Blockierlisten für Open-Source-Firewall OPNsense nutzen

Tipps & Tricks zu OPNsense – Teil 2: IP-Filterlisten IP-Filterlisten in OPNsense integrieren und aktualisieren

15.08.2023 Von Thomas Joos Lesedauer: 4 min

Anbieter zum Thema

Mit OPNsense ist es möglich öffentliche Quellen von gefährlichen IP-Adressen anzuzapfen und die entsprechenden Bereiche zu blockieren. Die Listen dazu stehen sogar kostenlos zur Verfügung. Wir zeigen in diesem Beitrag, wie das geht.

Wir zeigen, wie man in der Open-Source-Firewall OPNsense gefährliche IP-Adressen blockiert und damit auch Ransomware-Infektionen vermeiden kann.
(Bild: ArtemisDiana - stock.adobe.com)

Wir haben uns bereits im Beitrag „Geo-IP-Filter und Blockierlisten für Firewalls“ mit dem Thema auseinandergesetzt, wie IP-Blockierlisten dabei helfen die Firewall zu entlasten und gleichzeitig das Netzwerk zu schützen. Mit den Listen kann die Firewall auf Listen von Dienstleistern zugreifen, in denen automatisiert IP-Adressen gespeichert werden, von denen Cyberattacken ausgehen. Das schützt natürlich die Firewall, da Sie Pakete aus diesen Netzwerken automatisiert blockieren können, ohne dass die Firewall die Pakete der Angreifer erst analysieren muss. Wenn von vorneherein klar ist, dass der Zugriff von einer gefährlichen IP-Adresse erfolgt, kann der komplette Datenverkehr automatisch blockiert werden, weitere Prüfungen sind dazu nicht notwendig. In diesem Beitrag zeigen wir, wie man diese Listen mit der Open-Source-Firewall OPNsense nutzt.

Bildergalerie

IP-Filterlisten schützen vor Angreifer und vor Ransomware, wenn die Konfiguration richtig erfolgt ist.

Überprüfen der Aktualisierungen der Filterlisten. Dadurch ist die Firewall immer auf einem aktuellen Stand.

Blockierregeln für Filterlisten sollten möglichst weit vorne in der Prioritätenliste stehen, um zuverlässig Angreifer zu blockieren.

Firewallregeln für Blockierlisten sollten die Aktion "Blockieren" und die Internetschnittstelle nutzen.

Bildergalerie mit 5 Bildern

Erfolg der IP-Blockierlisten überprüfen

Ob eine IP-Filterliste dabei hilft erfolgreich Pakete zu blockieren, lässt sich bei OPNsense über "Firewall -> Protokolldateien -> Liveansicht" die aktuellen Aktionen der Filterlisten überprüfen. Wichtig ist, dass sich die Firewall regelmäßig aktualisiert und die neuen Filterlisten einmal am Tag von den jeweiligen Webseiten aktualisiert. Das lässt sich über "Firewall -> Alias" in Erfahrung bringen. In der Spalte "Zuletzt aktualisiert" ist der letzte Zeitraum der Aktualisierung zu sehen.

Blockierregeln richtig konfigurieren

Generell lassen sich die IP-Blockierlisten auf verschiedene Netzwerke anwenden. Allerdings sind viele Listen, zum Beispiel die verschiedenen Listen bei FireHOL nicht dazu geeignet für andere Schnittstellen, als die WAN-Schnittstelle genutzt zu werden, vor allem FireHOL1. Denn diese enthält IP-Bereiche aus privaten Subnetzen. Diese sollten natürlich nicht in solchen Netzwerken blockiert werden. Wenn die Blockierregeln für andere Schnittstellen zum Einsatz kommen soll, ist es sehr sinnvoll, das zunächst sorgfältig zu testen.

Bei "Schnittstelle" muss dazu in den Einstellungen der jeweiligen Firewall-Regel daher möglichst nur die Internet-Schnittstelle eingetragen sein und bei "Aktion" die Option "Blockieren". Bei der Einstellung "Ablehnen" (Reject) weiß der Absender, dass die Firewall das Paket angenommen hat, prüft und dann ablehnt. Sicherer ist immer das Paket sofort zu blockieren. Außerdem sollten diese Regeln möglichst weit oben in der Prioritätenliste stehen.

Die beliebte Open-Source-Firewall OPNsense eignet sich sowohl für den Einsatz in großen Netzwerken, als auch bei KMUs. (Bild: ra2 studio - stock.adobe.com)

IP-Blockierlisten für IPv6

Wenn die Internetverbindung IPv6-Adressen nutzt, sollten natürlich idealerweise auch IP-Blockierlisten zum Einsatz kommen, die IPv6-Adressen enthalten. Das ist zum Beispiel die Blockierliste Spamhaus DROP6. Diese wird über die Adresse https://www.spamhaus.org/drop/dropv6.txt angebunden.

