Tee-se-itse: Rautapalomuurit (pfSense, Sophos UTM..) (Mitä käytätte ja miksi juuri se vaihtoehto?)

Liittynyt
23.10.2016
Viestejä
497
My bad, meni lukeminen ja ajattelu sekaisin.
Eli tuo QOS shaper on todella kevyt. En osaa sanoa, missä kohtaa tuo Netgear kyykähtää, mutta arvaisin sen jaksavan QOS shaperia symmetrisellä 100Mbit/s. Ei varmaan auta kuin testata.
 
Liittynyt
30.10.2016
Viestejä
1 669
Tilasinpa itsekin tuollaisen APU2D4:n Ebaystä saksalaiselta myyjältä realsofteeshop, 258EUR posteineen oli hinta. Omaan käyttöön ehkä vähän ylimitoitettu, mutta eipä tuo ihan heti vanhene. Pääasiallinen tarkoitus on saada VPN-yhteys kuntoon. Tähän asti kikkaillut SSH:lla ja port forwardingilla.
 
Liittynyt
21.10.2016
Viestejä
142
Tilasinpa itsekin tuollaisen APU2D4:n Ebaystä saksalaiselta myyjältä realsofteeshop, 258EUR posteineen oli hinta. Omaan käyttöön ehkä vähän ylimitoitettu, mutta eipä tuo ihan heti vanhene. Pääasiallinen tarkoitus on saada VPN-yhteys kuntoon. Tähän asti kikkaillut SSH:lla ja port forwardingilla.
Hmm, en tiedä, mitä tilauksesi sisältää, mutta aikanaan omani hankin Saksasta (shop.meconet.de) hintaan 196e sisältäen: toimitus UPS:llä, apu2d4, kotelo, 16GB mSATA SSD, virtalähde, SATA-kaapeli. Minusta nuo hinnat on edelleen pysyneet samalla tasolla.
 
Liittynyt
19.10.2016
Viestejä
1 690
Viimeksi muokattu:
Liittynyt
30.10.2016
Viestejä
1 669
No perhana, maksoinko liikaa...

Oma laite siis APU2D4 koteloituna, valmiiksi Pfsense asennettuna ja poweri mukana (ja muutama verkkokaapeli).
 
Liittynyt
20.09.2018
Viestejä
315
Itse tilasin alkuvuodesta varia-store.comista APU2D4, siis 4Gb RAMilla ja 30Gb SSD:llä, kotelolla sekä virtalähteellä postikuluineen 210e.

Olen kyllä ollut tuohon enemmän kuin tyytyväinen. PfSense on helppo käyttää ja taipuu melkein mihin vain ja laitteesta ei potku lopu heti kesken, mutta silti watit aivan olemattomat.

Thingiversestä löytyy tuolle peltiselle kotelolle muutamakin hyvä seinäteline.
 

user9999

Platinum-jäsen
Liittynyt
17.10.2016
Viestejä
3 019
Mulla on ollu Wifissä käytössä Radius EAP-TTLS (pfSense FreeRadius). NAS/Client laitteena Asus ROG Rapture GT-AC5300.
Muutin tuon EAP-TLS kun se kait turvallisempi.
802.1X Overview and EAP Types

Aikamoista säätämistä noitten sertien kanssa :)

Nyt on käytössä MacBook Pro 2017 ja iPhone XS laitteissa. Logia Macbookista noin tunnin välein


Logia pfSensessä:
May 6 18:06:40 radiusd 7160 (6) Login OK: [XXXXXX] (from client GTAC5300 port 95 cli XXXXXXXXXXXX)

Jotain ohjetta:
User Management — Using EAP and PEAP with FreeRADIUS | pfSense Documentation

Täytyy ajaa noilla parilla laitteella kovaa testiä ja jos toimii vakaasti niin ottaa sitten kunnolla käyttöön :)
Sekosi pfSense kokonaan.:dead: Poistin Freeradiuksen oletus sertit kun olin tehnyt omat ja ne oli käytössä. Pistin koneen boottiin niin ei noussu ylös. Koneeseen näyttö ja näppis kiinni niin iso määrä erroreita eikä ottanut mitään käskyjä vastaan.
Ei auttanut kuin asentaa uusiksi ja tiputtaa config. Freeradiuksen ja OpenVPN joutui määrittämään uudestaan.
Eli jotain vikaa mulla on tuossa ollu kun ei meinannu onnistua esim. pakettien asennus aikaisemmin.

