Bloqueio de anúncios e malware com pfBlockerNG

Se você está procurando uma solução poderosa de firewall/roteador enfatizando a segurança, o pfSense CE deve estar no topo da sua lista. Construído sobre o FreeBSD, o pfSense CE fornece uma gama de ferramentas para ajudá-lo a configurar uma rede segura adaptada às suas especificações. Mesmo sem qualquer personalização, o pfSense ainda será mais seguro do que qualquer roteador comprado em loja.

Antes de prosseguir, você notará que tenho usado o nome pfSense CE. CE significa Edição Comunitária. Na verdade, existem duas versões do pfSense disponíveis: pfSense CE e pfSense Plus. pfSense CE é totalmente de código aberto, enquanto pfSense Plus adiciona alguns recursos extras com código proprietário. Ambas as versões são gratuitas para usuários individuais. Este guia usa pfSense CE.

Um pacote complementar extremamente popular para o pfSense CE/Plus é o pfBlockerNG O pacote aprimora ainda mais a funcionalidade do seu firewall, dando a você a capacidade de filtrar conexões de entrada e saída usando listas de bloqueio de IP e DNS.

As duas principais funções do pfBlockerNG são

Filtragem de tráfego de entrada e saída baseada em IP

O pfBlockerNG permite filtrar o tráfego de entrada e saída usando listas IP. Também pode implementar restrições GeoIP para permitir ou proibir o tráfego de e para determinados países. Isso pode ser especialmente benéfico se você abrir portas em sua WAN.

Bloqueio de anúncios e sites maliciosos baseado em DNS

O pfBlockerNG pode bloquear anúncios e impedir o acesso a sites maliciosos sem a necessidade de um servidor proxy. Ele consegue isso através do bloqueio baseado em DNS, às vezes chamado de blackholing de DNS. Usando o pfBlockerNG, suas solicitações de DNS são cruzadas com uma lista de domínios bloqueados à medida que você se move pela Internet. Se houver correspondência, o pedido é negado. Caso contrário, passa sem impedimentos.

Vamos olhar e configurar ambas as funções, fornecendo mais detalhes sobre cada uma à medida que avançamos.

Este guia pressupõe que você tenha uma configuração pfSense funcional com uma configuração de interface WAN e LAN.

Vamos começar.

Instalando pfBlockerNG-devel

A primeira coisa a fazer é instalar o pfBlockerNG.

1. Selecione Gerenciador de pacotes System > dos menus superiores. Isso exibe o Ipacotes Nstalados aba do Gerenciador de pacotes.
2. Ir para o Pacotes Disponíveis guia. Isso exibe a lista de pacotes disponíveis.
3. Role a página para baixo para encontrar pfBlockerNG. . Você notará que existem duas entradas para pfBlockerNG: pfBlockerNG e pfBlockerNG-devel. . Selecione pfBlockerNG-devel. Enquanto o sufixo “devel” (que significa versão de desenvolvimento) faz com que pareça ser um pacote Beta, não é. A versão “devel” está totalmente funcional e em desenvolvimento ativo. O desenvolvedor por trás do pacote apenas prefere considerá-lo um software beta porque ele está continuamente adicionando novas funcionalidades para atualizar o pacote.
4. Clique no Instalar botão à direita de pfBlockerNG-devel. . Isso traz à tona o Instalador Pacote janela.
5. Clique Confirmar para iniciar a instalação.
6. Uma vez concluído, Sucesso deve ser exibido na parte inferior do Instalador Pacote janela. Você instalou com sucesso pfBlockerNG-devel.

Configuração básica

pfBlockerNG-devel agora está instalado. Para começar a configurar o pacote, vamos configurar Filtragem IP e GeoIP.

Nós vamos configurar pfBlockerNG secção por secção. As configurações que não mencionamos devem permanecer intocadas e deixadas em seus valores padrão.

1. Selecione Firewall > pfBlockerNG dos menus superiores. Isso traz à tona o Assistente de configuração do pfBlocker.
2. O assistente nos dá duas opções: 1) executando o assistente de configuração ou 2) configurando o pfBlockerNG manualmente. Este guia mostra como configurar o pfBlockerNG manualmente. Clique no vermelho AQUI para sair do assistente. Isso nos leva ao Geral página das configurações do pfBlockerNG.

Geral /Configurações Gerais

1. Marque o Habilitar caixa ao lado de pfBlockerNG. Isto, sem surpresa, permite o serviço.
2. Clique Salvar (na parte inferior da página).
3. Deixe todas as outras configurações nesta página intocadas.

Filtragem IPv4

Configuração IP/IP

1. Clique no IP guia para exibir o IP configurações página.
2. Marque o Desduplicação caixa. Isso descarta entradas duplicadas que podem surgir ao usar vários feeds IP.
3. Marque o Agregação CIDR caixa.
4. Marque o Supressão caixa. Supressão garante que o tráfego para suas sub-redes locais não seja bloqueado.

