pfSense Güvenlik Duvarında DNS Kara Listesi için pfBlockerNg'yi Kurun ve Yapılandırın

Daha önceki bir makalede, pfSense olarak bilinen güçlü bir FreeBSD tabanlı güvenlik duvarı çözümünün kurulumu tartışılmıştı. pfSense, daha önceki makalede bahsedildiği gibi, ortalıkta pek bir şey yapmayan eski bir bilgisayarı kullanabilen çok güçlü ve esnek bir güvenlik duvarı çözümüdür.

Bu makale, pfsense için pfBlockerNG adlı harika bir eklenti paketinden bahsedecek.

pfBlockerNG, güvenlik duvarı yöneticisine güvenlik duvarının yeteneklerini geleneksel durum bilgisi olan L2/L3/L4 güvenlik duvarının ötesine genişletme yeteneği sağlamak için pfSense'e yüklenebilen bir pakettir.

Saldırganların ve siber suçluların yetenekleri gelişmeye devam ettikçe, onların çabalarını engellemek için uygulanan savunmalar da gelişmelidir. Bilgisayar dünyasındaki her şeyde olduğu gibi, tüm ürünleri düzelten tek bir çözüm yoktur.

pfBlockerNG, pfSense'e, güvenlik duvarına, bir IP adresinin coğrafi konumu, bir kaynağın alan adı veya belirli web sitelerinin Alexa derecelendirmeleri gibi öğelere dayalı olarak izin verme/reddetme kararları verme yeteneği sağlar.

Etki alanı adları gibi öğeleri kısıtlama yeteneği, yöneticilerin bilinen kötü etki alanlarına (başka bir deyişle, kötü amaçlı yazılım, yasa dışı içerik veya diğer sinsi veri parçaları).

Bu kılavuz, bir pfSense güvenlik duvarı cihazının pfBlockerNG paketini kullanacak şekilde yapılandırılmasının yanı sıra pfBlockerNG aracına eklenebilecek/yapılandırılabilecek etki alanı engelleme listelerinin bazı temel örneklerini açıklayacaktır.

Gereksinimler

Bu makale birkaç varsayımda bulunacak ve pfSense ile ilgili önceki kurulum makalesinden yola çıkarak oluşturulacaktır. Varsayımlar aşağıdaki gibi olacaktır:

  • pfSense zaten yüklü ve şu anda yapılandırılmış hiçbir kural yok (temiz sayfa).
  • Güvenlik duvarında yalnızca bir WAN ve bir LAN bağlantı noktası (2 bağlantı noktası) bulunur.
  • LAN tarafında kullanılan IP şeması 192.168.0.0/24'tür.

PfBlockerNG'nin halihazırda çalışan/yapılandırılmış bir pfSense güvenlik duvarında yapılandırılabileceği unutulmamalıdır. Buradaki bu varsayımların nedeni sadece akıl sağlığı içindir ve tamamlanacak görevlerin çoğu hala temiz olmayan bir pfSense kutusunda yapılabilir.

Laboratuvar Şeması

Aşağıdaki resim, bu makalede kullanılacak pfSense ortamının laboratuvar diyagramıdır.

PfSense için pfBlockerNG'yi yükleyin

Laboratuvar kullanıma hazır olduğundan başlama zamanı geldi! İlk adım pfSense güvenlik duvarının web arayüzüne bağlanmaktır. Yine bu laboratuvar ortamı 192.168.0.0/24 ağını kullanıyor ve güvenlik duvarı 192.168.0.1 adresiyle ağ geçidi görevi görüyor. Bir web tarayıcısı kullanmak ve 'https://192.168.0.1' adresine gitmek, pfSense giriş sayfasını görüntüleyecektir.

Bazı tarayıcılar SSL sertifikasından şikayetçi olabilir, sertifika pfSense güvenlik duvarı tarafından otomatik olarak imzalandığı için bu normaldir. Uyarı mesajını güvenle kabul edebilir ve istenirse meşru bir CA tarafından imzalanmış geçerli bir sertifika yüklenebilir ancak bu makalenin kapsamı dışındadır.

