Zum Hauptinhalt springen

Was können Sie als Äquivalent zu pfBlockerNG auf OPNsense verwenden?

Veröffentlicht am:
.
14 Minuten Lesezeit
.
Für die Englische Version

pfBlockerNG ist ein pfSense®-Softwarepaket, das von BBCan177 erstellt wurde und für IP/DNS-basiertes Filtern verwendet wird. Es basiert auf der früheren Arbeit von Marcello Coutinho und Tom Schaefer. Der Zweck des Projekts war es, die grundlegende Firewall-Funktionalität von pfSense zu erweitern, indem es den Benutzern ermöglicht wird, IP- und DNS-Kontrolllisten zu verwenden, um den ein- und ausgehenden Zugriff durch die Firewall zu regulieren und zu verwalten.

Da die meisten pfSense®-Softwareadministratoren ihre Netzwerksicherheit in die Hände von pfBlockerNG legen, ist dies die größte Hürde, die sie überwinden müssen, um eine Entscheidung über die Migration zur OPNsense-Firewall von der pfSense-Software zu treffen. Wenn sie einen Migrationsplan vorbereiten müssen, ist die erste und wichtigste Frage, wie sie ihre Netzwerke ohne das pfBlockerNG-Paket auf OPNsense vor Cyber-Bedrohungen schützen können. Die richtige Antwort zu finden, könnte für sie eine Herausforderung sein. Denn obwohl die meisten Benutzer zustimmen, dass OPNsense eine freundlichere und hilfsbereitere Community hat als die pfSense-Software, vermuten sie auch, dass OPNsense nicht über so reichhaltige Online-Ressourcen verfügt wie die pfSense®-Software.

Daher müssen pfSense®-Softwarebenutzer, die darüber nachdenken, die Welt der pfSense®-Software zu verlassen und Mitglied der OPNsense-Community zu werden, tief in die Foren eintauchen, um eine fundierte Entscheidung zu treffen. Tatsächlich werden sie, wenn sie OPNsense eine Chance geben, feststellen, dass es ihnen leistungsstärkere und sicherere Lösungen bietet, als sie erwartet haben.

Durch die Installation verschiedener offizieller oder Anbieter-Plugins, insbesondere Zenarmor (os-sensei), auf der OPNsense-Firewall können Benutzer nicht nur die Funktionen von pfBlockerNG nutzen, sondern auch ihr Netzwerk auf sicherere Weise schützen. Dies liegt daran, dass pfBlockerNG zwar eine DNS-basierte Filterlösung ist, OPNsense jedoch, unterstützt durch Zenarmor, Funktionen der nächsten Generation wie Deep Packet Inspection, Anwendungssteuerung, Webinhaltsfilterung, Cloud-Bedrohungsintelligenz, Netzwerkanalytik, Integration mit anderen Systemen, zentrale Verwaltung und benutzerbasierte Filterung bietet.

In diesem Artikel zeigen wir Ihnen, wie Sie sicher von der pfSense®-Software zu OPNsense migrieren können, ohne die Vorteile von pfBlockerNG zu verlieren. Am Ende dieses Artikels werden Sie sehen, dass OPNsense verschiedene Sicherheitsfunktionen als Alternative zum pfBlockerNG Paket bietet.


Get Started with Zenarmor Today For Free

Kann ich die von pfBlockerNG angebotene Funktionalität auf OPNsense finden?

Ja. Und es wird noch besser mit OPNsense. Sie haben mehrere Optionen dafür; alle ermöglichen es Ihnen, ein noch höheres Maß an Netzwerksicherheitsschutz zu genießen.

Durch die Konfiguration der folgenden offiziellen OPNsense- oder Anbieter-Plugins, insbesondere Zenarmor, können Sie nicht nur die Funktionen von pfBlockerNG nutzen, sondern auch die Sicherheit Ihres Netzwerks verbessern:

  1. Zenarmor (für alle pfBlockerNG-Funktionalitäten + vieles mehr)
  2. Firewall-Aliasnamen und Suricata IPS (zum GeoIP-Blockieren)
  3. Unbound DNS (zum Blockieren von DNS)
  4. Spamhaus (zum Filtern von Spam)
  5. Rspamd (zum Spam-Filter)

Zenarmor ist die beste Alternative zu pfBlockerNG. Durch die Installation und Konfiguration von Zenarmor auf unterstützten Plattformen wie OPNsense und pfSense CE können Benutzer eine sicherere Umgebung schaffen. Selbst die kostenlose Version der Zenarmor Next-Generation-Firewall bietet überlegene Sicherheit, und diejenigen, die von pfSense zu OPNsense migrieren, werden mehr als zufrieden sein.

Diese Diskrepanz ergibt sich aus der Tatsache, dass OPNsense, unterstützt von Zenarmor, Unternehmensniveau-Funktionen der nächsten Firewall-Generation wie Anwendungssteuerung, Webfilterung, Deep Packet Inspection, KI-basierte CTI, benutzerbasierte Filterung, erweiterte Berichterstattung, Netzwerk-Analytik und Integration mit vielen Sicherheitslösungen wie Authentifizierungsplattformen, SIEM und API bietet, unter anderem. Darüber hinaus wird es bald vollständige TLS-Inspektions- und Geräteidentifikationsfunktionen für kostenpflichtige Editionen bieten. Während pfBlockerNG lediglich DNS-basiertes Filtern durchführt.

Zenarmor ist darauf ausgelegt, all Ihre Erwartungen und Sicherheitsanforderungen zu erfüllen, und daher ist es nicht notwendig, zusätzliche Plugins zu installieren. Die Installation und Konfiguration von Zenarmor sind unkompliziert und einfach. Wenn Sie eine zusätzliche Sicherheitsebene hinzufügen möchten, können Sie in Betracht ziehen, andere Plugins zu installieren.

pfBlockerNG-FunktionVerfügbarkeit auf OPNsenseErklärung
IP-FilterungJaDas Zenarmor-Plugin bietet NGFW-Funktionen
GeoIP-BlockierungJaFirewall-Alias und IPS unterstützen MaxMind GeoIP
DNS-BlockierungJaZenarmor bietet DNS-basiertes Filtern und der Unbound DNS-Dienst bietet vordefinierte und benutzerdefinierte DNSBL
Eingehende/Ausgehende VerkehrsfilterungJaDie Paketfilterung von OPNsense und das Zenarmor-Plugin verfügen über die Fähigkeit zur eingehenden/ausgehenden Filterung
DoH/DoT-BlockierungJaDas Zenarmor-Plugin bietet eine DoH/DoT-Blockierungsoption
Spam-FilterungJaZenarmor hat eine IP-Reputation für die Spam-Filterung. OPNsense hat Spamhaus-Unterstützung und das rspamd-Plugin.
WhitelistJaSowohl der Unbound DNS-Dienst als auch das Zenarmor-Plugin bieten eine Whitelist-Funktion
SafeSearchJaDas Zenarmor-Plugin bietet die SafeSearch-Option
YouTube-EinschränkungenJaZenarmor bietet umfangreiche Anwendungssteuerungsoptionen für den YouTube-Dienst und die SafeSearch-Option für YouTube-Einschränkungen

Tabelle 1. Verfügbarkeit der pfBlockerNG-Funktionen auf OPNsense

In diesem Abschnitt werden wir eine tiefgehende Analyse durchführen und alle pfBlockerNG-Funktionen einzeln besprechen; und Ihnen zeigen, wie Sie diese in OPNsense implementieren.

IP-Blockierung

Selbst wenn die Firewall nicht mit offenen, internetzugänglichen Ports konfiguriert ist, können lokale Benutzer versehentlich Verbindungen zu bösartigen Servern initiieren, was ein erhebliches Sicherheitsrisiko für Ihr Netzwerk darstellt. Sie sollten den Zugriff auf bekannte Quellen von Ransomware, Malware, Botnets und Command & Control (C&C)-Servern einschränken, um die Wahrscheinlichkeit eines solchen Vorfalls zu verringern.

pfBlockerNG stellt regelmäßig aktualisierte Blocklisten über den gebündelten PRI1-Feed bereit. Sie können pfBlockerNG verwenden, um Firewall-Regeln basierend auf IPv4- und IPv6-Adressräumen zu erstellen. Infolgedessen können Sie sowohl den eingehenden als auch den ausgehenden Datenverkehr auf einer oder mehreren Schnittstellen verwalten.

