Aula 8 - Bloqueando Propagandas e Sites Infectados Com o pfBlockerNG

Firewall com pfSense
Instrutor:Vitor Mazuco
http://facebook.com/vitormazuco
Email:vitor.mazuco@gmail.com
WebSite:
http://vmzsolutions.com.br
Usando o pfBlockerNG
Nessa aula, vou abordar como usar o recurso do DNSBL do
pacote pfBlockerNG para impedir que os usuários acessem sites
infectados diminuindo assim o risco de infecção com vírus ou
malwares, também vamos limpar as propagandas que estejam
infectados e deixando os sites mais limpos e seguros para que
você obtenha uma melhor experiência de navegação.

Podemos bloquear sites que usem criptografias HTTPS e SSL, e é
usado o alias de bases de DNS que possuem Domínio e IP para
gerar as regras de firewall. Esses alias são gerados em arquivos
.txt predefinidos que contêm informações de IP e domínio que são
atualizadas por profissionais de segurança e provedores
conhecidos uma vez que um IP ou domínio possivelmente
infectado é identificado.
A única questão com pfBlockerNG e DNSBL é que ele pode usar
muitos recursos, tanto de memória RAM quanto de CPU, quanto
mais listas você atribuir, mais RAM e CPU precisará. Eu
recomendo no mínimo uma máquina de 2Gb RAM e 4 Cores de
1.5Ghz.
PfBlockerNG usa o serviço de DNS Resolver do pfSense para lidar
com as resoluções de DNS, então, antes de iniciar a instalação,
certifique-se de que o seu Resolver de DNS está sendo executado
com o modo Encaminhamento ativado (Forwarding mode), isso é
encontrado em Services -> DNS Resolver -> General Option

Agora vamos instalar o pfBlockerNG como faria com qualquer
outro pacote navegando para: System -> Packet Manager ->
Available Packets e, em seguida, procure por "pfBlocker" e
depois clique em install

Quando a instalação é feita Navegue para Firewall ->
pfBlockerNG para iniciar a configuração:

➔
General Settings
➔
Enable pfBlockerNG: Marcado
➔
Keep Settings: Marcado
➔
CRON Settings: Every hour | :15 | 0 | 0 (Isso sincronizará a
lista a cada 15 minutos após uma hora completa ou seja, 01:15
então 02:15)
➔
De-Duplication: Marcado
➔
CIDR Aggregation: Marcado
➔
Suppression: Marcado
➔
MaxMind Localized Language: English
➔
Download Failure Threshold: 4
➔
Logfile Size: 20000
➔
Interface/Rules Configuration
➔
Inbound Firewall Rules: WAN | Block
➔
Outbound Firewall Rules: LAN | Reject
➔
Rule Order: pfB_Pass/Match | pfB_Block/Reject | pfSense
Pass/Match | pfSense Block/Reject
➔
Auto Rule Suffix: Auto Rule
➔
Kill States: Marcado
➔
Clique em Save e Apply
Agora, queremos passar para as configurações de DNSBL
encontradas em Firewall -> pfBlockerNG -> DNSBL

➔
DNSBL Configuration
➔
Enable DNSBL: Marcado
➔
Enable TLD: Marcado
➔
DNSBL Virtual IP: 10.10.10.1
➔
DNSBL Listening Port: 8081
➔
DNSBL SSL Listening Port: 8443
➔
DNSBL Listening Interface: LAN
➔
DNSBL Firewall Rule: Marcado | LAN
➔
DNSBL IP Firewall Rule Settings
➔
List Action: Deny Outbound
➔
Enable Logging: Enable
➔
Clique em Save
Em seguida, configuramos o DNSBL EasyList do Firewall ->
pfBlockerNG -> DNSBL -> DNSBL EasyList

➔
DNSBL – EasyList
➔
DNS GROUP Name: EasyList
➔
Description: EasyList
➔
EasyList Feeds
➔
State: ON | EasyList Feeds: EasyList W\O Elements |
Header: EasyList
➔
State: ON | EasyList Feeds: EasyPrivacy | Header:
EasyPrivacy
➔
DNSBL - EasyList Settings
➔
Categories: All selected*
➔
List Action: Unbound
➔
Update Frequency: Once a day
➔
Weekly (Day of Week): Monday
➔
Clique em Save
Agora chegamos ao coração das configurações, pois precisamos

definir as nossas DNSBL Feeds e de onde pfBlockerNG deverá
tirar suas informações, uma boa fonte para isso está no fórum
pfSense do próprio desenvolvedor neste link
Navegue para Firewall -> pfBlockerNG -> DNSBL -> DNSBL