'Gelişmiş'i ve ardından 'İstisna Ekle…'yi başarıyla tıkladıktan sonra, güvenlik istisnasını onaylamak için tıklayın. Daha sonra pfSense oturum açma sayfası görüntülenecek ve yöneticinin güvenlik duvarı cihazında oturum açmasına olanak tanıyacaktır.

Ana pfSense sayfasında oturum açtıktan sonra 'Sistem' açılır menüsünü tıklayın ve ardından 'Paket Yöneticisi'ni seçin.

Bu bağlantıya tıkladığınızda paket yöneticisi penceresine geçilecektir. Yüklenecek ilk sayfa şu anda kurulu olan tüm paketler olacak ve boş olacaktır (yine bu kılavuzda temiz bir pfSense kurulumu varsayılmaktadır). pfSense için kurulabilir paketlerin listesini görmek için 'Kullanılabilir Paketler' metnini tıklayın.

'Kullanılabilir Paketler' sayfası yüklendikten sonra, 'Arama terimi' kutusuna 'pfblocker' yazın ve 'Ara<'yı tıklayın'. Döndürülen ilk öğe pfBlockerNG olmalıdır. pfBlockerNG açıklamasının sağındaki "Yükle" düğmesini bulun ve paketi yüklemek için '+' düğmesini tıklayın.

Sayfa yeniden yüklenecek ve yöneticinin "Onayla"yı tıklayarak kurulumu onaylamasını isteyecektir.

Onaylandıktan sonra pfSense, pfBlockerNG'yi yüklemeye başlayacaktır. Kurulum sayfasından ayrılmayın! Sayfada başarılı kurulum görüntülenene kadar bekleyin.

Kurulum tamamlandıktan sonra pfBlockerNG yapılandırması başlayabilir. Tamamlanması gereken ilk görev, pfBlockerNG doğru şekilde yapılandırıldığında ne olacağına dair bazı açıklamalardır.

pfBlockerNG yapılandırıldıktan sonra, web sitelerine yönelik DNS istekleri, pfBlockerNG yazılımını çalıştıran pfSense güvenlik duvarı tarafından durdurulmalıdır. pfBlockerNG daha sonra hatalı bir IP adresiyle eşlenen bilinen kötü alan adlarının güncellenmiş listelerine sahip olacaktır.

pfSense güvenlik duvarının, kötü etki alanlarını filtreleyebilmesi için DNS isteklerini engellemesi gerekir ve UnBound olarak bilinen yerel bir DNS çözümleyicisi kullanır. Bu, LAN arayüzündeki istemcilerin DNS çözümleyici olarak pfSense güvenlik duvarını kullanması gerektiği anlamına gelir.

İstemci pfBlockerNG'nin engelleme listelerinde bulunan bir alan adı talep ederse pfBlockerNG, alan adı için yanlış bir IP adresi döndürecektir. Süreci başlatalım!

pfSense için pfBlockerNG Yapılandırması

İlk adım, pfSense güvenlik duvarında Bağlantısız DNS çözümleyicisini etkinleştirmektir. Bunu yapmak için "Hizmetler" açılır menüsünü tıklayın ve ardından "DNS Çözümleyici"yi seçin.

Sayfa yeniden yüklendiğinde DNS çözümleyici genel ayarları yapılandırılabilir olacaktır. Yapılandırılması gereken bu ilk seçenek, 'DNS Çözümleyiciyi Etkinleştir' onay kutusudur.

Sonraki ayarlar, DNS dinleme bağlantı noktasını (normalde bağlantı noktası 53) ayarlamak, DNS çözümleyicinin dinlemesi gereken ağ arayüzlerini ayarlamak (bu yapılandırmada, LAN bağlantı noktası ve Localhost olmalıdır) ve ardından çıkış bağlantı noktasını ayarlamaktır (olması gereken) bu yapılandırmada WAN olmalıdır).