Zenarmor, eines der besten OPNsense-Plugins, bietet Ihnen eine fortschrittlichere Sicherheitslösung als die IP-Filterung und DNS-basierte Filterfunktionen von pfBlockerNG. Es verfügt über Next-Generation-Firewall-Funktionen, die eine DNS-basierte Filterlösung niemals bieten kann. Zenarmor verfügt über eine leistungsstarke und leichtgewichtige Paketinspektions-Engine, die sowohl eingehenden als auch ausgehenden Datenverkehr auf einer oder mehreren Netzwerkschnittstellen scannen kann. Gemäß den vordefinierten oder benutzerdefinierten Sicherheitsrichtlinien erlaubt es, die Netzwerkpakete durchzulassen oder zu blockieren. Diese Entscheidung kann nicht nur auf der Grundlage der Quell-/Ziel-IP-Adresse, sondern auch anhand vieler Kriterien wie Protokoll, Port, Sitzungszeit, Anwendungsbereich, Anwendung, Benutzer-/Gruppenname usw. getroffen werden. Mit anderen Worten, Zenarmor entwickelt Ihre L4/Paketfilter-Firewall zu einer L7/Anwendungsschicht-Firewall weiter, was entscheidend ist, um Ihre wertvollen Vermögenswerte und Ihre Privatsphäre vor Cyberangriffen in der heutigen Welt zu schützen. Es kann eine Vielzahl von netzwerksicherheitsfunktionen auf Unternehmensniveau bereitstellen, wie z.B. Anwendungsfilterung und Webinhaltsfilterung.

Zenarmor ermöglicht es Administratoren, anpassbare Webfilter-Profile und Richtlinien basierend auf einer cloudbasierten Web-Kategorisierung von über 300 Millionen Websites in mehr als 60 Kategorien zu erstellen.

Zenarmor Cloud ist eine riesige Datenbank, die Millionen von Abfragen pro Tag verarbeitet und Reputations- und Sicherheitsinformationen für über 300 Millionen Websites enthält, wobei täglich neue hinzugefügt werden. Zenarmor kann dank Zenarmor Cloud in Echtzeit auf Malware-Bedrohungen und Virusausbrüche reagieren. Zenarmor bietet auch die folgenden Essential und Advanced Security Optionen an.

Grundlegende SicherheitErweiterte Sicherheit
Malware-Aktivität blockierenKürzliche Malware-/Phishing-/Virus-Ausbrüche blockieren
Phishing-Server blockierenProxy blockieren
Spam-Websites blockierenTote Websites blockieren
Hacking-Seiten blockierenDynamische DNS-Seiten blockieren
Blockierte geparkte DomainsBlockiere DNS-Tunneling
Potenziell gefährliche Seiten blockierenNeu registrierte Seiten blockieren
Blockiere zuerst gesehene SeitenBlockiere neu wiederhergestellte Seiten
Blockiere DNS über HTTPS (DoH)Blockiere Botnet C&C
Blockierte kompromittierte WebsitesBlockierte Botnet-DGA-Domains
Blockieren Sie Keylogger und Überwachung
Spyware und Adware blockieren

Tabelle 2. Wesentliche Sicherheits- und erweiterte Sicherheitsoptionen auf Zenarmor

Es ist klar, dass Zenarmor eine größere Bedrohungsdatenbank hat als pfBlockerNG. Das bedeutet, dass Zenarmor einen effektiveren Schutz gegen Cyberangriffe bietet als pfBlockerNG. Ein wesentlicher Vorteil von Zenarmor gegenüber pfBlockerNG ist, dass es aufgrund seiner leistungsstarken, aktuellen und effizienten KI-basierten Datenbank eine niedrigere Rate an Fehlalarmen aufweist.

GeoIP-Blockierung

Die GeoIP-Funktion von pfBlockerNG kann nützlich sein, um den Zugriff auf bestimmte Regionen einzuschränken. Dies wird nicht in allen Situationen anwendbar sein, da nicht alle Regionen bösartig sind. Den Verkehr aus anderen Regionen zuzulassen, ist hingegen sinnlos, wenn der gesamte erwartete Verkehr aus einer bestimmten geografischen Region kommt, da dies Sie zusätzlichem Risiko aussetzt, ohne echten Nutzen zu bringen. In den meisten Fällen ist das Blockieren des eingehenden Zugriffs basierend auf GeoIP-Daten alles, was erforderlich ist. Dies ermöglicht es Ihren lokalen Benutzern, auf jede Website der Welt zuzugreifen, während der eingehende Verkehr aus Regionen blockiert wird, in denen Sie ihn nicht erwarten.

Die OPNsense-Firewall verfügt ebenfalls über eine GeoIP-Blockierungsfunktion. Sie können die GeoIP-Beschränkungen mithilfe von Aliassen definieren. Nachdem Sie einen GeoIP-Typ-Alias hinzugefügt haben, können Sie eine Firewall-Regel definieren, um den eingehenden Verkehr aus bestimmten Ländern oder Kontinenten auf der OPNsense-Firewall zu blockieren.

Um GeoIP-Blocking zu erreichen, verwenden sowohl OPNsense als auch pfBlockerNG die MaxMind GeoIP-Datenbank, die einen Lizenzschlüssel erfordert. Dieser Lizenzschlüssel ist völlig kostenlos. Ein Link zur MaxMind-Registrierungsseite ist in der Beschreibung des MaxMind-Lizenzschlüsselfeldes enthalten. MaxMind, ein Branchenführer in der Genauigkeit der IP-Geolokalisierung, stellt die Listen bereit und pflegt sie.

Als eine weitere Option auf OPNsense ermöglicht es Ihnen, ein IPS-System einzurichten, um IP-Adressen basierend auf ihrem geografischen Standort zu blockieren. Sie können benutzerdefinierte IPS-Regeln hinzufügen und den IPS-Modus auf der WAN-Schnittstelle für GeoIP-Blockierung aktivieren.

warnung

Denken Sie daran, dass GeoIP-Blocking keine perfekte Verteidigung ist, die Ihnen eine ruhige Nacht ermöglicht, da Angreifer fortschrittlichere Techniken verwenden, um Sicherheitsprodukte zu umgehen, wie zum Beispiel die Verwendung gefälschter IP-Adressen, das schnelle und kontinuierliche Ändern von IP-Adressen und die Nutzung vieler verschiedener IP-Adressen auf der ganzen Welt. Websites hosten Inhalte und Medien auf Servern auf der ganzen Welt, also beschränke dich nicht zu sehr. Das versehentliche Blockieren einiger dieser IP-Adressen kann zu defekten Websites oder nicht verfügbaren Downloads führen.

Wie man GeoIP-Blocking auf der OPNsense-Firewall aktiviert Wie man GeoIP-Blocking auf der OPNsense-Firewall aktiviert

Um die GeoIP-Blockierung auf der OPNsense-Firewall zu aktivieren, können Sie die folgenden Schritte befolgen:

  1. Füllen Sie das Registrierungsformular auf der MaxMind-Anmeldeseite aus, um Ihren Lizenzschlüssel zu erhalten. Wenn Sie gefragt werden, ob Sie "geoipupdate" verwenden, wählen Sie nein bei der Generierung des Lizenzschlüssels.

  2. Gehen Sie im OPNsense Firewall Web-UI zu FirewallAliasesGeoIP-Einstellungen.

    Abbildung 1. GeoIP-Einstellungen auf der OPNsense-Firewall

  3. Geben Sie die folgende Adresse in das URL-Feld ein und ersetzen Sie den [My_License_key](https://download.maxmind.com/app/geoip_download?edition_id=GeoLite2-Country-CSV&license_key=My_License_key&suffix=zip)-Teil durch Ihren eigenen MaxMind-Lizenzschlüssel.