Feeds para adicionar suas listas de feeds. Vamos criar 4 feeds
diferentes e são: Anúncios, Maliciosos, DGA Crypto e hpHost que
foram configurados com o seguinte:
●
DNS GROUP Name: Ads
●
Description: DNSBL Adverts
●
DNSBL:
●
Format: Auto| State: ON | Source:
http://pgl.yoyo.org/adservers/serverlist.php?
hostformat=hosts&mimetype=plaintext | Header: yoyo
●
Format: Auto| State: ON | Source: http://hosts-
file.net/ad_servers.txt | Header: hpHosts_ads
●
Format: Auto| State: ON | Source: https://adaway.org/hosts.txt |
Header: Adaway
●
http://sysctl.org/cameleon/hosts | Header: Cameleon
●
●
Update Frequency: Every 8hours
●
●
Clique em Save
Agora, vamos criar um outro com o de Maliciosos:

DNS GROUP Name: Malicious
Description: DNSBL Malicious
DNSBL: Format: Auto | State: ON |
Source: http://hosts-file.net/download/hosts.zip| Header: hpHosts
http://someonewhocares.org/hosts/hosts| Header: SWC
https://raw.githubusercontent.com/Dawsey21/Lists/master/main-
blacklist.txt| Header: spam404
Format: Auto| State: ON | Source: https://malc0de.com/bl/BOOT|

Header: malc0de
Format: Auto| State: FLEX | Source:
https://mirror1.malwaredomains.com/files/justdomains | Header:
MDS
http://winhelp2002.mvps.org/hosts.txt | Header: MVPS
Format: Auto | State: ON | Source:
http://www.malwaredomainlist.com/hostslist/hosts.txt| Header:
MDL

Depois clique em Save
Agora, vamos criar um outro com o de Cryptolocker:

Description: DNSBL DGA for Cryptolocker
DNSBL:
http://osint.bambenekconsulting.com/feeds/dga-feed.gz| Header:
BBC_DGA
http://osint.bambenekconsulting.com/feeds/c2-dommasterlist.txt|
Header: BBC_C2

Clique em Save
Agora, vamos criar um outro com o de hpHost:

DNS GROUP Name: hpHosts_partial
Description: DNSBL hpHosts_partial
DNSBL:
Format: Auto | State: ON | Source: http://hosts-file.net/hphosts-
partial.asp| Header: hpHosts_partial
Clique em Save
Quando terminar, você deve ter criado as 4 categorias para
bloquear o anúncios, malwares e vírus de criptografia, você pode
adicionar mais listas e fontes a esta configuração, mas você
precisa fazer sua própria pesquisa e colocar por sua conta e
risco. Toda a lista que usei é livre e de código aberto, mas
também há alternativas pagas para feeds.

Neste ponto, nós configuramos somente o pfBlockerNG para
usar o DNSBL e reagir nos nomes de domínio, mas também
queremos bloquear os IPs “ruins” já conhecidos pela internet,
navegue até: Firewall -> pfBlockerNG -> IPv4

Eu só estarei cobrindo o IPv4 nesta aula, mas se você usar IPv6,
o mesmo método é usado para adicionar as regras necessárias
para isso. Minha lista de alias IPv4 é chamada de Badguys e
está configurada como segue:

Alias Name: Badguys
List Description: IPv4 Badguys
IPv4 Lists:
https://gist.githubusercontent.com/BBcan177/d7105c242f17f4498f
81/raw/90eb2ac8bdc01af3008d728b7c0f10dc7b2506b4/MS-3|
Header: BBcan177_Domains_IPv4
https://rules.emergingthreats.net/blockrules/compromised-ips.txt|
Header: ETCompromised

https://rules.emergingthreats.net/fwrules/emerging-Block-IPs.txt|
Header: ETBlocked
https://gist.githubusercontent.com/BBcan177/bf29d47ea04391cb3
eb0/raw/b344ebc9475acdea1fae38a12c4ea9332838a184/MS-1|
Header: BBcan177Threats
Format: Auto | State: Auto | Source:
http://www.malwaredomainlist.com/hostslist/ip.txt| Header:
Malwaredomainlist

https://ransomwaretracker.abuse.ch/downloads/RW_IPBL.txt|
Header: Ransomware
List Action: Deny Both
Enable Logging: Enable
States Removal: Enable
Clique em Save
Depois de ter feito alterações nas listas DNSBL, você precisa
forçar uma atualização do novo conjunto de regras antes que as
alterações entrem em vigor na sua rede, para fazer uma
atualização navegar para Firewall -> pfBlockerNG -> Update
Ao fazer uma atualização manual ou uma atualização forçada
devido a mudanças na configuração, você não deseja executá-la
perto de quando a tarefa Cron estiver sendo executada, há um
relógio na página de atualização que irá dizer-lhe quando a
próxima atualização será executada

Ao fazer uma atualização manual ou uma atualização forçada
devido a mudanças na configuração, você não deseja executá-la
perto de quando a tarefa Cron estiver sendo executada, há um
relógio na página de atualização que irá dizer-lhe quando a
próxima atualização será feita.
Selecione a opção 'Force': Reload
Selecione a opção 'Reload': All

E lembre-se de fazer esses testes em ambientes de testes antes
de passar para produção.

