Sigamos hablando de las opciones que tenemos con OpnSense y el servicio de Unbound DNS, hay unos secretos escondidos que vamos a escudriñar.
Uno de los temas mas comentados y re-preguntados en mi experiencia es ¿Como puedo bloquear Redes Sociales? Y mas cuando llegan por primera vez a el mundo de firewalls, quiero creer que es lo mismo en cualquier producto tanto OpenSource como Comercial.
Esto lo menciono por que pertenezco a distintos grupos tecnicos donde compartimos ideas, nos apoyamos unos con otros, discutimos temas relevantes del producto con la finalidad de aprovechar al maximo el producto.
Regresemos a la re-repreguntada.
¿Como Puedo Bloquear Redes Sociales?
Esta es una solucion, no definitiva pero es otra capa mas de seguridad disponible en OpnSense usando el servicio de Unbound DNS, existe una opcion llamada ‘Overrides’, veamos la seccion en la siguiente imagen.
Si observamos la imagen, tenemos 2 opciones: Host y Aliases.
Para llevar a cabo bloqueos de destinos como el dominio de una red social llamese facebook, twitter, instagram, etc, etc. Vamos a usar la opcion ‘Host‘. Aqui no existe la opcion de indicarle “Bloquea Todas las Redes Sociales” como algunos productos comerciales lo manejan, que con unos clicks y listo, se encarga de hacerlo y nosotros a rascarnos el ombligo, claro esta, por esta simple tarea esos productos te cobran anualmente una licencia, asi te puedes seguir rascandote el ombligo :).
Pero aqui estamos hablando de un producto ‘OpenSource‘, asi que no tenemos esas bondades y el camino va hacer mas largo para cumplir el objetivo.
La opcion de ‘Host’ es la clave, lo que esta funcion hace es muy simple, sobre-escribe la respuesta del DNS de los destinos registrados antes de enviarsela a el cliente. Pero como siempre digo, ahi que embarrarnos las manos con un ejercisio simple y se entendera mucho mejor lo anterior.
Ahorita en la red LAN, todos puedes entrar a cualquier destino.
Consultas a el DNS
Vamos revisando que nos devuelve el DNS directo en los clientes.
Podemos observar que el DNS esta resolviendo correctamente, obtiene como respuesta el IP a cargo del dominio 'facebook.com', entonces el cliente, va y consulta a ese IP e inicia su viaje para acceder a ese destino no deseado, aqui viene el truco.
Sobre-Escribiendo Resultados del DNS
Vamos a cambiar la respuesta que el DNS que en este caso es OpnSense para que le entregue IP falso a el cliente y este no logre localizar a el destino no deseado, sigamos los siguientes pasos.
Ya que salvan el nuevo registro, en la pantalla inicial(ver imagen 1) aplican los cambios, importante.
Vamos a volver a consultar de nuevo con el cliente, pero antes de, vamos a limpiar el cache del DNS y re-consultamos, con este comando.
ipconfig /flushdns
De nuevo consultamos el destino no deseado.
Ahora nos indica el DNS que si el cliente desea consultar informacion del dominio ‘facebook.com‘, que busque a ‘127.0.0.2‘, un IP no ruteable y aparte…No Existe, con esto automaticamente, no habra quien responda esa peticion y automaticamente, no podra navegar hacia ese destino. Veamos el resultado, antes de, les recomiendo limpiar los caches de los navagadores de sus clientes, nos pueden mentir.
Ahi tenemos el resultado, ningun usuario que consulte a facebook.com podra accederlo.
Mucho cuidado, recuerden que para que esto funcione, el DNS debe ser OpnSense con el servicio de Unbound DNS, porque luego salen que usan los de google, ya he visto estas novelas.
Validen con todos los navegadores, sus pruebas directas con el DNS, pero asi es como podemos sacarle provecho a esta funcion del “Unbound DNS“, cualquier destino que gusten bloquear, asi pueden atacarlo, como les comente otra capa mas de seguridad que podemos agregar a nuestra red para protegerla.
Pueden ir agregando tantos dominios gusten, en otra parte del articulo hablaremos de las famosas DNSBL, saludos.