Configuração de GeoIP IP/MaxMind

pfBlockerNG GeoIP o recurso permite filtrar o tráfego de e para países inteiros – ou mesmo continentes. Ele usa o banco de dados MaxMind GeoIP, que requer uma chave de licença (gratuita). Um link dentro da UI do pfSense (no MaxMind Licença Chave descrição do campo) links para a página de registro MaxMind. Preencha o formulário de inscrição para obter sua chave de licença gratuita. Depois de obter sua chave de licença, copie-a e cole-a no Chave de licença MaxMind campo.

Configuração de interface/regras IP

Nesta seção, selecione as interfaces de entrada e saída nas quais o pfBlockerNG deve aplicar filtragem IPv4, IPv6 e GeoIP.

1. Do do Regras do Firewall de Entrada campo, selecione QUER (e quaisquer outras interfaces do tipo WAN que você tenha e queira filtrar).
2. Do do Regras de Firewall de Saída campo, selecione LAN (e quaisquer outras interfaces do tipo LAN que você tenha e queira filtrar).
3. Marque o Habilitar caixa ao lado de Regras Flutuantes. As regras flutuantes diferem das regras de firewall que você configura em cada interface; eles são processados e aplicados antes das regras de firewall “regular”. O uso de regras flutuantes garante que a filtragem do pfBlockerNG seja acionada assim que o firewall vir o tráfego ofensivo. Ao marcar esta caixa, o pfBlockerNG cria automaticamente as regras flutuantes para você.
4. Clique Salvar configurações de IP no fundo da página.

Alimentações

Agora vamos adicionar algumas listas de bloqueio ao pfBlockerNG. o pfBlockerNG é empacotado com alguns feeds integrados que podemos usar (feeds e listas significam a mesma coisa no pfBlockerNG). Embora você esteja livre para usar suas próprias listas personalizadas, ter “preset” é realmente conveniente, pois a busca por listas de bloqueio na internet é demorada, e muitas das que você encontrará não funcionarão ou não serão mais mantidas. O pfBlockerNG atualiza regularmente seus feeds agrupados, então vá em frente e use-os.

1. Clique no Alimentações guia.
2. Clique no azul + à esquerda de PRI1 no topo. PRI1 é um grupo de feeds (listas múltiplas). Clicando no azul + leva-te ao IP/IPv4 página, que exibe seus feeds selecionados. A maioria dos campos relevantes são preenchidos automaticamente.

IP/IPv4

No topo da página, o pfBlockerNG exibe o nome da coleção de feeds e sua descrição. Abaixo estão os URLs de feed incluídos e suas descrições à direita. Todos os nossos feeds estão configurados para DESLIGADO por omissão. Vamos habilitá-los.

Antes disso, vamos excluir um dos feeds do PRI1 grupo. A 7a alimentação de cima, Pulsedivo, requer uma chave API paga. Este guia não requer a compra da chave da API, então clique na laranja Excluir botão ao lado do Pulsedivo lista.

1. Com Pulsedive excluído, defina os feeds restantes como LIGADO.
2. Ir para o Configurações seção da página abaixo da lista de feeds.
3. O primeiro campo é o Ação menu suspenso. Selecione Negar ambos. . Isso bloqueará os endereços IP nas listas acima bidirecionalmente (de e para os endereços IP contidos nos feeds). Você pode negar conexões de entrada, saída ou ambos. Tenha em mente que se você negar apenas o tráfego de entrada, quando um host em sua rede estabelecer uma conexão de saída para um dos endereços IP nas listas acima, o pfBlocker permitirá a resposta de entrada desse endereço IP. Em nosso exemplo, selecionarei Negar ambos.
4. Clique Salvar configurações IPv4 (parte inferior da página).

Se o seu ISP atribuir um endereço IP IPv4 e IPv6 à sua WAN, você poderá aplicar as mesmas etapas de configuração para IPv6 no IPv6 guia. Atualmente, a maioria dos usuários ainda está em redes somente IPv4.

Filtragem GeoIP

Vamos forçar uma atualização do pfBlockerNG antes de configurar a filtragem GeoIP. Uma vez configurado, o pfBlocker se atualizará automaticamente em intervalos definidos. Mas como a filtragem GeoIP depende do banco de dados MaxMind, o pfBlocker precisa baixar o banco de dados antes de configurá-lo.

1. Do do pfBlockerNG configurações, selecione o Atualizar guia.
2. Clique no Botão Executar para iniciar a actualização.
3. Devias ver PROCESSO DE ATUALIZAÇÃO ENCERRADO na parte inferior do Log janela assim que a actualização estiver concluída.
4. A janela Log mostra que ambos os meus IPv4 feeds e o GeoIP banco de dados foram atualizados.