No nyt on taas kunnossa. Radius EAP-TLS (WIFI) todettu vakaaksi eli toimii macOS, iOS ja tvOS laitteilla. Pitäis vielä virittää se Windows 10 koneeseen.
 

user9999

Platinum-jäsen
Liittynyt
17.10.2016
Viestejä
3 019
Sekosi pfSense kokonaan.:dead: Poistin Freeradiuksen oletus sertit kun olin tehnyt omat ja ne oli käytössä. Pistin koneen boottiin niin ei noussu ylös. Koneeseen näyttö ja näppis kiinni niin iso määrä erroreita eikä ottanut mitään käskyjä vastaan.
Ei auttanut kuin asentaa uusiksi ja tiputtaa config. Freeradiuksen ja OpenVPN joutui määrittämään uudestaan.
Eli jotain vikaa mulla on tuossa ollu kun ei meinannu onnistua esim. pakettien asennus aikaisemmin.

No nyt on taas kunnossa. Radius EAP-TLS (WIFI) todettu vakaaksi eli toimii macOS, iOS ja tvOS laitteilla. Pitäis vielä virittää se Windows 10 koneeseen.
Windows 10 ja EAP-TLS. Vähän hankalampi ottaa käyttöön kuin Applen laitteilla. Tämä projekti valmis :)

 
Viimeksi muokattu:
Liittynyt
19.10.2016
Viestejä
1 690
Menee vähän OTksi, mutta kysyn silti:

Laitoin APU4C4n tilaukseen, yksi LAN-portti enemmän kuin APU2D4ssa + 2x SIM-korttipaikka. PCIe-paikat on myös konfattu erilailla. Kysymys load balancingista, miten onnistuu pfSensellä useamman WAN-yhteyden (4G) niputtaminen? Riittääkö APUn teho siihen? Tarkoitus yhdistää ainakin 2, mutta onnistuuko 3 WAN-yhteyttä softan puolesta?

Tarve suurelle kaistalle, 4 läppäriä, 5-6 tablettia, pöytätietokone ja muutama kännykkä. Näillä ajetaan Youtubea pitkin päivää, web-selausta ja parilla tietokoneella pelataan useampi tunti päivässä. Pöytätietokoneelle pitäisi myös priorisoida kaistaa/vasteaikaa. WAN-yhteydet tulee omilla modeemeilla (Huawei 525 ja 5186).
 
Viimeksi muokattu:

user9999

Platinum-jäsen
Liittynyt
17.10.2016
Viestejä
3 019
Menee vähän OTksi, mutta kysyn silti:

Laitoin APU4C4n tilaukseen, yksi LAN-portti enemmän kuin APU2D4ssa + 2x SIM-korttipaikka. PCIe-paikat on myös konfattu erilailla. Kysymys load balancingista, miten onnistuu pfSensellä useamman WAN-yhteyden (4G) niputtaminen? Riittääkö APUn teho siihen? Tarkoitus yhdistää ainakin 2, mutta onnistuuko 3 WAN-yhteyttä softan puolesta?

Tarve suurelle kaistalle, 4 läppäriä, 5-6 tablettia, pöytätietokone ja muutama kännykkä. Näillä ajetaan Youtubea pitkin päivää, web-selausta ja parilla tietokoneella pelataan useampi tunti päivässä. Pöytätietokoneelle pitäisi myös priorisoida kaistaa/vasteaikaa. WAN-yhteydet tulee omilla modeemeilla (Huawei 525 ja 5186).