  4. Klicken Sie auf Anwenden.

  5. Klicken Sie auf die Registerkarte Aliases, um ein Alias für die GeoIP-Sperrung zu erstellen.

  6. Klicken Sie auf das +-Symbol in der unteren rechten Ecke der Seite.

  7. Geben Sie einen Namen für das Alias ein.

  8. Wählen Sie GeoIP für den Typ.

  9. Wählen Sie die Region und die Länder nach Belieben aus, wie zum Beispiel China und Nordkorea in der Region Asien.

  10. Sie können die Statistik-Option aktivieren.

  11. Geben Sie einen beschreibenden Namen für das Alias ein, wie zum Beispiel China_Nordkorea.

    Abbildung 2. Hinzufügen eines GeoIP-Typ-Alias auf der OPNsense-Firewall

  12. Klicken Sie auf Speichern.

  13. Navigieren Sie zu FirewallRegelnWAN.

  14. Klicken Sie auf das +-Symbol, um eine Firewall-Regel zu erstellen.

  15. Wählen Sie Blockieren, um GeoIP-Verbindungen zu verweigern.

  16. Setzen Sie die Richtung auf in, um eingehenden Verkehr von GeoIP-Standorten zu blockieren.

  17. Wählen Sie den neu erstellten GeoIP-Alias, wie zum Beispiel China_North_Korea, für die Quelle aus.

    Abbildung 3. Erstellen einer Firewall-Regel zum Blockieren des eingehenden Verkehrs von GeoIP-Standorten-1

  18. Stellen Sie das Ziel auf WAN-Adresse ein.

  19. Sie können das Protokollieren aktivieren.

  20. Sie können einen Namen für die Kategorie festlegen, wie zum Beispiel GeoIP-Regeln.

  21. Setzen Sie eine Beschreibung für die Regel wie „China- und Nordkorea-IP-Adressen nicht erlaubt“.

    Abbildung 4. Erstellen einer Firewall-Regel zum Blockieren eingehenden Verkehrs aus GeoIP-Standorten-2

  22. Klicken Sie auf Speichern.

  23. Klicken Sie auf das +-Symbol, um eine Firewall-Regel für ausgehenden Datenverkehr zu erstellen.

  24. Wählen Sie Blockieren, um GeoIP-Verbindungen zu verweigern.

  25. Setze Richtung auf in.

  26. Wählen Sie WAN-Adresse für die Quelle.

    Abbildung 5. Erstellen einer Firewall-Regel zum Blockieren des ausgehenden Datenverkehrs von GeoIP-Standorten-1

  27. Setzen Sie das Ziel auf den neu erstellten GeoIP-Alias, wie zum Beispiel China_North_Korea.

  28. Sie können das Protokollieren aktivieren.

  29. Sie können einen Namen für die Kategorie festlegen, wie zum Beispiel GeoIP-Regeln.

  30. Setzen Sie eine Beschreibung für die Regel wie China und Nordkorea Ausreise nicht erlaubt.

Abbildung 6. Erstellen einer Firewall-Regel zum Blockieren des ausgehenden Datenverkehrs von GeoIP-Standorten-2

  1. Klicken Sie auf Speichern.

  2. Sie müssen möglicherweise Ihre Regeln neu anordnen, damit sie richtig funktionieren.

  3. Klicken Sie auf Anwenden, um die Regeln zu aktivieren.

    Abbildung 7. GeoIP-Firewall-Regeln

DNS-Blockierung

pfBlockerNG kann den Zugriff auf den DNS-Resolver einschränken, um den Zugriff auf bösartige Websites wie Werbung, Bedrohungen und Malware zu verhindern. Die Domainblockierung ist ein leistungsstarkes Werkzeug zum Filtern von Tracking-Domains, bösartigen Domains und Werbung. Während Sie im Internet surfen, werden Ihre DNS-Anfragen mit einer Sperrliste abgeglichen. Wenn es eine Übereinstimmung gibt, wird die Anfrage abgelehnt. Es ist eine großartige Möglichkeit, Werbung zu blockieren, ohne einen Proxy-Server verwenden zu müssen.

Domainnamen, die aus verschiedenen Blacklist-Quellen gesammelt oder manuell eingegeben wurden, werden verwendet, um optimierte DNS-Resolver-Blocklisten zu erstellen. Sie können beliebten, von Nutzern gepflegten Blocklisten abonnieren oder vorgefertigte 'EasyLists' verwenden.

info

Die EasyList-Filterlisten sind Regelsets, die ursprünglich für Adblock entwickelt wurden, um unerwünschte Inhalte aus dem Internet automatisch zu entfernen, wie lästige Werbung, störende Banner und unangenehmes Tracking. Viele Adblocker verwenden es als Grundlage für über ein Dutzend Kombinationen und ergänzende Filterlisten.

Ähnlich bietet OPNsense eine DNS-Blockierungsfunktion mit Hilfe seines Unbound DNS-Dienstes an. Unbound DNS ist ein validierender, zwischenspeichernder, rekursiver DNS-Resolver, der standardmäßig in OPNsense aktiviert ist. Es verfügt über eine integrierte DNS-Blacklist-Funktion. Dieser Dienst fängt DNS-Abfragen in Ihrem Netzwerk ab und führt viele Aufgaben aus, wie das Weiterleiten über VPN, Blacklist/Whitelist usw. Es schützt Ihr Netzwerk vor Malware, Werbung, Tracking, Phishing und anderen Bedrohungen auf der DNS-Ebene. Sie können vordefinierte externe DNSBL-Ressourcen verwenden oder benutzerdefinierte Blacklists nutzen, indem Sie den http[s]-Standort angeben, von dem die Blacklists heruntergeladen werden sollen. Sie finden viele Listen auf filterlists.com. UNbound DNS hat auch eine Whitelist-Option. Wenn ein Blacklist-Element mit einem Muster in den Whitelist-Domains übereinstimmt, wird es aus den Ergebnissen entfernt. Die DNSBL-Konfigurationsoptionen in Unbound DNS sind unten aufgeführt:

OptionBeschreibung
Typ von DNSBLVordefinierte externe Quellen
Blacklists-URLZusätzlicher http[s]-Standort zum Herunterladen von Blacklists. Nur einfache Textdateien, die eine Liste von FQDNs (z.B. my.evil.domain.com) enthalten, werden unterstützt.
Whitelist-DomainsWenn ein Element auf der Blacklist mit einem Muster in den Whitelist-Domains übereinstimmt, wird es aus den Ergebnissen entfernt. z.B. .*.tr würde alle .tr-Domains ausschließen
Private DomainsListe der Domains, die als privat markiert werden sollen. Sie benötigen dies nur für einige DNSBL-Listen, die auf private Adressen auflösen.
Unsichere DomainsListe der Domains, die als unsicher markiert werden sollen.

Tabelle 3. DNSBL-Konfigurationsoptionen auf Unbound DNS

Vordefinierte DNSBL-Quellen auf Unbound DNS sind unten aufgeführt.

DNSBL-NameURL
AdAwayhttps://adaway.org
AdGuard-Listehttps://justdomains.github.io/blocklists/#the-lists
Blocklist.sitehttps://github.com/blocklistproject/Lists
EasyListhttps://justdomains.github.io/blocklists/#the-lists
Easyprivacyhttps://justdomains.github.io/blocklists/#the-lists
NoCoin-Listehttps://justdomains.github.io/blocklists/#the-lists
PornTop1M Listehttps://github.com/chadmayfield/my-pihole-blocklists
Einfache Werbelistehttps://s3.amazonaws.com/lists.disconnect.me/simple_ad.txt
Einfache Tracker-Listehttps://s3.amazonaws.com/lists.disconnect.me/simple_tracking.txt
StevenBlack/hostshttps://raw.githubusercontent.com/StevenBlack/hosts/master/hosts
WindowsSpyBlockerhttps://github.com/crazy-max/WindowsSpyBlocker
YoYo-Listehttps://pgl.yoyo.org/adservers/

Tabelle 4. Vordefinierte DNSBL-Quellen auf Unbound DNS

So aktivieren Sie DNS-basiertes Filtern auf OPNsense

Um die DNS-Blockierung auf Ihrer OPNsense-Firewall zu aktivieren, können Sie die folgenden Schritte ausführen:

  1. Navigieren Sie zu DiensteUnbound DNSBlockliste.

  2. Aktivieren Sie die Verwendung von DNS-Blocklisten, indem Sie das Kontrollkästchen anklicken.

  3. Wählen Sie die Listen nach Belieben aus der Option Typ von DNSBL aus.

    Abbildung 8. Auswahl vordefinierter DNS-Blocklisten auf der OPNsense-Firewall

  4. Möglicherweise müssen Sie eine Whitelist für einige Domains hinzufügen, zum Beispiel wird *.tr alle .tr-Domains ausschließen.

