wirksame DNS-Block-Listen für uBlock Origin, piHole, pfSense

Alles rund um sicherheitsrelevante Fragen und Probleme.
Antworten
BenutzerGa4gooPh

wirksame DNS-Block-Listen für uBlock Origin, piHole, pfSense

Beitrag von BenutzerGa4gooPh » 26.07.2018 10:49:08

Host:
Debian Stretch, Firefox ESR 52.9.0, uBlock Origin 1.16.14: alle vordefinierten Listen aktiviert
keine weiteren Addons, keine Scriptblocker
keine Erweiterten Einstellungen von uBlock Origin (Punkt "Erfahrene Nutzer" mit dynamischen Filtern für Websites, Scripte, Frames von Dritten etc, da Experiment/Vergleich statischer Listen

zentrale Firewall mit pfSense 2.4.3-RELEASE-p1 (amd64) und pfBlockerNG-devel 2.2.1, iterativer Resolver unbound
verwendete DNS-Block-Listen für pfBlockerNG:

Code: Alles auswählen

http://winhelp2002.mvps.org/hosts.txt
http://someonewhocares.org/hosts/hosts
https://s3.amazonaws.com/lists.disconnect.me/simple_malvertising.txt
https://s3.amazonaws.com/lists.disconnect.me/simple_malware.txt
https://adaway.org/hosts.txt
https://s3.amazonaws.com/lists.disconnect.me/simple_ad.txt
https://s3.amazonaws.com/lists.disconnect.me/simple_tracking.txt
https://hosts-file.net/ad_servers.txt
http://sysctl.org/cameleon/hosts
https://www.squidblacklist.org/downloads/dg-ads.acl
https://pgl.yoyo.org/adservers/serverlist.php?hostformat=nohtml
zuzüglich Easylist komplett (alle Kategorien) vgl. https://easylist.to/

Experiment:
auf folgenden Websites etwas surfen und Logs von pfBlockerNG auswerten:
https://www.bild.de
https://www.huffingtonpost.com/section/politics
https://www.huffingtonpost.de/
https://www.heise.de/
https://www.heise.de/tp/politik/
https://www.sueddeutsche.de/
http://www.spiegel.de/
https://www.amazon.de/
https://www.ebay.de
https://www.google.de
https://www.chip.de
https://www.welt.de/
https://www.taz.de/
https://www.focus.de/
sowie englischsprachige Webseiten, Vorschläge von https://pi-hole.net/pages-to-test-ad-bl ... rformance/
(vorher Logs von pfBlockerNG gelöscht und uBlock Origin aktualisiert)

Ziele:
Verifikatiion von uBlockOrigin mit vorkonfigurierten Listen gegen anderen DNS-Blocker
Ermittlung, ob und welche Listen zum manuellen Nachtrag sinnvoll sind (Weitere Treffer trotz aktivem uBlock Origin?)

Logs: pastebin/?mode=view&s=40393
(D_Me steht für Liste disconnect.me)

Auswertung:
Es ist sinnvoll, zumindest die Listen, die mittels pfBlockerNG "angeschlagen" haben, manuell in uBlockOrigin nachzutragen. Siehe Logs und
uBlock Origin -> Einstellungen -> Filterlisten -> benutzerdefiniert (ganz unten)
Eine Redundanz der Listen ist auch nicht falsch, m. E. beseitigt uBlock Origin Duplikate, also keine Performance-Einschränkungen.

Da ich mittels pFBlockerNG auf zentraler FW auch mein Android-Tablet beruhigen kann (Android-FF funktioniert stabil) nutze ich das.
Weitere Vorteile:
einmalige, zentrale Einrichtung für mehrere Hosts im Netzwerk, DNS-Blocking nicht so einfach umgehbar durch Nutzer (okay, IP-Eingaben)
Möglichkeit von (Geo-) IP-Blocking (auch nach Ländern/Regionen) usw., granular für verschiedene Firewall-Interfaces (VLANs) möglich, durch Firewallregeln mit Aliases für IPs m. E. keine Umgehung durch Nutzer möglich

allgemeine Hinweise:
- Man sollte sinnvolle DNS-Block-Listen auch bei den piHole-Entwicklern "abgucken". Es existieren viele Malware-Blocklisten (IP-Adressen-Basis), die eher für Serverbetreiber incoming nützlich sind oder für Firmen (Familien), die unerwünschtes Surfverhalten der Mitarbeiter (outgoing) verhindern wollen. Im Heimnetz mit Selbstdisziplin sind nur spezielle Listen erforderlich.
https://www.kuketz-blog.de/pi-hole-schw ... -pi-teil1/
- uBlock Origin (und kein anderer Adblocker) "schluckt" alle Formate von Blockerlisten

Im nachfolgenden Experiment werde ich prüfen, welche Listen aus o. g. Auswahl (in Codetags) überhaupt sinnvoll sind, d. h. ohne aktivem uBlockOrigin "anschlagen". So wegen manuellem Eintrag in uBlock Origin bezüglich sinnvoller Redundanz vs. vorkonfigurierter Listen.