Multiple WAN Connections

How to configure pfSense as multi wan (DUAL WAN) load balance failover router - nixCraft
 
Liittynyt
19.10.2016
Viestejä
1 690
https://www.apu-board.de/

Tuolta tilasin omani, hinnat on halvimmat mitä niitä nyt selailin netissä. Tilaus ei onnistu suoraan netistä, maililla laitoin tilauksen sisään ja tilisiirtona maksu. Käyhän se noinkin. ;)
 

Obi-Lan

¯\_(ツ)_/¯
Liittynyt
17.10.2016
Viestejä
2 058
Oliko missään opensource muurissa kunnollista toteusta QoS:lle? esim. pakettien DSCP liputus portin/ip/yms perusteella sisään tulevassa interfacessa ja jonotus ulos menevässä? Vanha Juniper mölyää ja uudet ovat hinnoissaan sekä vähän nihkeemmällä lisensoinnilla
 

escalibur

"Random Tech Channel" @ YouTube
Liittynyt
17.10.2016
Viestejä
9 072
Oliko missään opensource muurissa kunnollista toteusta QoS:lle? esim. pakettien DSCP liputus portin/ip/yms perusteella sisään tulevassa interfacessa ja jonotus ulos menevässä? Vanha Juniper mölyää ja uudet ovat hinnoissaan sekä vähän nihkeemmällä lisensoinnilla
Nämät eivät käy?

Limiters: 8:20
CODEL: 14:06
FAIRQ: 17:50
PRIQ: 20:36
CBQ: 23:58
Service Curves: 27:31
HFSC: 38:29

 

user9999

Platinum-jäsen
Liittynyt
17.10.2016
Viestejä
3 019
Kokeilin juuri pfSense 2.4.4:ssä "ASIX Elec. Corp. AX88179" USB3-Eth -sovitinta, jota on satunnaisesti käytetty Windows 10:ssä, Rasperry Pi 3B+:ssa ja ensimmäisessä hostissa myös sillattuna VirtualBoxin Ubuntuun. Hyvin tunnistui pfSenseen, tosin koska käytössä on myös LTE USB/Wifi-mokkula niin jotain extroja usb-drivereita voi olla apuna.
D-Link DUB-1312 USB3-verkkokortti kanssa tunnistuu.

Koodi:
ugen0.3: <D-Link Elec. Corp. D-Link DUB-1312> at usbus0
axge0: <NetworkInterface> on usbus0
ue0: <USB Ethernet> on axge0
 
Viimeksi muokattu:

Obi-Lan

¯\_(ツ)_/¯
Liittynyt
17.10.2016
Viestejä
2 058
Lähinnä kiinnosti minkä tutkimiseen aikaa kannattaa käyttää. Pitänee demota VM:ssä Pfsenseä, Netgaten oma SG-1100 purkki taitaa loppupeleissä olla edullisimmasta päästä jos ei SER raudasta meinaa rakentaa?
 
Liittynyt
03.12.2016
Viestejä
807
Mistäs tuon SG-1100:n saisi edukkaimmin ? Alkoi kiinnostamaan, vaikka olekin tykästynyt openwrt:hen. :)
 
Liittynyt
23.10.2016
Viestejä
497
Lähinnä kiinnosti minkä tutkimiseen aikaa kannattaa käyttää. Pitänee demota VM:ssä Pfsenseä, Netgaten oma SG-1100 purkki taitaa loppupeleissä olla edullisimmasta päästä jos ei SER raudasta meinaa rakentaa?
Open-Source APU2 taitaa olla hieman halvempi, joksikin ei saa "virallista" pfSenseä. Itse ostin omani Teklagerilta.