  5. Klicken Sie auf Übernehmen, um die DNSBL auf Ihrer OPNsense-Firewall zu aktivieren.

    Abbildung 9. Anwendung von DNSBL auf OPNsense

Eingehende Verkehrsfilterung

Standardmäßig blockieren sowohl die pfSense-Software als auch die OPNsense-Firewall den gesamten eingehenden Datenverkehr. Infolgedessen, sofern Ihre Firewall keine offenen Ports hat, ist es nicht notwendig, eine Regel für den eingehenden Datenverkehr zum zusätzlichen Schutz anzuwenden. Allerdings können gelegentlich mehrere Ports geöffnet sein, wodurch ein VPN-Endpunkt und mehrere selbst gehostete Dienste exponiert werden. Wenn dies der Fall ist, ist es am besten, eine Sicherheitslösung zur Filterung des eingehenden Datenverkehrs zu verwenden.

pfBlockerNG verfügt über eine benutzerdefinierte IP-Liste und GeoIP-Beschränkungsfunktionen, um den eingehenden Zugriff zu begrenzen.

Ebenso bietet die OPNsense-Firewall eine benutzerdefinierte IP-Liste und GeoIP-Beschränkungen mithilfe von Aliassen an. Sie können eine Firewall-Regel definieren, um eingehenden Verkehr aus bestimmten Ländern oder Kontinenten zu blockieren.

Auf OPNsense ermöglicht das Zenarmor-Plugin die Anwendung von Sicherheitsregeln, Webinhaltsfilterung und Anwendungssteuerung auf eingehenden Datenverkehr, der von extern schädlichen IPs initiiert werden könnte.

Filterung des ausgehenden Datenverkehrs

Outbound-Blocking ist in pfBlockerNG verfügbar, um zu verhindern, dass Benutzer versehentlich bösartige Websites besuchen. In Kombination mit Protokollierung ist dies eine effektive Methode zur Identifizierung potenziell kompromittierter Geräte.

Um kompromittierte Clients daran zu hindern, auf bösartige Websites auf OPNsense zuzugreifen, bietet Zenarmor eine leistungsstarke und leichtgewichtige Sicherheitslösung. Sie können Sicherheitsregeln, Webfilterung und Anwendungskontrollrichtlinien in Ihrem Netzwerk für ausgehenden Datenverkehr ganz einfach definieren.

Blockierung von DNS über HTTPS/TLS

Sie können pfBlockerNG verwenden, um DNS über HTTPS/TLS-Pakete in Ihrem Netzwerk zu blockieren. Es enthält eine umfangreiche Liste bekannter öffentlicher DNS-Server, die DNS über HTTPS unterstützen. Da DNS über HTTPS ein erhebliches Datenschutz- und Sicherheitsrisiko darstellt, sollten Sie die DoH/DoT (DNS über HTTPS/DNS über TLS) Funktion auf Ihrem pfBlockerNG aktivieren. Andernfalls könnten einige Benutzer Ihres Netzwerks die Werbeblockierung von pfBlockerNG und den DNS-Server von pfSense umgehen.

Auf Ihrer OPNsense-Firewall können Sie DoH/DoT (DNS über HTTPS/DNS über TLS) blockieren, indem Sie die DNS-over-HTTPS-Anwendungskontrolle im Zenarmor-Plugin aktivieren, um die Datenschutz- und Sicherheitsrisiken leicht zu verringern. Zenarmor bietet eine umfangreiche Anwendungsdatenbank, die regelmäßig aktualisiert wird.

Abbildung 10. Blockieren von DNS über HTTPS auf der Zenarmor-Firewall

Spam-Filterung

Wenn Ihr Netzwerk einen Mailserver hat, bieten sowohl pfBlockerNG in der pfSense-Software als auch die OPNsense-Firewall hervorragende Mail-Sicherheitslösungen für Spam-Filterung. Das Zenarmor Next-Generation-Firewall-Plugin bietet selbst für kostenlose Benutzer einen wesentlichen Sicherheitschutz.

Zenarmor® bietet KI-gesteuerte Bedrohungserkennung, die Ihr Netzwerk vor über 300 Millionen Websites und Domains schützt. Dieses außergewöhnliche Merkmal ist in allen Zenarmor-Abonnements enthalten, von der Free Edition bis zur Business Edition, und bietet eine anspruchsvolle Schutzlösung. Durch die Kombination von Zenarmor CTI DB und BrightCloud Threat Intelligence bietet die starke Sicherheitsarchitektur von Zenarmor eine hochmoderne Möglichkeit, sich gegen neue Bedrohungen zu schützen.

Zenarmor CTI DB bewertet Zenarmor Cloud-Anfragen und -Abfragen in Echtzeit, um zu entscheiden, ob der Zugriff erlaubt oder verweigert wird. In Millisekunden bewertet es mehr als 300 Millionen Websites in über 120 Kategorien.

BrightCloud Threat Intelligence erkennt Bedrohungen über 4,39 Milliarden aktive IPv4- und IPv6-Adressen hinweg, dank seiner umfangreichen Reichweite. Es analysiert Erkenntnisse von über einer Milliarde Domains, um automatisch richtlinienbasierte Entscheidungen zu treffen. Es schützt vor bösartigen und auf der Whitelist stehenden Datei-Verhaltensweisen durch Echtzeitsuchen in mehr als 48 Milliarden Datensätzen. Es erweitert dieses Repository täglich durch die Untersuchung von etwa 25.000 Bedrohungen und URLs. Darüber hinaus hemmt es aktiv Zero-Day- und polymorphe Malware.

Zusätzlich zu Zenarmor können Sie durch die Einbindung einer Spam-Blacklist, wie 'Spamhaus', in Ihre OPNsense-Firewall verhindern, dass Spam Ihren Server erreicht.

Die Spamhaus DROP (Don't Route Or Peer) Listen sind beratende „alle Verkehr blockieren“ Listen, die aus IP-Blöcken bestehen, die von professionellen Spam- oder Cybercrime-Operationen besessen oder übernommen wurden (verwendet zum Verbreiten von Trojaner-Downloadern, Malware, Botnet-Controllern). Die DROP-Listen sind eine Untergruppe der SBL, die Firewalls und Routing-Geräte verwenden können, um schädlichen Verkehr aus bestimmten Netblocks herauszufiltern.

Die Spamhaus-DROP-Listen, wenn sie an einer Netzwerkroute implementiert werden, helfen, Kunden vor Spam, Harvesting, Scanning, DNS-Hijacking und DDoS-Angriffen zu schützen, die von bösartigen Netzwerkblöcken ausgehen.

Um den Spamhaus-Schutz auf OPNsense zu aktivieren, können Sie Aliase für die Spamhaus DROP- und EDROP-Listen definieren und dann Firewall-Regeln zum Blockieren sowohl eingehender als auch ausgehender Verbindungen für die DROP- und EDROP-Listen auf den entsprechenden Schnittstellen festlegen.

OPNsense bietet das rspamd-Plugin zum Schutz vor Spam an. Rspamd ist ein fortschrittliches Spam-Filter-System, das Kommunikationsinhalte mithilfe einer Vielzahl von Regeln bewertet, wie statistische Analysen, reguläre Ausdrücke und spezialisierte Dienste wie URL-Sperrlisten. Es untersucht jede Nachricht und weist einen Spam-Score zu.

Rspamd schlägt eine Aktion für den MTA vor, die mit der Nachricht basierend auf dem Spam-Score und den Benutzereinstellungen durchgeführt werden soll, wie z.B. Weiterleiten, Ablehnen oder Hinzufügen eines Headers. Es kann Hunderte von Nachrichten pro Sekunde verarbeiten und verfügt über viele nützliche Funktionen.

So konfigurieren Sie Spamhaus auf der OPNsense-Firewall

Um Spamhaus auf Ihrer OPNsense-Firewall zu konfigurieren, können Sie die folgenden Schritte ausführen.