Edit: Weitere Test-Websites ergänzt.
Zuletzt geändert von BenutzerGa4gooPh am 01.08.2018 10:43:15, insgesamt 10-mal geändert.

BenutzerGa4gooPh

Re: uBlockOrigin, Verifikation und manuelle Erweiterung (Listen)

Beitrag von BenutzerGa4gooPh » 26.07.2018 12:20:54

Die Logs werden sehr lang, also Zuammenfassung des 2. Experimentes (Surfen über genannte Websites ohne uBlock Origin):
Liste Verworfene Pakete
DNSBL_easylist 1294
DNSBL_Dan_Pollock 28
DNSBL_D_Me_Malv 103
DNSBL_D_Me_Malw 0
DNSBL_ADs 570
DNSBL_winhelp2002 121
DNSBL_D_Me_Malv: https://s3.amazonaws.com/lists.disconne ... tising.txt
DNSBL_D_Me_Malw: https://s3.amazonaws.com/lists.disconne ... alware.txt -> kein Treffer

DNSBL_ADs ist ein Sammelkurzzeichen für die Listen:
https://adaway.org/hosts.txt
https://s3.amazonaws.com/lists.disconne ... ple_ad.txt
https://s3.amazonaws.com/lists.disconne ... acking.txt
https://hosts-file.net/ad_servers.txt
http://sysctl.org/cameleon/hosts
https://www.squidblacklist.org/downloads/dg-ads.acl
https://pgl.yoyo.org/adservers/serverli ... mat=nohtml
Der Rest erklärt sich wohl selbst gegenüber den im 1. Beitrag genannten Listen.

Schlussfolgerung:
Alle im 1. Beitrag genannten Listen für DNS-Blocking geeignet und könnten in uBlockOrigin manuell nachgetragen werden - so nicht bereits vorhanden und im Format kompatibel. (Malware hatte ich wohl nicht angesurft, deshalb eine Liste ohne Treffer.)

Wenn jemand in ublock Origin Listen nachträgt, könnte er/sie zu Erfahrungen schreiben. Einige Listen sind vorhanden, einige dürften nicht kompatibel sein. Ich persönlich mache den Spaß lieber zentral auf Firewall. Kann mir für "Notfälle" auch ein zusätzliches, unbeschränktes Test-IF an der FW einrichten. :wink:

Anmerkung/Semi-OT:
Bei Interesse, Firewall-Editionen wie pfSense, OPNSense, IPFire ohne Hardware zu testen, bietet sich Virtualisierung an. Es genügt ein WLAN- oder Ethernetport am PC oder Laptop (Hostsystem). Die Firewall-VM wird WAN-seitig auf das Host-IF "gebridget" und LAN-seitig konfiguriert man ein virtuelles IF zu einer 2. VM, die einen Testhost im LAN spielt.
Zugriff Gast -> andere Gäste: https://www.thomas-krenn.com/de/wiki/Ne ... VirtualBox
(Internal Networking als LAN-Simulation zwischen den VMs kommt der Realität wohl am nächsten.)
Vom Hostsystem (bridged am WAN-IF der virtuellen FW) könnte man sogar versuchen, die FW-VM "extern" anzugreifen, zu scannen etc. :wink:

BenutzerGa4gooPh

Re: uBlockOrigin, Verifikation und manuelle Erweiterung (Listen)