Das Blockieren ausgehender Verbindungen schützt vor Malware

Wenn die Blockierlisten für eingehende Verbindungen funktionieren, sollte diese auch für ausgehende Verbindungen erstellt und konfiguriert werden. Oft versucht Malware Verbindungen zu den IP-Bereichen aufzubauen, welche die erwähnten Filterlisten blockieren. In den meisten Fällen lässt OPNsense den Datenverkehr durch.

Dadurch kann Malware im Netzwerk eine Verbindung zu den IP-Bereichen aufbauen. Die Erstellung von ausgehenden Regeln für das Blockieren der IP-Bereichen in den Filterlisten erfolgt im Grunde genommen genauso wie das Erstellen von eingehenden Verbindungen. Wichtig ist dabei, die entsprechende Filterliste bei "Ziel" (Destination) auszuwählen.

Generell ist es an dieser Stelle auch sinnvoll VPN-Schnittstellen entsprechend zu schützen. Alle Filterlisten aus dem Beitrag „Geo-IP-Filter und Blockierlisten für Firewalls“ lassen sich für interne Netzwerke und für VPN-Netzwerk nutzen, außer die Filterliste FireHOL Level 1.

Was bringen IP-Filterlisten? Schutz vor Ransomware

Generell blockiert OPNsense alle IP-Verbindungen, die ungefragt im Netzwerk eingehen und für die es keine Regeln gibt, die den Zugriff erlauben. Nur weil in den Protokolldateien der Firewall nach der Implementierung zahlreiche Verbindungen als blockiert angezeigt werden, bedeutet das nicht, dass diese Verbindungen vorher nicht blockiert wurden. Die IP-Filterlisten stellen die Blockierung aber sicher. Gleichzeitig werden dadurch offene Ports geschützt. Denn ohne die Filterlisten dürfen die verbotenen IP-Bereiche die offenen Ports nutzen und können diese dadurch angreifen. Durch das Blockieren der Verbindungen über die Filterlisten, werden daher diese Ports geschützt.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Geschäftliche E-Mail

Bitte geben Sie eine gültige E-Mailadresse ein.

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Stand vom 30.10.2020

Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.

Einwilligung in die Verwendung von Daten zu Werbezwecken

Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von redaktionellen Newslettern nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.

Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.

Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden.

Recht auf Widerruf

Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://support.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung, Abschnitt Redaktionelle Newsletter.

Durch das Blockieren ausgehender Verbindungen zu den verbotenen Bereichen ist sichergestellt, dass Malware keine Chance hat eine Verbindung aufzubauen. Ohne die IP-Filterlisten lässt sich das nicht sicherstellen. Das schützt auch vor Ransomware. Wenn ein Anwender im Netzwerk Malware einfängt, kann diese keine Verbindung zum jeweiligen Server aufbauen und dadurch Ransomware blockieren. Hier ist vor allem die Blockierliste für die Webclients sinnvoll, die wir im nächsten Abschnitt vorstellen.

Mit Blockierlisten und Geo-IP-Filtern für Firewalls lassen sich viele Angriffe ganz einfach automatisch abwehren. (Bild: bluebay2014 - stock.adobe.com)

Webclients mit IP-Filterlisten schützen und Ransomware blockieren

Eine weitere Filterliste, die in OPNsense als Alias angelegt werden kann ist „FireHOL webclient“. Diese Blockierliste filtert IP-Adressbereiche, aus denen Angriffe auf Webclients stattfinden können. Wenn über die Firewall auch Webclients veröffentlicht werden, oder die Möglichkeit geschaffen wird über das Internet auf Weboberflächen im Netzwerk zuzugreifen, ist es sinnvoll diese Filterliste für eingehende Verbindungen zu aktivieren, aber auch für ausgehende Verbindungen.

Das Eintragen erfolgt als Alias bei "Firewall -> Aliase". Bei "Typ" sollte an dieser Stelle "URL Tabelle (IPs)" ausgewählt sein. Bei "Inhalt" wird die Adresse https://raw.githubusercontent.com/ktsaou/blocklist-ipsets/master/firehol_webclient.netset verwendet. Nach dem Anlegen des Alias wird als nächstes eine neue Firewall-Regel für die Internet-Schnittstelle angelegt. Auch hier sollten die Verbindungen "Blockiert" werden. Diese Filterliste schützt darüber hinaus vor Ransomware.