  1. Navigieren Sie zu FirewallAliases.

  2. Klicken Sie auf das +-Symbol in der unteren rechten Ecke der Seite.

  3. Geben Sie name für das Alias ein, wie zum Beispiel spamhaus_drop

  4. Geben Sie einen beschreibenden Namen in das Feld Beschreibung ein, wie zum Beispiel Spamhaus DROP.

  5. Wählen Sie URL-Tabelle (IPs) als Typ aus.

  6. Setzen Sie Content auf [https://www.spamhaus.org/drop/drop.txt](https://www.spamhaus.org/drop/drop.txt).

  7. Stellen Sie die Aktualisierungsfrequenz auf 1 Tag ein.

    Abbildung 11. Erstellen eines Alias für Spamhaus Drop auf OPNsense

  8. Klicken Sie auf Speichern.

  9. Klicken Sie auf das +-Symbol in der unteren rechten Ecke der Seite.

  10. Geben Sie einen Namen für das Alias ein, wie zum Beispiel spamhaus_edrop

  11. Geben Sie einen beschreibenden Namen in das Beschreibungsfeld ein, wie zum Beispiel Spamhaus EDROP.

  12. Wählen Sie URL-Tabelle (IPs) als Typ.

  13. Setzen Sie den Inhalt auf [https://www.spamhaus.org/drop/edrop.txt](https://www.spamhaus.org/drop/drop.txt).

  14. Stellen Sie die Aktualisierungsfrequenz auf 1 Tag ein.

    Abbildung 12. Erstellen eines Alias für Spamhaus EDrop auf OPNsense

  15. Klicken Sie auf Speichern

  16. Klicken Sie auf Übernehmen, um die Alias-Einstellungen zu aktivieren.

    Abbildung 13. Aliasnamen für Spamhaus auf OPNsense

  17. Navigieren Sie zu FirewallRegelnWAN.

  18. Klicken Sie auf das +-Symbol, um eine Firewall-Regel zu erstellen.

  19. Wählen Sie Blockieren, um eingehende Verbindungen zu verweigern.

  20. Setzen Sie die Richtung auf in, um eingehenden Verkehr von der Spamhaus-Drop-Liste zu blockieren.

  21. Wählen Sie den neu erstellten Spamhaus-Drop-Alias, wie z.B. spamhaus_drop, für die Quelle aus.

    Abbildung 14. Erstellen einer Firewall-Regel zum Blockieren von Spamhaus Sperrliste-1

  22. Sie können das Protokollieren aktivieren.

  23. Sie können der Kategorie einen Namen wie „Spamhaus-Regeln“ geben.

  24. Geben Sie eine Beschreibung für die Regel ein, wie zum Beispiel Block Spamhaus DROP.

  25. Sie können die anderen Einstellungen als Standard belassen.

    Abbildung 15. Erstellen einer Firewall-Regel zum Blockieren von Spamhaus Sperrliste-2

  26. Klicken Sie auf Speichern.

  27. Wiederholen Sie die Schritte 18-26 für spamhaus_edrop-Aliase.

    Abbildung 16. Erstellen einer Firewall-Regel zum Blockieren der Spamhaus EDROP-Liste

    Abbildung 17. Firewall-Regelliste zum Blockieren von Spamhaus (E)DROP-Listen für eingehenden Datenverkehr

  28. Klicken Sie auf Änderungen anwenden, um die Firewall-Regeln zu aktivieren.

  29. Navigieren Sie zu FirewallRegelnLAN.

  30. Klicken Sie auf das +-Symbol, um eine Firewall-Regel zu erstellen.

  31. Wählen Sie Blockieren, um ausgehende Verbindungen zu verweigern.

  32. Setzen Sie die Richtung auf in, um ausgehenden Verkehr für die Spamhaus-DROP-Liste zu blockieren.

  33. Wählen Sie den neu erstellten Spamhaus-Drop-Alias, wie z.B. spamhaus_drop, für das Ziel aus.

    Abbildung 18. Erstellen einer Firewall-Regel zum Blockieren von Spamhaus Sperrliste auf LAN-Schnittstelle-1

  34. Sie können das Protokollieren aktivieren.

  35. Sie können einen Namen für die Kategorie festlegen, wie zum Beispiel „Spamhaus-Regeln“.

  36. Setzen Sie eine Beschreibung für die Regel wie Block Spamhaus DROP.

  37. Sie können die anderen Einstellungen auf den Standardwerten belassen.

    Abbildung 19. Erstellen einer Firewall-Regel zum Blockieren von Spamhaus Sperrliste auf LAN-Schnittstelle-2

  38. Klicken Sie auf Speichern.

  39. Wiederholen Sie die Schritte 30-38 für spamhaus_edrop-Aliases.

    Abbildung 20. Erstellen einer Firewall-Regel zum Blockieren der Spamhaus EDROP-Liste auf der LAN-Schnittstelle

    className="ideal-image" alt="Firewall-Regelliste zum Blockieren von Spamhaus (E)DROP-Listen bei eingehendem Verkehr" />

    Abbildung 21. Firewall-Regelliste zum Blockieren von Spamhaus (E)DROP-Listen bei eingehendem Datenverkehr

  40. Klicken Sie auf Änderungen anwenden, um die Firewall-Regeln zu aktivieren.

Whitelists

Alle Sicherheitsanwendungen in der Cybersicherheitsbranche verursachen Fehlalarme, so auch pfBlockerNG. Außerdem, wenn Sie eine Webkategorie oder eine Anwendungs-Kategorie in Ihrem Unternehmensnetzwerk blockieren müssen, sollten einige oder alle Benutzer vorübergehend oder dauerhaft auf einige der Websites/Anwendungen in der gesperrten Kategorie zugreifen können. Um solche Umstände zu lösen, können Sie die Whitelist-Funktion Ihres Sicherheitssystems nutzen. Der Trick hierbei ist, außergewöhnliche Websites/Anwendungen einfach und schnell zur Whitelist hinzuzufügen. Je einfacher und schneller die Whitelistung, desto besser das Sicherheitssystem.

pfBlockerNG bietet den pfSense-Softwarebenutzern einen einfachen Whitelisting-Mechanismus. Wenn Sie nicht möchten, dass eine Domain blockiert wird, können Sie sie einfach zur Whitelist in pfBlockerNG hinzufügen.

Wenn Sie planen, Zenarmor auf OPNsense als Ersatz für pfBlockerNG auf pfSense Software zu verwenden, können Sie die großartige Whitelisting-Funktion von Zenarmor ohne jegliche Bedenken nutzen. Sie können Ihre benutzerdefinierte Whitelist definieren und eine Domain mit nur einem Klick ganz einfach und schnell zur Whitelist hinzufügen.

Der UNbound DNS-Dienst von OPNsense hat ebenfalls eine Whitelist-Option. Wenn ein Element auf der Blacklist mit einem Muster in den Whitelist-Domains übereinstimmt, wird es aus den Ergebnissen entfernt.

SafeSearch

SafeSearch kann so eingerichtet werden, dass es mit den beliebtesten Suchmaschinen funktioniert. Sie können auch Firefox verwenden, um YouTube einzuschränken und DNS über HTTPS zu blockieren.

pfBlockerNG enthält eine 'SafeSearch'-Funktion, die Suchseiten zwingt, "Safe Search"-Algorithmen zu verwenden. SafeSearch wird derzeit von Google, Yandex, DuckDuckGo, Bing und Pixabay unterstützt.

Wenn Sie planen, Zenarmor auf OPNsense als Ersatz für pfBlockerNG auf pfSense-Software zu verwenden, können Sie die Safe Search-Funktion von Zenarmor nutzen. Zenarmor ermöglicht es Ihnen, die Durchsetzung von Safe Search pro Richtlinie zu aktivieren für alle Netzwerkbenutzer. Diese Funktion ist ideal für Schulnetzwerke, in denen Safe Search standardmäßig für Schüler aktiviert ist, aber nicht für Lehrer und anderes Personal. Diese Funktion ermöglicht es IT-Abteilungen, Safe Search global und effizient im gesamten Netzwerk zu steuern.