Mistäs tuon SG-1100:n saisi edukkaimmin ? Alkoi kiinnostamaan, vaikka olekin tykästynyt openwrt:hen. :)
Asiakkaalle tilasin vuoden vaihteella tuolta: SG-1100 pfSense® Security Gateway Appliance | Layer8.se
 
Liittynyt
03.12.2016
Viestejä
807
Open-Source APU2 taitaa olla hieman halvempi, joksikin ei saa "virallista" pfSenseä. Itse ostin omani Teklagerilta.
Lopetin jahkaamisen ja tilasin Teklagerilta APU2 vehkeen. Valitsin vielä pfsensen openwrt:n sijaan. :) En ottanut WiFiä, vaikka houkutteli. Taidan valjastaa tuon vanhan openwrt reitittimen wifi AP:ksi.
 

escalibur

"Random Tech Channel" @ YouTube
Liittynyt
17.10.2016
Viestejä
9 072
Lähinnä kiinnosti minkä tutkimiseen aikaa kannattaa käyttää. Pitänee demota VM:ssä Pfsenseä, Netgaten oma SG-1100 purkki taitaa loppupeleissä olla edullisimmasta päästä jos ei SER raudasta meinaa rakentaa?
SG-1100 (Rauta perustuu ESPRESSObin:iin Marvell ESPRESSObin | An SBC Unlike Any Other)
APU2-lauta Teklagerilta (kuten jo ehdotettiin)
Qotom-purkki Aliexpressistä tai eBaystä
Shuttle DS-sarjalaiset
fitlet2 <- kenties hienoin toteutus jos budjetti on venytettävissä

Parhaat pfSense-videot löytyvät Lawrence Systemsin YT-kanavalta: Lawrence Systems / PC Pickup

Kenties paras video liittyen alkukonfiguraatioihin:



Poikkeuksellisesti DNS:n osalta asettaisin CloudFlaren DNS:n käyttöön ja estäisin sisäverkon clienttien DNS-requestit muualta kuin pfSensestä.
 
Liittynyt
23.10.2016
Viestejä
497
Siinä yläpuolella rautaista asiaa!
Tuolta Lawrenceltä löytyy myös tuosta CloudFaresta juttua (1.1.1.1 ja 1.0.0.1), oliko nyt "DNS over TLS" -videossa. Ja pfBlockerNG -videossa tuosta muiden DNS:ien blokkaamisesta.
 

Obi-Lan

¯\_(ツ)_/¯
Liittynyt
17.10.2016
Viestejä
2 058
SG-1100 Suoraan Netgaten sivuilta 159$ + arvio rahdista suomeen 35$ = 194$ = 173.40e + ALV 21,50e = 194.90e, aika samoissa menee APU2 kanssa.

Halvemmalla oikeastaan pääsee vaan jos tilaa jonkun Celeron pohjaisen purkin Aliexpressistä: https://bit.ly/2EeBaax

Mutta toisaalta ei jaksais välttämättä Intel rautaa. Mutta testaan nyt softaa eka.
 

user9999

Platinum-jäsen
Liittynyt
17.10.2016
Viestejä
3 019
SG-1100 (Rauta perustuu ESPRESSObin:iin Marvell ESPRESSObin | An SBC Unlike Any Other)
APU2-lauta Teklagerilta (kuten jo ehdotettiin)
Qotom-purkki Aliexpressistä tai eBaystä
Shuttle DS-sarjalaiset
fitlet2 <- kenties hienoin toteutus jos budjetti on venytettävissä

Parhaat pfSense-videot löytyvät Lawrence Systemsin YT-kanavalta: Lawrence Systems / PC Pickup

Kenties paras video liittyen alkukonfiguraatioihin:



Poikkeuksellisesti DNS:n osalta asettaisin CloudFlaren DNS:n käyttöön ja estäisin sisäverkon clienttien DNS-requestit muualta kuin pfSensestä.
Hyvä video. Jostain syystä en ole ottanut PowerD käyttöön :facepalm:
Mulla on prossu pyöriny maksimi kelloilla. No nyt tuli laitettua päälle.

 
Liittynyt
03.12.2016
Viestejä
807
Kenties paras video liittyen alkukonfiguraatioihin:
Ihan loistava video.. ja muutkin tuollla olevat. Ai ai kun oottelen saavani sen APU2 purkin ja pfsensen. :)
Openwrt on jo jätetty unholaan. :)

Avoinkuituliittymäkin alkaa olla kohta huulilla. Pihatyöt on tehty ja tänään asensivat päätelaitteen. Kuitu vielä puuttuu. Puhallusta odotellessa.
 