Beitrag von BenutzerGa4gooPh » 31.07.2018 13:26:11

Ich habe nun obige Sammeleinträge von Listen vereinzelt, weitere Listen hinzugefügt und Tests mit weiteren trackenden - auch englischprachigen Websites nach Vorschlag der pi-Hole-Website durchgeführt. Siehe dazu editierten 1. Beitrag.
ohne uBlock Origin, Ergebnis von pFBlockerNG:
Listenkurzzeichen / count / verworfene_Pakete
DNSBL_D_Me_Malw 0 0
DNSBL_D_Me_Tracker 22 0
DNSBL_Zeus_Abuse_BD 45 0
DNSBL_Yoyo 213 677
DNSBL_Kowabit_Fritzbox 248 1516
DNSBL_Adaway 400 0
DNSBL_URL_Shorteners 534 0
DNSBL_D_Me_Ads 598 35
DNSBL_D_Me_Malv 750 55
DNSBL_SquidBlackList_ADs 2,032 85
DNSBL_Cameleon 6,256 59
DNSBL_Dan_Pollock 10,965 68
DNSBL_winhelp2002 11,664 296
DNSBL_BBcan177 15,943 0
DNSBL_hostsfile_org 23,279 13
DNSBL_easylist_all 30,569 4302
DNSBL_hpHosts_ATS 39,063 2359
DNSBL_hpHosts_all_Cat 550,325 21
Damit sollte man wenigstens die Listen mit einer Zahl ungleich Null am Ende haben. Disconnect.Me-Malware wurde nicht korrekt importiert.
DNSBL_D_Me_Malw 0 0
Die URLs der Listen mit Treffern (verworfene Pakete) lauten:
https://pgl.yoyo.org/adservers/serverli ... mat=nohtml
https://blocklist.kowabit.one/fritzboxliste.txt
https://s3.amazonaws.com/lists.disconne ... ple_ad.txt
https://s3.amazonaws.com/lists.disconne ... tising.txt
https://www.squidblacklist.org/downloads/dg-ads.acl
http://sysctl.org/cameleon/hosts
http://someonewhocares.org/hosts/hosts (Dan Pollock)
http://winhelp2002.mvps.org/hosts.txt
http://www.hostsfile.org/Downloads/hosts.txt (thematische Zensur? Anmerkung unten.)
https://easylist-downloads.adblockplus. ... emhide.txt
https://easylist-downloads.adblockplus. ... rivacy.txt
https://notabug.org/latvian-list/adbloc ... n-list.txt (easylist germany)
-> Gibt noch mehr landespezifische easylists, jeweils Kategorien AdServers und AdServerPopup. Ich hatte für die Experimente alle Listen aktiviert.
https://hosts-file.net/ad_servers.txt (hpHosts beispielhaft)
-> Gibt noch mehr hpHosts-Listen, ich hatte alle verwendet. Vgl. https://hosts-file.net/?s=Download

Anmerkungen:

EasyLists werden zuerst bearbeitet, dann die anderen Listen.

hostsfile_org http://www.hostsfile.org/Downloads/hosts.txt verbietet www.youporn.com und www.pornhub.com - wirkt allerdings auch bei Trackern/Testwebsites laut 1. Beitrag. Nur mit wenigen Websites getestet, deshalb wenig Treffer.
Thematische Zensur? Wer unbedingt Schmuddelseiten benötigt, kann eine persönliche Whitelist erstellen.

Die Website https://wally3k.github.io/ wird von der Liste EasyList_Hebrew gesperrt.
Hier empfohlen: https://forum.kuketz-blog.de/viewtopic.php?t=475
Kuketz' eigener Blog https://www.kuketz-blog.de/adblocking-g ... n-pi-hole/ verweist auf die funktionierende Website https://firebog.net/

Liste mit URL-Shorteners: https://mirror1.malwaredomains.com/file ... teners.txt

Ublock Origin kann per erweiterten Einstellungen (Haken bei "Ich bin ein erfahrener Anwender" + Pflichtlektüre) u. a. Fremdskripte und -Frames sperren. Einstellungen dann per Klick auf Symbol im Browser. Sollte man mal probiert und vorher Doku gelesen haben. :wink:
Zuletzt geändert von BenutzerGa4gooPh am 01.08.2018 10:55:25, insgesamt 1-mal geändert.

BenutzerGa4gooPh

Re: wirksame DNS-Block-Listen für uBlock Origin, piHole, pfSense

Beitrag von BenutzerGa4gooPh » 01.08.2018 10:51:54

Titel wegen besserer "historischer" Auffindbarkeit geändert. Letzten Beitrag stark korrigiert/editiert/zusammengefasst.

Weiterer Test: Shallalist und UT1 (Universität Tolouse 1 Capitole UT1), nach Surfen über Testseiten:
DNSBL_Shallalist 39,789 723
DNSBL_UT1 146,969 32
(Easylists und http://www.hostsfile.org/Downloads/hosts.txt vorher testweise (temporär wegen Ermöglichung von Treffern der neuen Listen) deaktiviert. Von Shallalist und UT1 nur einige Kategorien aktiviert (Werbung, Tracker, Kurz-URLs, Spyware, Malware). Top-Level-Domain-Auswertung des pfBlockerNG/pfSense von Anfang an (vor allen Tests) aktiviert.)
Shallalist und UT1 sind demzufolge ebenfalls Empfehlung. Duplikate fassen die DNS-Blocker zusammen.

Damit ist mein DNS-Blocker einigermaßen fertig. Facebook und Google/*.1e100.net werde ich in persönlicher Blacklist noch sperren, von Google nur die Suchmaschine per Whitelist zulassen, Listen mit 0 Treffern nach einiger Zeit der Beobachtung rauswerfen. Und einige für Malware berühmte Länder werde ich per Geo-IP-Tool von pfBlockerNG sperren (basierend auf IP-Adressbereichen und Firewall-Rules outgoing mit Alias für mehrere IP-Adressen/-Subnets).

