2 марта 2022 года Национальный координационный центр по компьютерным инцидентам (НКЦКИ) выпустил бюллетень со списком рекомендаций для противодействия угрозам безопасности информации. В дополнение к бюллетеню опубликованы списки IP адресов и DNS имён для блокировки. В данной статье будет описано как добавить данные списки в pfSense и настроить фильтрацию. Несмотря на то, что прошло достаточно времени с момента публикации списков, они ещё не потеряли своей актуальности, да и при выходе новых эта статья так же будет полезна. В статье не обсуждаются вопросы импортозамещения pfSense и схожие темы. Описано как настроить тем у кого всё работает, и кто не собирается прямо сейчас менять pfSense на другой файрвол. Подразумевается, что читатели обладают достаточным навыком работы с pfSense.
Фильтрация IP адресов
Читаем 15-й пункт бюллетеня: "Для защиты от DDoS-атак на средствах сетевой защиты информации ограничьте сетевой трафик с IP-адресов, приведенных в файле proxies.txt. Указанные в нем IP-адреса принадлежат прокси-серверам, используемым в DDoS-атаках.".
Обычный вариант - создаём алиас со списком адресов. Переходим на страницу Firewall / Aliases / URLs и жмём кнопку Add. Выбираем тип URL Table (IPs), называем как вам нравится, копируем https://safe-surf.ru/upload/ALRT/proxies.txt в поле адреса, и выбираем 1 в поле после косой черты (обновление раз в день).
Далее создаём блокирующее правило на нашем WAN интерфейсе:
Action: Block
Interface: WAN
Address Family: IPv4
Protocol: Any
Source: Single host or alias - вводим название нашего алиаса
Destination: лучше оставить Any, особенно если файрвол прикрывает хосты с публичными адресами
Log: можно включить на какое-то время, чтобы видеть в логах IP адреса DoSящих
Фильтрация IP адресов с помощью pfBlockerNG
Подробно про функционал этого пакета было расписано в трёх статьях - pfBlockerNG для домашней сети, Настройка pfBlockerNG на pfSense (часть 1), Настройка pfBlockerNG на pfSense (часть 2). Не будем повторять детальное описание настроек, и перейдём сразу на страницу Firewall / pfBlockerNG / IP / IPv4 и добавим новую группу кнопкой Add:
Name: NKCKI
Format: Auto
State: On
Header/Label: NKCKI
Action: Deny Inbound
Update Frequency: Once a day
Так как мы указали Deny Inbound в качестве Action, pfBlockerNG автоматически разместит запрещающее правило на нашем WAN интерфейсе. Точнее на всех интерфейсах что выделены в Inbound Firewall Rules на странице Firewall / pfBlockerNG / IP:
Настройка DNSBL списка в pfBlockerNG
Смотрим 15-й пункт бюллетеня: "Для защиты от DDoS-атак на средствах сетевой защиты информации ограничьте сетевой трафик, содержащий в поле Referer HTTP заголовка значения из файла referer_http_header.txt.".
Переходим на страницу Firewall / pfBlockerNG / DNSBL / DNSBL Groups и добавляем новую группу нажав на Add:
Name: NKCKI
Format: Auto
State: On
Source: https://safe-surf.ru/upload/ALRT/referer_http_header.txt
Header/Label: NKCKI
Action: Unbound
Update Frequency: Once a day
Нужно отметить, что в списке сайтов присутствует github.com, поэтому если вы не хотите его сами себе заблокировать, добавьте в белый список на странице Firewall / pfBlockerNG / DNSBL в поле DNSBL Whitelist.
Далее не забудьте запустить Update на странице Firewall / pfBlockerNG / Update чтобы изменения вступили в силу.
Дополнительно
Не лишним будет перейти на использование DNS серверов Национальной системы доменных имён (НСДИ) - 195.208.4.1 и 195.208.5.1 (настройка на странице System / General Setup).
Если есть подозрения (а у кого их сейчас нет), что с обновлением может приехать какой-нибудь сюрприз, то отключаем проверку на странице System / Update / Update Settings - галочка Dashboard check, и больше не заходим в Update и Package Manager меню.