Viimeksi muokattu:
Liittynyt
19.05.2019
Viestejä
1
Upgrade rojekti olisi edessä, kuidun pää tuli jo kellariin, ja nyt ajattelin päivittää muurin virkaa 15v kellarissa pörränneen ipchains -viritelmän.
Pfsense kuulostaisi kelvolliselta, mutta minkälaista rautaa kannattaisi katsella?
Nykyisen härvelin räkkikoteloon ajattelin päivittää sisuskalut.
Tarvetta on saada kuidun läpäisy+liikenne parin VLAN:in välillä kulkemaan. VPN tarpeita ei ole ainakaan tällä hetkellä.
 
Liittynyt
23.10.2016
Viestejä
497
Tuossa yläpuolella on listattu asiallisia rautoja, jotka ovat jotain parin röökiaskin kokoisia, ja vevät sähköä joku 15W. Hylkää tuo räkki, ja otat mukaan mounting bracketit. APU2:n puolesta itse liputan just tuolta TekLagerilta. Toki Sg1100 on hyvä myös, kun saa virallisen pfSensen.

Tai sitten on vielä nihilistinen ratkaisu, että vaihdat tuon ipfiren tuosta räkkiraudasta pfSenseen.
 

kha

Liittynyt
15.06.2017
Viestejä
398
Onko kenelläkään APU2/pfSense purkissa wle200nx WLAN korttia käytössä? Tilasin Teklagerin wle200nx wireless WiFi kitin toimitus vasta kesäkuun alussa ja odotellessa kiinnostaisi kuulla kokemuksia toimivuudesta.
 
Liittynyt
03.12.2016
Viestejä
807
Onko kenelläkään APU2/pfSense purkissa wle200nx WLAN korttia käytössä? Tilasin Teklagerin wle200nx wireless WiFi kitin toimitus vasta kesäkuun alussa ja odotellessa kiinnostaisi kuulla kokemuksia toimivuudesta.
Itse mietin myös noita Wifi mahdollisuuksia, mutta päädyin jättämään pois. Lähinnä sen takia, että niitä periaatteessa tarvitsisi kaksi kappaletta jos haluaa 2.4GHz ja 5GHz verkot yhtäaikaa käyttöön.
 

kha

Liittynyt
15.06.2017
Viestejä
398
Itse mietin myös noita Wifi mahdollisuuksia, mutta päädyin jättämään pois. Lähinnä sen takia, että niitä periaatteessa tarvitsisi kaksi kappaletta jos haluaa 2.4GHz ja 5GHz verkot yhtäaikaa käyttöön.

Mulla ei ole mitään pakottavaa tarvetta 5Ghz verkolle mutta voihan sitäkin testata kun kortti saapuu. Tavanomaiseen surffailu käyttöön riittää 2.4Ghz 802.11ng verkko ihan hyvin.
 

kha

Liittynyt
15.06.2017
Viestejä
398
Once you go pfSense + Ubiquiti nanoHD.... :)
On mulla tällä hetkellä pfSense + buffalo WHR-1166D Wifi tukiasema ja toimiihan tämäkin yhdistelmä ihan ok. Tarkoitus on kuitenkin minimoida erillisten purnukoiden olemassaolo ja siksi tilasin pfSenseen ton wifi kortin.
 
Liittynyt
03.12.2016
Viestejä
807
Päivitetty. Kunhan v2.5:stä tulee ensimmäinen release valmiiksi, niin sen päivitystä varten täytyy tehdä nykyisen "tuotantopurkin" rinnalle jotakin muuta redundanssia, kuten toinen setup, virtualisoitu ympäristö tai vähintään toinen SSD.
Onko siis tiedossa jotain mikä rikkoo päivityksessä jotain, vai vaan isohko pelko siitä ?
 
