Bloqueando tráfico con pfblockerNG

Para hoy tenemos una entrada de un colaborador, Alex Casanova, administrador de Sistemas Windows, Linux y Sistemas virtualizados con VMware con más de 10 años de experiencia. Adicto a las nuevas tecnologías y las telecomunicaciones dedica gran parte de su tiempo a la investigacion de sistemas radio, OSINT y redes de comunicaciones. Actualmente está involucrado en el despliegue de una red digital de comunicaciones DMR para radioaficionados. Se le puede encontrar en su twitter @hflistener y en su blog Digimodes.

Anteriormente, de la mano de Juan Manuel Sanz, se ha hablado del Firewall pfsense (I, II, III, IV y V). Hoy vamos a ver un addon muy interesante que nos ayudará a mejorar la seguridad de nuestra red usando pfsense.

pfblockerNG

El addon pfblockerNG es la evolución del antiguo paquete pfblocker. Básicamente es un paquete capaz de descargar y gestionar listas de direcciones IP (IPv4 /6) desde múltiples fuentes y diferentes formatos.


pfblockerNG es capaz de gestionar estas listas de direcciones IP para crear de forma automática reglas en el firewall para permitir o denegar tráfico en los interfaces de nuestro Pfsense.

Ventajas del plugin pfblockerNG frente al tradicional pfblocker:

  • Actualización programada de la base de datos GEOIP con soporte IPv4/6.
  • Soporte de múltiples formatos para las listas de IP: txt, gz, zip, xlsx, html.
  • De-duplicación de direcciones IP basada en la herramienta Grepcidr que permite mejorar la eficiencia de las listas de direcciones IP.
  • Pestaña con información sobre las reglas de firewall creadas.
  • Posibilidad de visualizar en tiempo real de las denegaciones del firewall en base a las blocklists creadas.

Blocklist para pfblockerNG

La potencia de pfblockerNG reside en el uso de listas que nos permitirán bloquear rangos de direcciones IP de Spammers, botnets, malware, spyware y/o bloques de direcciones IP de países potencialmente peligrosos.

Algunos links a proyectos y/o empresas que mantienen listas que pueden sernos de utilidad para nuestro firewall pfsense:

  • EmergingThreats: Compañía fundada en 2003 dedicada a la investigación de ciberamenazas, se ha convertido en una referencia en la detección de malware. Desde su web proporciona listas tanto comerciales como open source para la protección frente a amenazas.
  • MalwareDomains: Se encargan de mantener un listado de dominios utilizados para propagar malware y spyware. Se pueden encontrar listas para BIND y otros servidores DNS.
  • iBlockLists: Distribuye un gran abanico de listas de direcciones IP comprometidas, Spammers, spyware, malware, etc. que pueden ser usadas multitud de aplicaciones.
  • Spamhaus: Mantiene un gran número de bases de datos (“DNSBLs”) y listas como SBL (Spamhaus Block List), Exploits Block List (XBL), Policy Block List (PBL) y Domain Block List (DBL) que ayudan a detectar y prevenir las amenazas.
  • AlienVault: Empresa dedicada a la seguridad que ofrece soluciones SIEM y servicios profesionales en el ámbito de la seguridad. Mantiene una lista con un gran número de direcciones.
  • OpenBL: También conocido como SSH Blacklist, se encarga de detectar, registrar y reportar distintos tipos de ataques de fuerza bruta.
  • Dshield.org: Fundado en el 2001, actualmente el ISC provee análisis y servicios de alerta temprana a miles de usuarios y organizaciones en Internet colaborando estrechamente con muchos ISP.

Algunos enlaces a listas negras:

Debemos tener en cuenta que la utilización de un gran número de listas negras, como las mostradas en este post, puede generar un aumento en el consumo de recursos de nuestro firewall pfsense, aspecto que debemos monitorizar.


(Imagen con listas de diferentes fuentes aplicadas a pfblockerNG)