Youtube-Beschränkungen

pfBlockerNG ermöglicht es Ihnen, die von Google auf Ihrem Netzwerk definierten „YouTube-Einschränkungen“ zu verwenden. Der eingeschränkte Modus von YouTube filtert potenziell reife Videos heraus, während eine große Anzahl von Videos weiterhin verfügbar bleibt. Sie können die folgenden Einstellungen für YouTube-Einschränkungen auf Ihrem pfBlockerNG verwenden:

  • Streng: Diese Einstellung ist die restriktivste. Der Strenge Modus blockiert nicht alle Videos, sondern fungiert als Filter, um viele Videos basierend auf einem automatisierten System herauszufiltern, während einige Videos weiterhin zum Ansehen verfügbar bleiben.

  • Moderat: Diese Einstellung ist ähnlich wie der Strenge Modus, stellt jedoch eine viel größere Sammlung von Videos zur Verfügung.

Obwohl es kein OPNsense-Plugin gibt, das die Funktion „Youtube-Einschränkungen“ unterstützt, verfügt das Zenarmor-Next-Generation-Firewall-Plugin über eine starke und flexible Anwendungssteuerungsfunktion, die es Ihnen ermöglicht, Ihren Kunden den Zugriff auf Youtube-Videos und die Nutzung von Youtube-Anwendungen zu verwehren. Sie können die folgenden Aufgaben in Ihrem Netzwerk erledigen, indem Sie die Anwendungssteuerung auf Ihrem Zenarmor anpassen:

  • Alle Youtube-Videos blockieren/erlauben
  • Blockieren/Erlauben von Youtube Kids
  • Blockieren/Erlauben von Youtube TV
  • Blockieren/Erlauben von Youtube-Kommentaren
  • Blockieren/Erlauben von Youtube-Uploads
  • Blockieren/Erlauben des Teilens von YouTube-Videos
  • Blockieren/Erlauben des Hochladens von YouTube-Videos

Darüber hinaus bietet die Zenarmor Safe Search-Funktion Youtube-Einschränkungen, um Kinder vor schädlichen Inhalten auf Youtube zu schützen.

Abbildung 22. Einschränkung von Youtube auf Zenarmor

Vergleich von pfBlockerNG und Zenarmor

pfBlockerNG ist ein kostenloses und Open-Source-Paket, das von BBcan177 für pfSense entwickelt wurde. Es bietet Funktionen zum Blockieren von Werbung, zum Blockieren von schädlichen Inhalten, zur IP-Filterung und zur Geo-Blockierung.

Zenarmor ist eine rein softwarebasierte Instant-Firewall, die praktisch überall installiert werden kann. Zenarmor bietet hochmoderne, next-generation Firewall-Funktionen für Open-Source-Firewalls, die derzeit in Produkten wie OPNsense und pfSense®-Software nicht verfügbar sind. pfSense® wird seit März 2021 in Zenarmor Release 1.8 unterstützt. Das FreeBSD-Betriebssystem dient als Grundlage für pfSense. In diesem Zusammenhang kann das Zenarmor FreeBSD 12-Paket für die pfSense®-Software 2.5.x-Reihe installiert werden. Wenn Sie eine Open-Source-Firewall verwenden möchten und Funktionen wie Anwendungssteuerung, Netzwerk-Analytik und TLS-Inspektion benötigen, bietet Zenarmor diese und mehr.

In den vorhergehenden Kapiteln wurden pfBlockerNG und Zenarmor in bestimmten Aspekten verglichen. In diesem Abschnitt werden wir sie auf eine Weise vergleichen, die in den vorherigen Abschnitten nicht behandelt wurde.

Stabilität und Zuverlässigkeit

pfBlockerNG, ein pfSense®-Softwarepaket, wird seit 2014 in der pfSense®-Softwaregemeinschaft weit verbreitet genutzt. Es wird veröffentlicht, nachdem es gründlich von seinem Entwickler BBcan177 getestet wurde. Außerdem gibt es viele eingesetzte pfBlockerNG-Systeme sowohl in Heimnetzwerken als auch in Netzwerken kleiner Unternehmen und sogar in einigen Unternehmensnetzwerken. Wir können mit Zuversicht sagen, dass pfBlockerNG eine stabile und zuverlässige Sicherheitssoftware ist, die Sie ohne Zweifel in Ihrer Produktionsumgebung verwenden können.

Zenarmor ist eine sehr weit verbreitete Web-Inhaltsfilter-/Anwendungssteuerungssoftware in der OPNsense-Community und ein äußerst nützliches OPNsense-Plugin. Wie pfBlockerNG wird es nach gründlichen Tests durch das Team von Sunny Valley Networks veröffentlicht. Seit 2017 gab es Tausende von Zenarmor-Installationen in Haushalten, kleinen Unternehmen und einigen Unternehmensnetzwerken auf der ganzen Welt. Es ist offensichtlich, dass Zenarmor ein stabiles und zuverlässiges System bietet, das auch in Produktionsnetzwerken mit Vertrauen eingesetzt werden kann.

Tragbarkeit

pfBlockerNG ist eine Software, die als pfSense®-Softwarepaket entwickelt wurde. Wenn Sie pfBlockerNG verwenden und davon profitieren möchten, müssen Sie eine pfSense®-Software-Firewall in Ihrer Netzwerk-Infrastruktur installiert haben.

Sunny Valley Networks Cybersecurity Inc., das Unternehmen hinter Zenarmor, zielt darauf ab, ihre Software in jeder Netzwerkumgebung ausführen zu können; sei es in einem Container, in der Cloud, in einer virtuellen oder Bare-Metal-Umgebung (Firewalls, Switches, UTMs), die Layer 3-4-Verkehr verarbeitet. Seit März 2021 gehören OPNsense®/pfSense®-Firewalls, Centos, AlmaLinux, Debian, Ubuntu und FreeBSD zu den unterstützten Plattformen. In Bezug auf die Portabilität liegt Zenarmor vor pfBlockerNG.

Lizenzierung und Kosten

pfBlockerNG ist Open-Source-Software und kostenlos. Sie können pfBlockerNG auf Ihrer pfSense®-Software installieren und verwenden, um Ihre Kunden kostenlos und für immer abzusichern.

Andererseits hat Zenarmor die folgenden drei Komponenten mit den unterschiedlichen Lizenzen:

  • PHP-Code und Python-Skripte, die die Funktionalität der OPNsense-Webbenutzeroberfläche bereitstellen, sind Open Source.
  • Die in C++ codierte Packet Engine ist Closed Source.
  • Die Cloud-Management-Portal-Software ist ebenfalls Closed Source.

Obwohl der Zenarmor-Kernmotor ein geschlossenes Projekt ist, bietet Zenarmor eine Kostenlose Edition mit eingeschränkten Funktionen an, und Sie können Zenarmor ohne Bezahlung installieren. Free Edition ist besonders für Heimnetzwerke zufriedenstellend. Aber es wird empfohlen, eine der Zenarmor Premium Editionen in SOHO- und Unternehmensnetzwerken zu verwenden.

Wie sie funktionieren

pfBlockerNG hat zwei Hauptfunktionen: IP-Blockierung und DNS-Blockierung. Sie können pfBlockerNG verwenden, um Firewall-Regeln basierend auf IPv4- und IPv6-Adressräumen zu erstellen. Infolgedessen können Sie sowohl den eingehenden als auch den ausgehenden Datenverkehr auf einer einzelnen oder mehreren Schnittstellen verwalten. Sie können die IP-Adresse auch basierend auf ihrer Geolokalisierung einschränken. pfBlockerNG kann auch den Zugriff auf den DNS-Resolver einschränken, um den Zugriff auf bösartige Websites wie Werbung, Phishing und Malware zu verhindern. Während die Clients im Internet surfen, werden ihre DNS-Anfragen mit einer Sperrliste abgeglichen. Wenn es eine Übereinstimmung gibt, wird die Anfrage abgelehnt.

pfBlockerNG verwendet die Feeds, die öffentlich verfügbare Blocklisten für IP- und DNS-Filterung sind. pfBlockerNG ist so konfiguriert, dass es sich regelmäßig mit diesen Feeds synchronisiert. Zum Zeitpunkt des Schreibens ist die verfügbare Anzahl der Feeds pro Kategorietyp unten angegeben:

KategorieAnzahl der Feeds
IPv492
IPv614
DNSBL140

Tabelle 5. Anzahl der Feeds auf pfBlockerNG

IPv4-Kategoriefeeds sind in 16 Gruppen unterteilt:

  • PRI1-5
  • Scanner (Internet Storm Center)
  • Mail (Bekannte Spam-Quellen; nützlich zum Schutz von Mail-Servern)
  • Foren-Spam
  • Tor-Knoten (Bekannte Tor-Ausgangspunkte; nicht von Natur aus gefährlich, aber Sie möchten möglicherweise Benutzer isolieren, die ihren Datenverkehr anonymisieren.)
  • Internic (Enthält Root-Nameserver, die benötigt werden, um den Cache der Internet-Domain-Nameserver zu initialisieren)
  • Proxy-IP
  • Torrent-IP
  • Öffentliche DNS
  • DOH (DNS über HTTP)
  • VPN
  • BlocklistDE

Die PRI1-5-Gruppen gehören zu bekannter Ransomware, Malware, Botnets, Command & Control (C&C) Servern, Bots, Web-Skripten, Phishing- und kompromittierten Servern, bösartigen IPs, die SSH-, SMTP-, IMAP-, TELNET-, FTP-Endpunkte angreifen, und anderen bekannten Verursachern bösartigen Verhaltens. Im Allgemeinen gilt: Je niedriger die Zahl, desto mehr versucht pfBlockerNG, Fehlalarme zu vermeiden.

Andere IPv4-Kategorie-Feed-Gruppen zielen darauf ab, bestimmte Arten von bösartigem oder unerwünschtem Datenverkehr zu blockieren.

Zum Zeitpunkt des Schreibens sind 140 DNSBL-Kategoriefeeds verfügbar. DNSBL-Feeds sind in 18 Kategorien auf pfBlockerNG gruppiert, die darauf abzielen, bestimmte Arten von bösartigem oder unerwünschtem Datenverkehr zu blockieren:

  • EasyList
  • Werbung
  • E-Mail
  • Bösartig
  • Phishing
  • BBCAN177
  • STUN
  • DoH
  • Torrent
  • BBC
  • Bösartig2
  • Cryptojacker
  • Zusammenstellung
  • Firebog_Suspicious
  • Firebog_Advertising
  • Firebog_Trackers
  • Firebog_Malicious
  • Firebog_Other

Zenarmor ist ein leichtgewichtiges und leistungsstarkes Kern für die Paketinspektion auf Anwendungsschicht/L7. Es kann eine Vielzahl von Netzwerk-Sicherheitsfunktionen auf Unternehmensebene ausführen. Administratoren können mit Zenarmor maßgeschneiderte Online-Filterprofile und Regeln erstellen, die auf einer cloudbasierten Web-Kategorisierung von über 300 Millionen Websites basieren, die in über 60 Kategorien unterteilt sind.

Zenarmor Cloud ist eine riesige Datenbank, die Millionen von Suchanfragen pro Tag bedient und über 300 Millionen Websites mit Reputations- und Sicherheitsinformationen verfügt, wobei regelmäßig neue hinzugefügt werden. Dank Zenarmor Cloud können wir in Echtzeit auf Malware-Bedrohungen und Virusausbrüche reagieren.

Business Edition-Nutzer erhalten Zugang zu einem verbesserten Schutz, der zusätzlich über 1+ Milliarde kategorisierte Domains und 4+ Milliarden aufgezeichnete IPv4/6-Adressen umfasst. Durch die tägliche Analyse von etwa 25.000 Bedrohungen und URLs werden über 48 Milliarden Domains bewertet und in eine auf Zenarmor AI basierende Bedrohungsdatenbank aufgenommen.

Es ist klar, dass Zenarmor eine größere Datenbank als pfBlockerNG hat. Das bedeutet, dass Zenarmor einen effektiveren Schutz gegen Cyberangriffe bietet als pfBlockerNG. Ein wesentlicher Vorteil von Zenarmor gegenüber pfBlockerNG ist, dass es aufgrund seiner leistungsstarken, aktuellen und effizienten Datenbank eine niedrigere Rate an Fehlalarmen aufweist.

Darüber hinaus verfügt Zenarmor über ein gut gestaltetes, gut organisiertes und leicht navigierbares Web- und Anwendungskategorisierungssystem. Jede Kategorie hat einen beschreibenden Namen, der Ihnen hilft zu verstehen, was sie enthält. Sie sind auch in Unterkategorien unterteilt, um eine klare Unterscheidung zu ermöglichen. Allein durch die Suche in den Kategorien können Sie die Web- und Anwendungs-Kategorien sowie die Unterkategorien, die Sie im Web-GUI blockieren möchten, ganz einfach auswählen und verwalten.

Während pfBlockerNG auf die Regeln der pfSense®-Softwarefirewall und den DNS-Resolver angewiesen ist, um IPv4/v6-Filterung und DNS-Blackholing zu erreichen, führt Zenarmor seine vordefinierten und benutzerdefinierten Regeln unabhängig von Ihrer Firewall aus, egal ob es sich um OPNsense®/pfSense® oder eine Linux-Firewall handelt. Weitere Informationen darüber, wie Zenarmor funktioniert, finden Sie in der offiziellen Dokumentation.

Darüber hinaus kann Zenarmor in drei verschiedenen Bereitstellungsmodi eingesetzt werden:

  1. Passiver Modus: In diesem Modus sind nur Berichterstattung und kein Blockieren verfügbar.
  2. Gerouteter Modus: In diesem Modus läuft Zenarmor im L3-Modus, und sowohl Reporting- als auch Blocking-Funktionen sind verfügbar.
  3. Bridge-Modus: In diesem Modus läuft Zenarmor im L2-Modus, und sowohl Reporting als auch Blocking sind verfügbar. Der Bridge-Modus kann nur zu experimentellen Zwecken über die OPNsense-GUI eingesetzt werden.

In einigen Fällen möchten Sie Ihre Benutzer möglicherweise nicht zu sehr mit falsch positiven Ergebnissen, die durch Sicherheitslösungen verursacht werden, belästigen. Dann ist es sehr nützlich, die Sicherheitssoftware im Berichtsmodus auszuführen, ohne etwas zu blockieren, um zu sehen, was in Ihrem Netzwerk passiert. Während Zenarmor diese Flexibilität bieten kann, hat pfBlockerNG keine Vielzahl von Bereitstellungsmodi. Sie können Regeln erstellen, die nur die gefilterten IPv4/v6- und GeoIP-Feeds protokollieren, ohne sie auf pfBlockerNG zu blockieren. Aber es ist nicht möglich, den Zugriff auf DNSBL-Feeds zu protokollieren, ohne sie zu blockieren. Der einzige Weg, um festzustellen, ob die DNSBL-Kategoriefeed-Listen Fehlalarme verursachen oder nicht, besteht darin, die DNSBL-Listen in Ihrem Netzwerk zu blockieren. Das bedeutet, dass Sie äußerste Vorsicht walten lassen und die Inhalte der DNSBL-Listen gründlich überprüfen sollten, um Ihre Benutzer nicht zu belästigen und die Fehlersuche zu verkürzen.

Management

Sie können das pfBlockerNG-Paket verwalten, indem Sie IP-Filter hinzufügen, einschließlich GeoIP- und DNSBL-Feeds, benutzerdefinierte Listen erstellen, Whitelisting durchführen und Berichte über die Web-GUI Ihrer pfSense®-Software anzeigen oder anpassen. Zenarmor, das auf dem OPNsense-System bereitgestellt wird, kann sowohl über die OPNsense-GUI als auch über das Zenconsole-Cloud-Management-Portal verwaltet und konfiguriert werden. Wenn Sie die Zenarmor-Engine auf pfSense®-Software oder anderen von Zenarmor unterstützten Linux-Firewalls wie Centos, Ubuntu oder Debian installieren, können Sie sie über das Zenconsole-Cloud-Management-Portal weltweit verwalten. Das Zenconsole-Cloud-Management-Portal bietet Ihnen eine zentrale Firewall-Verwaltung, was bedeutet, dass Sie, wenn Sie mehr als eine Zenarmor-installierte Firewall haben, alle Firewalls von einer einzigen Webseite aus verwalten können. Außerdem können Sie eine zentrale Richtlinie definieren und anwenden, die eine gemeinsame Zenarmor-Richtlinie für alle Ihre Firewalls ist.