Liittynyt
27.12.2018
Viestejä
2 378
Onko siis tiedossa jotain mikä rikkoo päivityksessä jotain, vai vaan isohko pelko siitä ?
Ei. pfSense, erityisesti v2.4.4:n kolmannen patchin luulisi olevan kohtalaisen stabiilia kamaa. Terveellä epäluulollahan kannattaa suhtautua kaikkiin mahdollisiin päivityksiin, jotkan on tulossa sellaiseen purkkiin joka ei vaan saa mennä rikki, ainakaan rikkinäisen päivityksen takia.

Jos tämä olisi ollut v2.4.4. ensimmäinen release, niin olisin ehkä pidempään kuulostellut miten on maailmalla toiminut, ennen kuin v.2.4.3 pX:stä päivittänyt
 

escalibur

"Random Tech Channel" @ YouTube
Liittynyt
17.10.2016
Viestejä
9 072
Onko siis tiedossa jotain mikä rikkoo päivityksessä jotain, vai vaan isohko pelko siitä ?
Eipä pfSensen päivityksiä muutenkaan kannata pelätä, kunhan config.xml on varmistettu ajoittain. Etenkin ennen päivityksen suorittamista. Tärkeintä on huolehtia ettei sotke pfSensea tarpeettomilla lisäreillä ja että config on varmistettu hyvään paikkaan. Sen jälkeen vaikka koko palomuuri "pyyhittäisiin kartalta", uutta asennusta kehiin ja conffis takaisin -> win.
 
Liittynyt
27.12.2018
Viestejä
2 378
Katastrofin jälkeistä backupin restorea en ole muistaakseni tehnyt. Joidenkin kokeilujen peruutuksia kyllä. Viimeksi sitä tuli käytetyksi pfSense-setupin kopioinnissa täysin uuteen rautakokoonpanoon. Eihän se tietenkään suoralla restorella onnistu, mutta pienet muokkaukset interfacejen nimiin jne. ovat vähäinen homma verrattuna kaiken manuaaliseen setupiin.
 
Liittynyt
27.12.2018
Viestejä
2 378
OPNsense kiinnostaisi myös, ehkä tutustumismielessä itselle yhdeksi palomuuriksi lisää, mutta varsinkin epäteknisten käyttäjien tarpeeseen. pfSensen päivitykset eivät mene täysin luotettavasti (etänä). Hieman hirvittää OPNsensen parin viikon päivityssykli (joka on sinänsä ehkä ihan jees). Mutta osaako se tehdä päivitykset automaattisesti ja kuinka suurella luotettavuudella?
 
Liittynyt
03.12.2016
Viestejä
807
MItes yleisesti... Monet saitit huomaavat, jos käyttää selaimessa adblockkereita, mutta huomaavatko ne näitä reitittimelllä (pfBlockerNG) tehtäviä blokkeja ?

p.s. APU2 purkki on nyt lyöty tulille.
 

escalibur

"Random Tech Channel" @ YouTube
Liittynyt
17.10.2016
Viestejä
9 072
MItes yleisesti... Monet saitit huomaavat, jos käyttää selaimessa adblockkereita, mutta huomaavatko ne näitä reitittimelllä (pfBlockerNG) tehtäviä blokkeja ?

p.s. APU2 purkki on nyt lyöty tulille.
Eiköhän se riipu ihan sivuston lähdekoodista, tunnistaako se lisärin vai pollaako se ladataanko objekti "X" vai ei.

pfBlockerNG:ta on muutenkin syytä käyttää mm. kyseenalaisten IP:iden torjumiseen "estä ainoastaan lähtevä liikenne bannattuihin IP-osoitteisiin"-säännöllä.
 
