0
• https: // foro.pfsense.org/índice.php?tema = 102470.0
• https: // foro.pfsense.org/índice.php?tema = 86212.0

Los enlaces anteriores proporcionan hilos en el foro de PfSense donde los miembros han publicado una gran colección de las listas que usan. Algunas de las listas favoritas del autor incluyen lo siguiente:

• http: // adaway.org/hosts.TXT
• http: // www.malditaza.com/hostslist/hosts.TXT
• http: // pgl.yoyó.org/adservers/serverlist.php?hostformat = hosts & mimetype = Entenerxt text
• https: // zeustracker.abuso.CH/Blocklist.php?descargar = DomainBlockList
• https: // gist.githubusercontent.COM/BBCAN177/4A8BF37C131BE4803CB2/RAW

Una vez más, hay toneladas de otras listas y el autor alienta encarecidamente que las personas buscan más/otras listas. Sin embargo, continuemos con las tareas de configuración.

El primer paso es ir al menú de configuración de Pfblockerng nuevamente a través de 'Cortafuegos' -> 'pfblockerng' -> 'DSNBL'.

Una vez en la página de configuración DNSBL nuevamente, haga clic en 'DNSBL FEEDS'texto y luego haga clic en'Agregar'Botón una vez que la página se actualiza.

Configurar los alimentos DNSBL para PFSense

El botón Agregar permitirá que el administrador agregue más listas de direcciones IP malas o nombres DNS al software Pfblockerng (los dos elementos que ya están en la lista son del autor de las pruebas). El botón Agregar lleva al administrador a una página donde se pueden agregar listas DNSBL al firewall.

Configuración de la lista mala de DNS

La configuración importante en esta salida es la siguiente:

• Nombre del grupo DNS - Usuario elegido
• Descripción - Útil para mantener los grupos organizados
• Configuración de DNSBL - Estas son las listas reales
• Estado - Si esa fuente se usa o no y cómo se obtiene
• Fuente - El enlace/fuente de la lista DNS Black
• Encabezado/etiqueta - Elección de usuario; No hay caracteres especiales
• Acción de lista - Establecido en Unbound
• Frecuencia de actualización - Con qué frecuencia se debe actualizar la lista

Una vez que se hayan configurado estas configuraciones, haga clic en el ahorrar Botón hacia abajo en la parte inferior de la página. Al igual que con cualquier cambio en Pfblockerng, los cambios entrarán en vigencia en el siguiente intervalo cron programado o el administrador puede forzar manualmente una recarga navegando al 'Actualizar'pestaña, haga clic en el'Recargar'Botón de radio, y luego haga clic en'Todo' boton de radio. Una vez que se seleccionan, haga clic en el 'Correr' botón.

Configuración de actualización de DNSBL Feeds

Mire la ventana de registro a continuación para obtener cualquier error. Si todo salió a planear, pruebe que las listas funcionan simplemente intentando hacer un NSPlookup desde un cliente en el lado LAN a uno de los dominios enumerados en uno de los archivos de texto utilizados en la configuración DNSBL.

Mira la búsqueda DNS

Como se puede ver en la salida anterior, el dispositivo PFSense está devolviendo la dirección IP virtual que se configuró en PfBlockerng como la IP mal para los dominios de la lista negra.

En este punto, el administrador podría continuar sintonizando las listas agregando más listas o creando listas de dominio/IP personalizadas. Pfblockerng continuará redirigiendo estos dominios restringidos a una dirección IP falsa.

Gracias por leer este artículo sobre Pfblockerng. Muestre su agradecimiento o soporte para el software PFSense, así como a Pfblockerng, contribuyendo de todos modos posible al desarrollo continuo de ambos productos maravillosos. Como siempre, comente a continuación con cualquier sugerencia o pregunta!