2 марта 2022 года Национальный координационный центр по компьютерным инцидентам (НКЦКИ) выпустил бюллетень со списком рекомендаций для противодействия угрозам безопасности информации. В дополнение к бюллетеню опубликованы списки IP адресов и DNS имён для блокировки. В данной статье будет описано как добавить данные списки в pfSense и настроить фильтрацию. Несмотря на то, что прошло достаточно времени с момента публикации списков, они ещё не потеряли своей актуальности, да и при выходе новых эта статья так же будет полезна. В статье не обсуждаются вопросы импортозамещения pfSense и схожие темы. Описано как настроить тем у кого всё работает, и кто не собирается прямо сейчас менять pfSense на другой файрвол. Подразумевается, что читатели обладают достаточным навыком работы с pfSense.
Фильтрация IP адресов
Читаем 15-й пункт бюллетеня: "Для защиты от DDoS-атак на средствах сетевой защиты информации ограничьте сетевой трафик с IP-адресов, приведенных в файле proxies.txt. Указанные в нем IP-адреса принадлежат прокси-серверам, используемым в DDoS-атаках.".
Обычный вариант - создаём алиас со списком адресов. Переходим на страницу Firewall / Aliases / URLs и жмём кнопку Add. Выбираем тип URL Table (IPs), называем как вам нравится, копируем https://safe-surf.ru/upload/ALRT/proxies.txt в поле адреса, и выбираем 1 в поле после косой черты (обновление раз в день).
Далее создаём блокирующее правило на нашем WAN интерфейсе:
Action: Block
Interface: WAN
Address Family: IPv4
Protocol: Any
Source: Single host or alias - вводим название нашего алиаса
Destination: лучше оставить Any, особенно если файрвол прикрывает хосты с публичными адресами
Log: можно включить на какое-то время, чтобы видеть в логах IP адреса DoSящих
Фильтрация IP адресов с помощью pfBlockerNG
Подробно про функционал этого пакета было расписано в трёх статьях - pfBlockerNG для домашней сети, Настройка pfBlockerNG на pfSense (часть 1), Настройка pfBlockerNG на pfSense (часть 2). Не будем повторять детальное описание настроек, и перейдём сразу на страницу Firewall / pfBlockerNG / IP / IPv4 и добавим новую группу кнопкой Add:
Name: NKCKI
Format: Auto
State: On
Header/Label: NKCKI
Action: Deny Inbound
Update Frequency: Once a day
Так как мы указали Deny Inbound в качестве Action, pfBlockerNG автоматически разместит запрещающее правило на нашем WAN интерфейсе. Точнее на всех интерфейсах что выделены в Inbound Firewall Rules на странице Firewall / pfBlockerNG / IP:
Настройка DNSBL списка в pfBlockerNG
Смотрим 15-й пункт бюллетеня: "Для защиты от DDoS-атак на средствах сетевой защиты информации ограничьте сетевой трафик, содержащий в поле Referer HTTP заголовка значения из файла referer_http_header.txt.".
Переходим на страницу Firewall / pfBlockerNG / DNSBL / DNSBL Groups и добавляем новую группу нажав на Add:
Name: NKCKI
Format: Auto
State: On
Source: https://safe-surf.ru/upload/ALRT/referer_http_header.txt
Header/Label: NKCKI
Action: Unbound
Update Frequency: Once a day
Нужно отметить, что в списке сайтов присутствует github.com, поэтому если вы не хотите его сами себе заблокировать, добавьте в белый список на странице Firewall / pfBlockerNG / DNSBL в поле DNSBL Whitelist.
Далее не забудьте запустить Update на странице Firewall / pfBlockerNG / Update чтобы изменения вступили в силу.
Дополнительно
Не лишним будет перейти на использование DNS серверов Национальной системы доменных имён (НСДИ) - 195.208.4.1 и 195.208.5.1 (настройка на странице System / General Setup).
Если есть подозрения (а у кого их сейчас нет), что с обновлением может приехать какой-нибудь сюрприз, то отключаем проверку на странице System / Update / Update Settings - галочка Dashboard check, и больше не заходим в Update и Package Manager меню.
Комментарии (14)
vikarti
25.03.2022 05:53+1Это только мне кажется странным что в рекомендациях есть домены .ru?
Почему то еще не разделегированные (уж тут то основания искать не надо — либо закон о фейках (в списки и укроновостные сайты, которые на первый взгляд не делают каких то гадостей(контент там конечно ожидаемый) либо координация DDoS-атак)Ну и — а списочек с IP в формате Mikrotik можно?
silinio Автор
25.03.2022 09:11Удобно использовать скрипты github.com/mihaiv/mikrotik-block-lists
d3vil_st
25.03.2022 15:28Автор скриптов предлагает поставить RCE дыру себе на роутер?
Там в скрипте он закачивает другой скрипт, со своего сервера, и запускает его. Это прям уровень 'curl | bash'
ky0
25.03.2022 08:39+6Прокси заблочьте, выходные ноды Тора заблочьте, впны заблочьте и непременно юзайте наши нешифрованные DNS-серверы. Какой-то список вредных советов просто.
silinio Автор
25.03.2022 09:03Кстати, заблокировать прокси, VPN и узлы Тор можно через тот же pfBlockerNG. В списке фидов есть такие категории. Что нередко применяется когда, к примеру, на pfSense запущен remote access VPN.
См. Настройка pfBlockerNG на pfSense (часть 1)
TheRaven
25.03.2022 10:55Сама инструкция, конечно, такая себе, но и из неё можно извлечь пользу. Я вот как-то пропустил, что pfSense умеет в алиасах принимать на вход текстовик со списком IP\доменов и самостоятельно его обновлять.
Осталось туда положить линк на выгрузку роскомнадзора и написать полезное правило в фаервол, которое завернёт этот алиас в нужный гейтвей.
Кто-нибудь встречал выгрузку в совместимом формате?silinio Автор
25.03.2022 11:24Было в статье Настройка pfBlockerNG на pfSense (часть 1). С примером фида роскомсвободы. Не пропускайте.
dartraiden
Которые сейчас являются отличными мишенями для DDoS.
silinio Автор
У меня сейчас такая конфигурация — НСДИ (195.208.4.1, 195.208.5.1), Яндекс.ДНС (77.88.8.8, 77.88.8.1) и резолверы провайдера (галочка DNS Server Override на странице System / General Setup)
Итого шесть DNS'ов. Вероятность что всех стразу заDDoSят не такая высокая.
dartraiden
А, ну я так понял, что «перейти» означает «перейти только лишь на них».
Кстати, эти серверы ещё и фильтровали раньше контент, не знаю, как сейчас.
werter_l
Галка DNS Server Override на странице System / General Setup означает ИЛИ, а не И.
Ставя там галку будут использоваться ТОЛЬКО DNS серверы провайдера. Там об этом так и написано.