Seçimler yapıldıktan sonra sayfanın alt kısmındaki 'Kaydet'i tıkladığınızdan emin olun ve ardından üst kısımda görünecek 'Değişiklikleri Uygula' düğmesini tıklayın. sayfa.

Bir sonraki adım, özellikle pfBlockerNG'nin yapılandırılmasındaki ilk adımdır. 'Güvenlik Duvarı' menüsü altında pfBlockerNG yapılandırma sayfasına gidin ve ardından 'pfBlockerNG'yi tıklayın.

pfBlockerNG yüklendikten sonra, pfBlockerNG'yi etkinleştirmeden önce DNS listelerini ayarlamaya başlamak için ilk olarak 'DNSBL' sekmesine tıklayın.

'DNSBL' sayfası yüklendiğinde, pfBlockerNG menülerinin altında yeni bir menü grubu olacaktır (aşağıda yeşil renkle vurgulanmıştır). Ele alınması gereken ilk öğe "DNSBL'yi Etkinleştir" onay kutusudur (aşağıda yeşil renkle vurgulanmıştır).

Bu onay kutusu, LAN istemcilerinden gelen dns isteklerini incelemek için pfSense kutusunda Bağlantısız DNS çözümleyicisinin kullanılmasını gerektirir. UnBound'un daha önce yapılandırılmış olduğundan endişelenmeyin ancak bu kutunun işaretlenmesi gerekecek! Bu ekranda doldurulması gereken diğer öğe ise ‘DNSBL Sanal IP’dir.

Bu IP'nin özel ağ aralığında olması ve pfSense'in kullanıldığı ağda geçerli bir IP olmaması gerekir. Örneğin, 192.168.0.0/24 üzerindeki bir LAN ağı, özel bir IP olduğundan ve LAN ağının bir parçası olmadığından 10.0.0.1 IP'sini kullanabilir.

Bu IP, istatistik toplamak ve pfBlockerNG tarafından reddedilen etki alanlarını izlemek için kullanılacaktır.

Sayfayı aşağı kaydırdığınızda bahsetmeye değer birkaç ayar daha vardır. Bunlardan ilki 'DNSBL Dinleme Arayüzü'dür. Bu kurulum ve çoğu kurulum için bu ayarın "LAN" olarak ayarlanması gerekir.

Diğer ayar ise 'DNSBL IP Güvenlik Duvarı Ayarları' altındaki 'Eylemi Listele'dir. Bu ayar, DNSBL akışı IP adresleri sağladığında ne olması gerektiğini belirler.

pfBlockerNG kuralları herhangi bir sayıda eylemi gerçekleştirecek şekilde ayarlanabilir ancak büyük olasılıkla "İkisini Reddet" istenen seçenek olacaktır. Bu, DNSBL akışındaki IP/etki alanına gelen ve giden bağlantıları engelleyecektir.

Öğeler seçildikten sonra sayfanın altına gidin ve "Kaydet" düğmesini tıklayın. Sayfa yeniden yüklendikten sonra kullanılması gereken DNS Engelleme Listelerini yapılandırmanın zamanı gelmiştir.

pfBlockerNG yöneticiye, yöneticinin tercihine bağlı olarak bağımsız veya birlikte yapılandırılabilecek iki seçenek sunar. İki seçenek, diğer web sayfalarından veya EasyList'lerden manuel beslemelerdir.

Farklı EasyList'ler hakkında daha fazlasını okumak için lütfen projenin ana sayfasını ziyaret edin: https://easylist.to/

pfBlockerNG EasyList'i yapılandırma

Önce EasyLists'i tartışalım ve yapılandıralım. Çoğu ev kullanıcısı bu listeleri yeterli ve idari açıdan en az külfetli bulacaktır.

pfBlockerNG'de bulunan iki EasyList, 'Öğe Gizlemesiz EasyList' ve 'EasyPrivacy'dir. Bu listelerden birini kullanmak için öncelikle sayfanın üst kısmındaki 'DNSBL EasyList'i tıklayın.