Registros IPv4

Logs GeoIP

1. Selecione o GeoIP submenu próximo ao IPv6 do IP guia nas configurações do pfBlockerNG. Isso exibe o GeoIP Resumo.

O Resumo GeoIP agrupa feeds de endereços GeoIP organizados por continente. Existem também duas categorias extras: Principais spammers e Proxy e satélite. . O Principais spammers a lista contém blocos de endereços IP de países onde os ataques online são lançados com frequência. O Proxy e satélite a lista contém blocos de endereços IP de países conhecidos por serem provedores anônimos de proxy e satélite.

O pfBlockerNG permite filtrar o tráfego de/para um continente inteiro ou ajustar a filtragem selecionando apenas determinados países.

Personalizando listas de países

1. Para editar um feed, clique no ícone lápis à sua direita.
2. Selecione os países que deseja incluir em sua lista (e esse pfBlocker será filtrado).
3. Clique Salvar.

Configurando blocos de países

1. Selecione o GeoIP menu no configurações pfBlocker.
2. Como com o IPv4 listas, selecione qualquer um Bloquear entrada, Bloquear saída, ou Bloquear Ambos do Ação menu suspenso à direita da descrição de cada lista.

Tenha algumas coisas em mente quando se trata de bloquear conexões de saída ou entrada para países ou continentes. Se você deseja bloquear apenas conexões de saída, faça-o. Mas se você está pensando em bloquear conexões de entrada, observe isso O pfSense está configurado para bloquear todo o tráfego de entrada não solicitado na WAN fora da caixa. Portanto, a menos que você tenha portas abertas em sua WAN, o bloqueio de países ou continentes não fará nada, exceto ocupar a memória. E se você tiver portas abertas na sua WAN, esteja atento para não bloquear conexões de países que deveriam ter permissão para se conectar à (s) porta (s) aberta (s) da sua WAN.

Para facilitar o acima exposto, o pfBlockerNG permite criar aliases personalizados a partir do banco de dados MaxMind GeoIP. Aliases são listas de endereços IP incorporadas ao pfSense e você pode usá-las para criar regras de firewall de encaminhamento de portas que permitem apenas que países específicos acessem suas portas abertas. O resto do mundo “será bloqueado pelo pfSense sem necessidade de qualquer intervenção da sua parte.

Criando um alias GeoIP em pfBlockerNG

O pfSense bloqueia o tráfego que não é explicitamente permitido nas regras do firewall por padrão, portanto, crie um alias contendo os países para permitir através do firewall.

1. Do do IPv4 submenu, clique no verde Adicionar botão.
2. Insira um nome e uma descrição para seu alias.
3. Selecione GeoIP do Formato caixa.
4. Definir o Estado campo para LIGADO.
5. Selecione os países que deseja adicionar ao alias digitando as primeiras letras do país que deseja adicionar ao alias. Isso exibe os países que correspondem às letras que você digitou.
6. Você pode adicionar mais países ao seu alias clicando no verde Adicionar botão.
7. Do do Ação box, selecione Alias Nativo para criar um alias nativo do pfBlocker.
8. Selecione Uma vez por dia em o Atualizar Frequência caixa.
9. Clique Salvar configurações IPv4 (parte inferior da página). Seu alias estará disponível para uso nas regras de firewall após uma atualização forçada do pfBlockerNG.

Se você tiver portas abertas e quiser apenas uma solução rápida e suja, poderá bloquear conexões de entrada Principais spammers e Proxy e satélite sem ter que criar um alias personalizado. Novamente, bloquear conexões de entrada só é útil se a sua WAN tiver portas abertas.

Se a sua WAN não tiver nenhuma porta aberta, bloqueie apenas o tráfego de saída ou desative a filtragem GeoIP.

Testando filtragem IPv4

Antes de ir mais longe, vamos certificar-nos de que o pfBlocker está devidamente configurado e filtrando o nosso tráfego. Para esse fim, tentarei conectar-me a um endereço IP incluído nos meus feeds IPv4: 1.13.9.177.

Podemos ver que o endereço IP não está traduzido para um nome de domínio, e a conexão está bloqueada. Excelente.

Passemos agora ao do pfBlocker DNSBL.

DNSBL

Configuramos filtragem IPv4 e filtragem GeoIP, além de aliases. Agora é hora de passar a usar o pfBlockerNG para bloqueio de anúncios. O bloqueio de anúncios no pfBlockerNG é obtido por meio de blackholing DNS. Isso faz referência às suas solicitações de DNS em relação a uma lista de redes e rastreadores de anúncios conhecidos e os bloqueia no nível de DNS sempre que há uma correspondência, resultando em uma internet sem anúncios.

