DNS Domain Blacklisting mit Bind9

0

Zum Schutz der Clients in einem Netzwerk kann ein Proxy für die Webfilterung oder aber auch ein DNS-Server eingesetzt werden. Dsa Prinzip beim DNS Blacklisting ist, dass für alle die Domains, welcher geblockt sollen, auf dem eigenen DNS-Server jeweils eine Zone eingerichtet wird. Nachfolgend ist die Einrichtung sowie das spätere hinzufügen und entfernen von DNS Domains zur Blacklist anhand von Bind9 beschrieben.

Grundeinrichtung

Für die Grundeinrichtung sind drei Schritte notwendig. Einmal die Erstellung der DNS-Zone, das Anlegen der Blacklisten Datei sowie das Einbinden dieser in Bind9.

Um Domains zu Blacklisten wird eine DNS-Zone blacklisted.zones für alle später zu blacklistenden Domains erstellt, welche jedoch außer einem Eintrag für den Nameserver und einem TXT Eintrag zur manuellen Überprüfung nichts weiter enthält. Durch den Verzicht auf einen A- bzw. AAAA-Record wird sichergestellt, dass nicht unnötige Web Anfragen an die dort angegebenen Adresse geschickt werden.
Die Blacklist-Datei muss im Arbeitsverzeichnis von Bind9 angelegt werden. Dieses ist bei Debian /var/cache/bind und kann über die Option directory definiert werden. Die Datei kann auch an anderer Stelle abgelegt werden, dann muss nur später der gesamte Pfad zur Datei angegeben werden.

$TTL 3600
@       IN      SOA      ns.domain.tld. postmaster.domain.tld. (
                                2143       ; serial
                                7200       ; refresh (2 hour)
                                900        ; retry (15 minutes)
                                1209600    ; expire (2 weeks)
                                3600       ; minimum (1 hours)
                                );
        NS      ns.domain.tld.
        TXT     Domain is blocked!!

 

Anschließend wird die blacklisten Datei /etc/bind/blacklisted.domains angelegt. Für den Anfang kann auch direkt die erste Domain geblockt werden.

zone "sex.de" {type master; file "blacklisted.zones";};

Nun noch bind9 über die Datei /etc/bind/named.conf mitteilen, dass die Datei blacklist.domains verwendet werden soll und Bind9 neustarten

include "/etc/bind/blacklisted.domains";
service bind9 restart && tail -f /var/log/syslog

Domains hinzufügen / entfernen

Um das hinzufügen und entfernen von geblacklistenden Domains zu vereinfachen können in der Datei ~/.bashrc zwei Funktionen hinzugefügt werden. Einmal der Befehl adddomainblock, welcher mit dem Parameter der Domain diese zur Blacklist hinzufügt. Vorher jedoch sicherstellt, dass es diesen Eintrag nicht schon gibt. Denn sonst würde Bind9 den Neustart verweigern.

adddomainblock()
{
        if [ ! -z "$1" ] ; then
                echo Blocking domain $1 with bind
                sed "/"$1/d" -i /etc/bind/blacklisted.domains
                echo zone "$1" {type master; file "blacklisted.zones";}; >> /etc/bind/blacklisted.domains
        else
                echo "!! Need domain to handle"
        fi
}

Sowie ein Befehl zum entfernen einer Domain aus der Blacklist.

rmdomainblock()
{
        if [ ! -z "$1" ] ; then
                echo Unblock domain $1 from bind
                sed "/"$1/d" -i /etc/bind/blacklisted.domains
        else
                echo "!! Need domain to handle"
        fi
}

Beide Befehle beinhalten absichtlich keinen Neustart von Bind9, da andernfalls beim hinzufügen oder entfernen von mehreren Domains die Anzahl der Neustartes Bind9 aus dem Tritt bringen können.

Liste von Malware Domains

Unter malwaredomains.com gibt es eine Liste von Domainnamen, über welche Malware verteilt wird. Diese kann zum Beispiel direkt in die Blackliste von DNS importiert werden. Im Nachfolgenden Befehlen werden alle www. Suffix sowie IP Adressen herausgefiltert, da es mehr Sinn macht für die gesamte Domain eine DNS Zone zu erstellen und IP Adressen keine Domainnamen sind.

cd /tmp/
wget http://mirror2.malwaredomains.com/files/immortal_domains.txt

for i in $(cat immortal_domains.txt | sed s'/^www.//g'| grep -v -E '[0-9]{1,3}.[0-9]{1,3}.[0-9]{1,3}.[0-9]{1,3}'); do adddomainblock $i; done

rm immortal_domains.txt service

bind9 restart && tail -f /var/log/syslog

So wie diese Liste importiert wurde, können auch weitere Listen wie die Squid Blacklisten imporitert importiert werden.

Nachtrag vom 06.08.2015

Man kann über diesen Weg auch sehr gut die Daten-Sammelwut von Windows 10 blockieren, indem man die hier verfügbaren Domains aus der Hosts Datei blockiert.

Teilen.

Über den Autor

Seit der Ausbildung zum Fachinformatiker Systemintegration (2002-2005) bei der DaimlerChrysler AG, beruflich im Bereich der E-Mail Kommunikation (Exchange, Linux) sowie des ActiveDirectory, mit entsprechenden Zertifizierungen (MCSE 2003, MCITP Ent.-Admin 2008, MCSE 2012, LPIC 1-3) tätig. Abgeschlossenes Studium zum Master of Science der IT-Management an der FOM sowie zertifizierter Datenschutzbeauftragter. Aktuell im Projektmanagement tätig.

Antworten