Sayfa yeniden yüklendikten sonra EasyList yapılandırma bölümü kullanıma sunulacaktır. Aşağıdaki ayarların yapılandırılması gerekecektir:

  • DNS Grup Adı – Kullanıcının tercihi ancak özel karakterler yok
  • Açıklama – Kullanıcının seçimi, özel karakterlere izin verilir
  • EasyList Yayın Durumu – Yapılandırılmış listenin kullanılıp kullanılmadığı
  • EasyList Feed – Hangi listenin kullanılacağı (EasyList veya EasyPrivacy) her ikisi de eklenebilir
  • Başlık/Etiket – Kullanıcının tercihi ancak özel karakterler yok

Bir sonraki bölüm listelerin hangi bölümlerinin engelleneceğinin belirlenmesi için kullanılır. Yine bunların hepsi kullanıcı tercihidir ve istenirse birden fazla seçilebilir. 'DNSBL – EasyList Ayarları'ndaki önemli ayarlar aşağıdaki gibidir:

  • Kategoriler – Kullanıcı tercihi ve birden fazlası seçilebilir
  • Liste İşlemi – DNS isteklerini incelemek için "Bağlantısız" olarak ayarlanması gerekir
  • Güncelleme Sıklığı – pfSense, kötü siteler listesini ne sıklıkta günceller?

EasyList ayarları kullanıcının tercihlerine göre yapılandırıldığında sayfanın en altına kaydırdığınızdan ve "Kaydet" düğmesini tıkladığınızdan emin olun. Sayfa yeniden yüklendikten sonra sayfanın en üstüne gidin ve "Güncelle" sekmesini tıklayın.

Güncelleme sekmesine geldiğinizde, "Yeniden Yükle" radyo düğmesini ve ardından "Tümü" radyo düğmesini işaretleyin. Bu, daha önce EasyList yapılandırma sayfasında seçilen engellenenler listelerini elde etmek için bir dizi web indirme işlemi gerçekleştirecektir.

Bunun manuel olarak yapılması gerekir, aksi takdirde listeler zamanlanmış cron görevine kadar indirilmez. Herhangi bir değişiklik yapıldığında (listeler eklenir veya kaldırılır), bu adımı uyguladığınızdan emin olun.

Hatalar için aşağıdaki günlük penceresini izleyin. Her şey planlandığı gibi giderse, güvenlik duvarının LAN tarafındaki istemci makineleri, bilinen kötü siteler için pfSense güvenlik duvarını sorgulayabilmeli ve karşılığında kötü IP adresleri alabilmelidir. Yine de istemci makinelerin DNS çözümleyici olarak pfsense kutusunu kullanacak şekilde ayarlanması gerekir!

Yukarıdaki nslookup'ta url'nin pfBlockerNG yapılandırmalarında daha önce yapılandırılan yanlış IP'yi döndürdüğüne dikkat edin. Bu istenen sonuçtur. Bu, '100pour.com' URL'sine yapılan herhangi bir isteğin 10.0.0.1 yanlış IP adresine yönlendirilmesine neden olur.

pfSense için DNSBL Akışlarını Yapılandırma

AdBlock EasyLists'in aksine, pfBlockerNG'de diğer DNS Kara Listelerini kullanma olanağı da mevcuttur. Kötü amaçlı yazılım komuta ve kontrolünü, casus yazılımları, reklam yazılımlarını, tor düğümlerini ve diğer her türlü yararlı listeyi izlemek için kullanılan yüzlerce liste vardır.