Liittynyt
03.12.2016
Viestejä
807
Nyt on ns. kaikki APU2 pfsense asetukset laiteltu.
- VPN
- dns resolveria tuunaitu
- statistiikka-asetuksia
- fq_codel

Blockeria en vielä jaksanut ihmetellä.
Joko fq_codel conffaus ei osunut täysin kodilleen tai sitten se vaan ei toimi yhtä hyvin kuin openwrt:n cake.
Openwrt:llä ei missään tilanteessa bufferbloat mennyt alle A+:n, mutta tällä en vielä ole saanut sitä 100% varmaksi.
Eli vaihtelevasti tulee A tai A+. En oikein tiedä mitä asetuksia pitäisi twiikkailla. Queue lenghtin olen jättänyt tyhjäksi.
Upload ja download rajoituksia olen pudottanut "selvästi" alemmaksi kuin openwrt:llä ja silti ei vielä vakuuta.
Onko se sitten caken paremmuutta vai mistä lie johtuu ?

Yleisvaikutelma pfSensesta on kyllä todella hyvä. Kaikki asetukset ovat vaan niin "helppoja" verrattuna no esim. openwrt:hen.
Toki tuo traffic shaper hommeli on openwrt:ssä paremmissa kantimissa.

EDIT: Pikku testiä ja 4000 queue lenghtiksi... A+ pukkaa. :)
Nyt vain odotellaan kuidun saapumista. Vielä mennään VDSL2:lla.
 
Viimeksi muokattu:
Liittynyt
03.12.2016
Viestejä
807
pfBlockerNG:ta on muutenkin syytä käyttää mm. kyseenalaisten IP:iden torjumiseen "estä ainoastaan lähtevä liikenne bannattuihin IP-osoitteisiin"-säännöllä.
Tuo vaikuttaisi kyllä järkevältä. Onko vinkkejä mitä listaa kannattaisi käyttää ?
 

escalibur

"Random Tech Channel" @ YouTube
Liittynyt
17.10.2016
Viestejä
9 072
Tässä ovat mun käyttämät listat:












Listat ovat valitu harkitusti ja käyttötarpeen mukaan. Jätin kaikki bundle-listat tarkoituksella pois, helpomman vianselvityksen ja paremman ajantasaisuuden varmistamiseksi. Tässäkin asiassa määrä ei siis korvaa laatua. :)

- Kaikki listat ovat valittu laadun perusteella. Laadulla tarkoitan mahdollisimmna vähän false positiveja ja taustalla pyörivän tahon uskottavuus yms.
- IP-listat ovat tarkoituksella "estä ainoastan lähtevän liikenteen". Palomuuri oletuksena estää kaikki IP:t, pois lukien avatut portit (esim. VPN). Porttiavauksia voidaan kuitenkin erikseen rajata vaikkapa GeoIP:n mukaan. Pelkän lähtevän liikenteen suodatus vähentää mahdollisia false positiveja. Tämä on myös pfBlockerNG:n kehittäjän kertoma best practise.
- Päivitysajat ovat speksattu listojen tekijöiden ilmoittamien päivitysaikojen mukaan. Ei siis ole järkeä päivittää tiettyä listaa tunnin välein, jos ylläpitäjä päivittää sen kerran päivässä.
- Listat päivittyvät joka yö. Oletuksena pfBlockerNG skippaa päivitämättömät listat automaatisesti.

IPv4:

- PR1:
  1. Abuse.ch on tunnettu laadukkaista listoista. He pyörittävät mm. honeynettiä. Heillä on jopa statistiikkaa abuse.ch | Fighting malware and botnets mitä kaikkea ovat tunnistaneet.
  2. CINS Army on yhteisö joka selvittelee mitä mikäkin koputteleva IP on yrittämässä. Myös heidän listat ovat perus laadukkaita. Active Threat Intelligence - CINS Army
  3. Emerging Threats - Internet-uhkiin erikoistunut yritys. He tekevät useita maksullisia IPS-listoja mm. Snortille. Emerging Threat Intelligence - Cyber Threat Solutions | Proofpoint
  4. SANS.edu. (entinen DShield)- Tietoturvaan erikoistunut yliopisto joka ylläpitää omia (Internet Storm Center) listoja. Tarkempaa kuvausta: About Us - SANS Internet Storm Center
  5. Talos on Ciscon ostama Internet-uhkiin erikoistunut yritys. Mm. Ciscon enterprise-tason verkkolaitteet käyttävät Talosin estolistoja. https://www.talosintelligence.com/reputation_center
- PR2:
  1. Alienvault - AT&T Cybersecurity - Wikipedia (By July 2017, AlienVault Open Threat Exchange platform had 65,000 participants who contributed more than 14 million threat indicators daily)