Aula 8 - Bloqueando Propagandas e Sites Infectados Com o pfBlockerNG

Enviado por

Dados do documento

Descrição original:

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Aula 8 - Bloqueando Propagandas e Sites Infectados Com o pfBlockerNG

Enviado por

Direitos autorais:

Formatos disponíveis

Firewall com pfSense

Nessa aula, vou abordar como usar o recurso do DNSBL do

pacote pfBlockerNG para impedir que os usuários acessem sites

infectados diminuindo assim o risco de infecção com vírus ou

malwares, também vamos limpar as propagandas que estejam

infectados e deixando os sites mais limpos e seguros para que

você obtenha uma melhor experiência de navegação.

Podemos bloquear sites que usem criptografias HTTPS e SSL, e é

usado o alias de bases de DNS que possuem Domínio e IP para

gerar as regras de firewall. Esses alias são gerados em arquivos

.txt predefinidos que contêm informações de IP e domínio que são

atualizadas por profissionais de segurança e provedores

conhecidos uma vez que um IP ou domínio possivelmente

A única questão com pfBlockerNG e DNSBL é que ele pode usar

muitos recursos, tanto de memória RAM quanto de CPU, quanto

mais listas você atribuir, mais RAM e CPU precisará. Eu

recomendo no mínimo uma máquina de 2Gb RAM e 4 Cores de

PfBlockerNG usa o serviço de DNS Resolver do pfSense para lidar

com as resoluções de DNS, então, antes de iniciar a instalação,

certifique-se de que o seu Resolver de DNS está sendo executado

com o modo Encaminhamento ativado (Forwarding mode), isso é

encontrado em Services -> DNS Resolver -> General Option

Agora vamos instalar o pfBlockerNG como faria com qualquer

outro pacote navegando para: System -> Packet Manager ->

Available Packets e, em seguida, procure por "pfBlocker" e

depois clique em install

Quando a instalação é feita Navegue para Firewall ->

pfBlockerNG para iniciar a configuração:

Agora, queremos passar para as configurações de DNSBL

encontradas em Firewall -> pfBlockerNG -> DNSBL

Em seguida, configuramos o DNSBL EasyList do Firewall ->

pfBlockerNG -> DNSBL -> DNSBL EasyList

Agora chegamos ao coração das configurações, pois precisamos

Navegue para Firewall -> pfBlockerNG -> DNSBL -> DNSBL

Agora, vamos criar um outro com o de Maliciosos:

Format: Auto| State: ON | Source: https://malc0de.com/bl/BOOT|

List Action: Unbound

Agora, vamos criar um outro com o de Cryptolocker:

Update Frequency: Every 8hours

Agora, vamos criar um outro com o de hpHost:

Quando terminar, você deve ter criado as 4 categorias para

bloquear o anúncios, malwares e vírus de criptografia, você pode

adicionar mais listas e fontes a esta configuração, mas você

precisa fazer sua própria pesquisa e colocar por sua conta e

risco. Toda a lista que usei é livre e de código aberto, mas

também há alternativas pagas para feeds.

Neste ponto, nós configuramos somente o pfBlockerNG para

usar o DNSBL e reagir nos nomes de domínio, mas também

queremos bloquear os IPs “ruins” já conhecidos pela internet,

navegue até: Firewall -> pfBlockerNG -> IPv4

Eu só estarei cobrindo o IPv4 nesta aula, mas se você usar IPv6,

o mesmo método é usado para adicionar as regras necessárias

para isso. Minha lista de alias IPv4 é chamada de Badguys e

está configurada como segue:

Format: Auto | State: ON | Source:

Format: Auto | State: ON | Source:

Depois de ter feito alterações nas listas DNSBL, você precisa

forçar uma atualização do novo conjunto de regras antes que as

alterações entrem em vigor na sua rede, para fazer uma

atualização navegar para Firewall -> pfBlockerNG -> Update

Ao fazer uma atualização manual ou uma atualização forçada

devido a mudanças na configuração, você não deseja executá-la