Bu listeler sıklıkla pfBlockerNG'ye çekilebilir ve ayrıca DNS Kara Listeleri olarak da kullanılabilir. Yararlı listeler sağlayan epeyce kaynak var:

  • https://forum.pfsense.org/index.php?topic=114499.0
  • https://forum.pfsense.org/index.php?topic=102470.0
  • https://forum.pfsense.org/index.php?topic=86212.0

Yukarıdaki bağlantılar pfSense forumunda üyelerin kullandıkları listelerin geniş bir koleksiyonunu yayınladıkları başlıklar sağlar. Yazarın favori listelerinden bazıları şunlardır:

  • http://adaway.org/hosts.txt
  • http://www.malwaredomainlist.com/hostslist/hosts.txt
  • http://pgl.yoyo.org/adservers/serverlist.php?hostformat=hosts&mimetype=plaintext
  • https://zeustracker.abuse.ch/blocklist.php?download=domainblocklist
  • https://Gist.githubusercontent.com/BBcan177/4a8bf37c131be4803cb2/raw

Yine tonlarca başka liste var ve yazar, bireylerin daha fazla/başka listeler aramasını şiddetle teşvik ediyor. Yine de yapılandırma görevlerine devam edelim.

İlk adım, 'Güvenlik Duvarı' -> 'pfBlockerNG' -> aracılığıyla pfBlockerNG'nin yapılandırma menüsüne tekrar girmektir. 'DSNBL'.

DNSBL yapılandırma sayfasına tekrar geldiğinizde, "DNSBL Akışları" metnini tıklayın ve ardından sayfa yenilendiğinde "Ekle" düğmesini tıklayın.

Ekle düğmesi, yöneticinin pfBlockerNG yazılımına daha fazla hatalı IP adresi veya DNS adı listesi eklemesine olanak tanır (listede zaten bulunan iki öğe, yazarın testinden elde edilen öğelerdir). Ekle düğmesi yöneticiyi, DNSBL listelerinin güvenlik duvarına eklenebileceği bir sayfaya getirir.

Bu çıktıdaki önemli ayarlar şunlardır:

  • DNS Grup Adı – Kullanıcı seçildi
  • Açıklama – Grupları düzenli tutmak için kullanışlıdır
  • DNSBL Ayarları – Bunlar gerçek listelerdir
    • Durum – Kaynağın kullanılıp kullanılmadığı ve nasıl elde edildiği
    • Kaynak – DNS Kara Listesinin bağlantısı/kaynağı
    • Başlık/Etiket – Kullanıcının tercihi; özel karakter yok
  • İşlemi Listele – Bağlantısız olarak ayarlayın
  • Güncelleme Sıklığı – Liste ne sıklıkta güncellenmelidir?

Bu ayarlar yapıldıktan sonra sayfanın alt kısmındaki kaydet düğmesini tıklayın. PfBlockerNG'de yapılan tüm değişikliklerde olduğu gibi, değişiklikler bir sonraki programlanmış cron aralığında etkili olacaktır veya yönetici, 'Güncelleme' sekmesine gidip 'Yeniden Yükle<'yi tıklayarak manuel olarak yeniden yüklemeyi zorlayabilir' radyo düğmesini ve ardından 'Tümü' radyo düğmesini tıklayın. Bunlar seçildikten sonra "Çalıştır" düğmesini tıklayın.

Hatalar için aşağıdaki günlük penceresini izleyin. Her şey planlandığı gibi gittiyse, LAN tarafındaki bir istemciden DNSBL yapılandırmasında kullanılan metin dosyalarından birinde listelenen alanlardan birine bir nslookup yapmayı deneyerek listelerin çalıştığını test edin.

Yukarıdaki çıktıda görülebileceği gibi pfSense cihazı, pfBlockerNG'de yapılandırılmış sanal IP adresini kara liste etki alanları için hatalı IP olarak döndürmektedir.

Bu noktada yönetici, daha fazla liste ekleyerek veya özel etki alanı/IP listeleri oluşturarak listeleri ayarlamaya devam edebilir. pfBlockerNG bu kısıtlı alan adlarını sahte bir IP adresine yönlendirmeye devam edecektir.

pfBlockerNG hakkındaki bu makaleyi okuduğunuz için teşekkür ederiz. Lütfen bu harika ürünlerin sürekli geliştirilmesine mümkün olan her şekilde katkıda bulunarak pfSense yazılımının yanı sıra pfBlockerNG'ye olan takdirinizi veya desteğinizi gösterin. Her zaman olduğu gibi lütfen öneri veya sorularınız için aşağıya yorum yapın!