- PR3:
  1. BlockList.de - Varsin suosittu estolista. Tarkempaa infoa: www.blocklist.de -- Fail2Ban-Reporting Service (we sent Reports from Attacks on Postfix, SSH, Apache-Attacks, Spambots, irc-Bots, Reg-Bots, DDos and more) from Fail2Ban via X-ARF.
  2. MalwareDomainList.com:n IPv4 estolista. Malware Domain List

- PR4
  1. BinaryDefense - Listan ylläpitää tietoturvaan erikoistunut yritys. "Real People Detecting Real Threats in Real Time"
  2. Malc0de - MalwareDomainList.com:n kaltainen malware-estolista. Malc0de Database





DNSL/mainosesto:

- Suurin osa on lainattu PiHolen vakiolistoista. Luultavasti tällä hetkellä PiHole kuitenkin käyttää eri listoja.

ADs:
- Cameleon - Erittäin toimiva ja suht koht ongelmaton mainostenestolista
- Disconnect.Me - Estolistoihin erikoistunut yritys.
- Disconnect.Me Privacy - Sama perustelu kuten yllä. "Disconnect is founded on the belief that privacy is a fundamental human right: that people should have the freedom to move about the internet - and their lives - without anyone looking over their shoulder."
- EasyList_Finnish - Suomalaisille tarkoitettu EasyListin "lisälista".
- hpHosts_ATS - Kenties tehokkain mainostenestolista.

Malicious:
- Disconnect.Me:n malwertising-lista. Se pyrkii estämään malwarea sisältävät mainokset. (ei niin tarpeellinen lista)
- MalwareDomainList.com:n estolista. Kenties paras yksittäinen lista tunnistettujen domainien estämiseen. Tämäkin on lähinnä "nice to have".

Cryptojackers:
- CoinBlockerlist - Toinen kahdesta cryptolouhintaestolistoista. Näitä on turhaa selitellä sen enempää. :) Suosittelen vähintään yhden listan käyttöä, cryptolouhintamainosten ollessa vielä jotenkuten elossa.
- NoCoin - Toinen kahdesta cryptolouhintaestolistoista.

Whitelista:
- Käyttämäni pankit, suomalaiset virastot yms sivustot

Sekä tämä (pfBlockerNG kehittäjän suositus):




Statistiikkaa:


Huom! Nollaa näyttävät lisata tarkoittavat sitä ettei listoissa esiintyviin IP:hin ole yritetty ottaa yhteyttä. Eli noin se pitäisikin olla. :tup:

Kyseiset listat estävät myös oman puhelimen kautta kulkevaa liikennettä (OpenVPN:n kautta). Näin puhelimen mainostenesto on juuri sitä mitä sen pitäisikin olla.

Noilla listoilla omassa sisäverkossa olevien koneiden tartuttaminen vaatii jo yrittämistä. Tämän ansiosta esim. Windows Defender on riittävä virustorjunta, kun suurin osa pöpöistä luultavasti jää jo palomuuriin. Näin se pitäisikin olla.


Saa kommenttoida, moittia kehua tai muuten antaa palautetta. :)
 
Liittynyt
09.03.2017
Viestejä
254
Emerging threatsin tiputtaisin pois. Suuret määrät false positive blokkeja kun malware c2 palvelimien hostaamisen takia esim OVHn ipt listalla jatkuvasti
 
Toggle Sidebar

Statistiikka

Viestiketjut
237 489
Viestejä
4 164 022
Jäsenet
70 415
Uusin jäsen
Toivokipina

Hinta.fi

Ylös Bottom