Es ist klar, dass die zentrale Verwaltung von Zenarmor eine sehr nützliche und attraktive Funktion für Sicherheitsadministratoren ist, insbesondere für MSSPs, die viele Firewalls verwalten müssen.

Protokollierung und Berichterstattung

Sowohl pfBlockerNG als auch Zenarmor verfügen über umfangreiche Protokollierungs- und Berichtsfunktionen. Sie können einen Filter auf die Berichte anwenden oder sie nach einer Spalte/Feld sortieren. Aber Zenarmor bietet erweiterte Bericht- und Analysefunktionen. Es hat 6 Arten von Berichtansichten und Live-Sessions-Explorer für diese Ansichten. Es bietet auch 40 Arten von Diagrammen. Sie können in die Diagramme hineinzoomen und die Sitzungsdetails in den Berichten einsehen. Ein weiterer Vorteil von Zenarmor ist das Exportieren der Berichte in PDF/PNG-Dateien und das Versenden per E-Mail. Außerdem verfügen diese Berichte über eine sehr intuitive Benutzeroberfläche, die den Administratoren einen angenehmen Arbeitsbereich bietet. Es bietet drei Arten von Reporting-Datenbanken als Optionen an:

  • lokale Elastic Search,
  • Remote Elastic Search,
  • MongoDB
  • und SQLite.

Da Zenarmor über stärkere und umfangreichere Protokollierungs- und Berichtsfunktionen als das pfBlockerNG-Paket verfügt, könnte es einfacher sein, Netzwerkverkehrsanalyse und Bedrohungserkennung mit Zenarmor durchzuführen als mit pfBlockerNG.

Benutzer-/Gerätebasierte Filterung

pfBlockerNG schützt das/die Netzwerk(e) hinter einer oder mehreren Schnittstellen Ihrer pfSense®-Software-Firewall. Diese Schnittstellen können eine physische Netzwerkkarte oder ein virtuelles Netzwerk wie VLAN sein. Wenn Sie die pfBlockerNG-Software in einem Netzwerk aktivieren, werden alle Clients in diesem Netzwerk mit denselben Richtlinien geschützt. Es ist nicht möglich, eine Ausnahme für ein Client-Gerät zu definieren oder unterschiedliche Regeln für die verschiedenen Gerätegruppen im pfBlockerNG-aktivierten Netzwerk anzuwenden. Wenn einer oder einige der Benutzer einen außergewöhnlichen Internetzugang benötigen, müssen sie in ein separates Netzwerk platziert werden. Da sich die Anforderungen der Kunden ziemlich oft ändern, ist es eine herausfordernde und nicht anwendbare Aufgabe, die Netzwerkinfrastruktur immer wieder neu zu konfigurieren.

Zenarmor bietet benutzerbasierte und gerätebasierte Filterfunktionen, die besonders nützlich sind, um SOHO- und Unternehmensnetzwerke zu verwalten. Sie können verschiedene Richtlinien für Ihre Clients definieren und anwenden. Zenarmor unterstützt MS Active Directory und OPNsense Captive Portal zur Auflösung von Benutzernamen. Bei der Definition von Richtlinien können Sie die Benutzer anhand der folgenden Kriterien unterscheiden:

  • VLANs
  • IP und Netzwerke
  • MAC-Adresse
  • Benutzer (MS Active Directory-Benutzer oder OPNsense Captive Portal-Benutzer -nur OPNsense-)
  • Gruppe (MS Active Directory-Gruppe -nur OPNsense-)
  • Geräte (Stand 2024)

Abbildung 23. Festlegung einer benutzer-/gerätebasierten Richtlinie auf der Zenarmor-Firewall

Zeitplanung

Die Zeitplanung ist eine sehr nützliche Funktion, insbesondere für die Verwaltung der Internetbandbreite. Zum Beispiel müssen Sie möglicherweise YouTube-Videos während der Arbeitszeiten in Ihrem Unternehmensnetzwerk blockieren. pfBlockerNG hat keine Zeitplanungsfunktion. Obwohl Sie die Zeitplanungsfunktion Ihrer pfSense-Firewall für IP-Filterregeln nutzen können, können Sie keinen Zeitplan für DNS-Blockierungsregeln auf Ihrem pfBlockerNG festlegen.

Zenarmor bietet einen Zeitplanungsmechanismus, der sehr einfach für Ihre Richtlinien zu konfigurieren ist. Sie können Ihrer Richtlinie ganz einfach einen Zeitplan hinzufügen, wenn Sie möchten, dass Ihre Richtlinie nur zu bestimmten Zeiten des Tages oder an bestimmten Wochentagen aktiv ist.

Abbildung 24. Zeitpläne für Richtlinien zu Zenarmor

Dokumentation

Während Zenarmor offizielle Dokumentation hat, hat pfBlockerNG keine. Zenarmor hat bereits eine gut organisierte, aktuelle und übersichtliche Dokumentationsseite und einen YouTube-Kanal über Zenarmor veröffentlicht. Obwohl es klare, gut geschriebene und zufriedenstellende Produktdokumentation hat, könnten einige Punkte fehlen oder einige Lücken vorhanden sein. Das Zenarmor-Team legt jedoch großen Wert auf Dokumentation. Jeden Tag, an dem Sie die Seite besuchen, finden Sie möglicherweise ein neues Dokument, das nicht nur über Zenarmor, sondern auch über die aktuellsten Themen in den Bereichen Cybersicherheit, Linux, Informationstechnologie usw. informiert.

pfBlockerNG hat viele Online-Ressourcen, wie Blogbeiträge, Videos und Tutorials zu jedem Thema, möglicherweise weil es ein Open-Source-Projekt ist und die Open-Source-Community eine Kultur hat, die Menschen dazu ermutigt, Projekte durch Spenden, Programmieren oder Dokumentieren zu unterstützen. Wenn Sie nicht wissen, was Sie mit pfBlockerNG tun können oder wie Sie Ihr pfBlockerNG konfigurieren, werden Sie mit Sicherheit eine Antwort auf Ihre Frage im Internet finden.

Darüber hinaus hat pfBlockerNG Info-Schaltflächen, die im Web-GUI durch einen blauen Kreis mit einem i dargestellt werden. Sie können auf sie klicken, um Informationen über das entsprechende Feld in der pfBlockerNG-GUI zu erhalten. Sie enthalten eine kurze, aber umfassende Sammlung von Hilfenotizen. Zenarmor OPNsense GUI und Zenconsole Cloud Management Portal GUI hingegen fehlen die reichhaltigen und informativen Hilfetasten, die in pfBlockerNG zu finden sind. Sie sind spärlich und kurz, was Neulinge möglicherweise nicht zufriedenstellt, daher müssen sie möglicherweise die offizielle Dokumentation lesen.

Unterstützung

Da beide Sicherheitssoftware im Open-Source-Bereich sehr beliebt sind, haben sie eine großartige Community-Unterstützung. BBcan177, der Entwickler von pfBlockerNG, ist auf dem Reddit-Forum und Twitter sehr aktiv und hilfsbereit. Zenarmor hat ein freundliches und hilfsbereites Support-Team. Forum, das Melden Ihres Fehlers über die Web-Oberfläche und E-Mail sind drei Methoden, über die Sie Hilfe von den Zenarmor-Ingenieuren erhalten können. Sie sind auch auf den OPNsense- und Reddit-Foren sehr aktiv. Zenarmor bietet auch kostenpflichtige Support-Pläne an, die Sie je nach Ihren Anforderungen erwerben können. Wenn Sie kein erfahrenes Personal in Ihrem IT-Team haben oder nicht über ausreichendes Wissen verfügen, um Ihr Home/SOHO-Netzwerk abzusichern, könnte Zenarmor mit seinem großartigen Support die ideale Lösung für Sie sein.

Tabelle 6. pfBlockerNG vs Zenarmor

Praktisches Video zu pfBlockerNG-Alternativen für OPNsense

Das folgende Video zeigt Ihnen, wie Sie sicher von der pfSense-Software zu OPNsense migrieren können, ohne die Vorteile von pfBlockerNG zu verlieren. Sie werden sehen, dass OPNsense verschiedene Sicherheitsfunktionen als Alternative zum pfBlockerNG-Paket bietet.

Letztes Update am von Zenarmor