Para usar o DNSBL do pfBlockerNG, é necessário usar o Resolvedor DNS (Não consolidado) como o resolvedor. A compensação é que você não pode atribuir servidores DNS a clientes por meio do DHCP ou usar o DNS Forwarder integrado do pfSense (dnsmasq).

Em sua configuração padrão, o pfSense é configurado para usar o DNS Resolver em todas as interfaces. Supondo que você não tenha feito nenhuma modificação nas configurações do DNS Resolver, você está pronto para ir. Se, no entanto, você ajustou as configurações, é importante garantir que o Resolver esteja configurado para se vincular à sua LAN (interface de saída) e WAN (interface de entrada) no mínimo. Se você estiver em uma multi-WAN ou multi-LAN (interfaces OPT), também poderá selecioná-las se quiser filtrar o tráfego delas usando o DNSBL do pfBlockerNG.

Configurando DNSBL

Veja como configurar o DNSBL:

1. Ir para o DNSBL guia.
2. Marque o Habilitar DNSBL caixa.
3. Do do Modo DNSBL menu suspenso, selecione Modo Python não consolidado.
4. Encontre o Configuração DNSBL seção mais abaixo na página.
5. Marque o Habilitar caixa, ao lado de Permitir Regras de Firewall, e selecione as interfaces do tipo LAN que deseja que o DNSBL filtre. Isso cria regras de firewall flutuantes automaticamente, garantindo que a filtragem DNSBL aconteça assim que o firewall vir o tráfego.
6. Clique Salvar configurações DNSBL.

Agora adicionaremos alguns feeds DNSBL.

Adicionando feeds DNSBL

1. Ir para o Alimentações guia.
2. Mais abaixo na página, você deve ver Categoria DNSBL à esquerda. A primeira entrada é Lista Fácil.
3. Clique no azul + assine ao lado do i. . Isso exibe o Grupos DNSBL página, que lista seus feeds, com a maioria dos campos relevantes preenchidos automaticamente.
4. Queremos apenas dois feeds aqui: Lista Fácil e Lista Fácil Privacidade, então exclua o resto.
5. Definir o Lista Fácil e Lista Fácil Privacidade alimenta para LIGADO.
6. Desça para o Configurações seção.
7. Do do Ação menu suspenso, selecione Não consolidado.
8. Clique no + assine ao lado Lista_ personalizada DNSBL para trazer à tona o Lista_ personalizada DNSBL (torna-se um – assine quando clicado).
9. No Lista_ personalizada DNSBL janela, entre vungle. com. Este domínio servirá como nosso domínio de teste para garantir que o DNSBL do pfBlockerNG esteja funcionando corretamente.
10. Clique Salvar configurações DNSBL.

Forçando uma atualização do pfBlockerNG

Para aplicar nossas configurações, precisamos forçar uma atualização do pfBlockerNG.

1. Vá para a guia Atualização. Isso leva você à página de atualização do pfBlockerNG.
2. Clique no Correr botão para iniciar a atualização.

Após uma atualização bem-sucedida, nossos feeds foram baixados e ativados, e nosso domínio de teste está incluído na lista de domínios ofensivos.

Testando DNSBL do pfBlockerNG

Para garantir que a filtragem DNSBL esteja funcionando, tentaremos nos conectar ao domínio ao qual adicionei Lista_ personalizada DNSBL: vungle. com. Se eu tentar acessar o vungle.com no meu navegador, a página do bloco DNSBL será exibida com algumas informações úteis.

Para confirmar que o DNSBL está funcionando corretamente, tentaremos uma conexão com o domínio personalizado ao qual adicionei Lista_ personalizada DNSBL no passo anterior, que é vungle. com.

E podemos ver que está bloqueado.

O DNSBL do PfBlocker é construído com um mini servidor web que exibe a página acima para domínios bloqueados. Isto aplica-se apenas à filtragem DNSBL. A filtragem IPv4, IPv6 e GeoIP não mostra uma página de bloco.

Embrulhar

Se você chegou até aqui, instalou e configurou o pfBlockerNG-devel no pfSense. Com essa configuração, você tem filtragem IPv4, filtragem GeoIP e filtragem DNSBL, além de segurança e privacidade aprimoradas para sua rede sem comprometer sua velocidade de conexão.

Com o tempo, é provável que sua rede cresça tanto em tamanho quanto em complexidade, e você pode querer abrir portas específicas em sua WAN para coisas como executar um servidor de Rede Privada Virtual (VPN) ou hospedar um servidor web que pode ser acessado a partir da internet. Nesses casos, o pfBlockerNG será um ativo valioso em seu arsenal de segurança, ajudando você a proteger sua rede e ajustar o acesso externo.