Danke für's Lesen, hoffe, nicht nur mir geholfen zu haben.

Wäre im Interesse der Allgemeinheit, wenn andere Nutzer von DNS-Blockern (egal welche) schreiben, welche weiteren, sinnvollen Listen (also nur mit Treffern :wink: ) sie benutzen.

Huo
Beiträge: 605
Registriert: 26.11.2017 14:03:31
Wohnort: Freiburg

Re: uBlockOrigin, Verifikation und manuelle Erweiterung (Listen)

Beitrag von Huo » 02.08.2018 00:07:48

Jana66 hat geschrieben: ↑ zum Beitrag ↑
31.07.2018 13:26:11
hostsfile_org http://www.hostsfile.org/Downloads/hosts.txt verbietet www.youporn.com und www.pornhub.com - wirkt allerdings auch bei Trackern/Testwebsites laut 1. Beitrag. Nur mit wenigen Websites getestet, deshalb wenig Treffer.
Für die Pornoblockade vorzuziehen wäre die umfangreichere und aktuell besser gepflegte Liste https://raw.githubusercontent.com/Steve ... porn/hosts. Riesig, aber leider seit über einem Jahr nicht mehr aktualisiert, ist https://raw.githubusercontent.com/chadm ... n_all.list.

BenutzerGa4gooPh

Re: wirksame DNS-Block-Listen für uBlock Origin, piHole, pfSense

Beitrag von BenutzerGa4gooPh » 02.08.2018 11:20:05

Huo hat geschrieben: ↑ zum Beitrag ↑
02.08.2018 00:07:48
Für die Pornoblockade vorzuziehen wäre die umfangreichere und aktuell besser gepflegte Liste https://raw.githubusercontent.com/Steve ... porn/hosts.
Habe ich kurz recherchiert. Steven Black fasst eventuell nur andere Listen (Originale) zusammen: https://github.com/WaLLy3K/wally3k.github.io/issues/11 und https://github.com/StevenBlack/hosts
Technisch halte ich DNS-Blocker zur Disziplinierung von Nutzern - auf gut Deutsch Zensur - für unzureichend. Gibt ja noch IP-Adressen, VPNs und neuerdings DNS over HTTPS. Zensursula ist mit ihren Stoppschildern trotz Lügen (Marktanteil/Umsatz KiPo in DE) grandios gescheitert. Ich halte jedoch für gut möglich, dass per Porno-Websites viel Malware verteilt wird, also freiwillige Selbstbeschränkung oder Whitelisting weniger Websites sinnvoll.

Allerdings können oder sollten (?) Firmen gewisse Themen im Sinne von Auslastung der Arbeitszeit wohl auch per DNS blocken. Ein Warnseite ("Stoppschild", richtiger oder falscher :mrgreen: Log-Hinweis) bei Aufruf bestimmter Seiten schreckt wohl die Mehrzahl der Arbeitnehmer ab. Der Schaden für Kinder durch Pornos, Gewalt, Werbung und andere Möglichkeiten des Konsums (PCs bei Freunden, Smartphones, technische Umgehung von Sperren) oder einfach Aufklärung durch Eltern mit Zugeständnis von Freiheiten wäre viel offtopic. :wink:

Die Shallalist und UT1 sind für Kategorie-Blocking (nicht nur Porno) vorgesehen, hilft allerdings nur, wenn der verwendete DNS-Blocker (piHole, pfBlockerNG) nicht nur dort aufgeführte Domains - sondern dort nicht aufgeführte Subdomains eigenständig sperrt. Notwendigkeit selbst getestet.
Hinweis für pFBlockNG:
Note: To achieve the full potential of Category blocking, the TLD option should be utilized which will allow blocking of all sub-domains.
TLD-Option speziell für pfSense/pfBlockNG, also weder standardisiert noch allgemein üblich. Klingt auch bissel irreführend.
Zuletzt geändert von BenutzerGa4gooPh am 02.08.2018 11:42:32, insgesamt 1-mal geändert.

Benutzeravatar
Lord_Carlos
Beiträge: 5578
Registriert: 30.04.2006 17:58:52
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Dänemark

Re: wirksame DNS-Block-Listen für uBlock Origin, piHole, pfSense

Beitrag von Lord_Carlos » 02.08.2018 11:41:12

Jana66 hat geschrieben: ↑ zum Beitrag ↑
02.08.2018 11:20:05
Huo hat geschrieben: ↑ zum Beitrag ↑
02.08.2018 00:07:48
Für die Pornoblockade vorzuziehen wäre die umfangreichere und aktuell besser gepflegte Liste https://raw.githubusercontent.com/Steve ... porn/hosts.
Habe ich kurz recherchiert.
So so, gepflegte Pornoliste "recherchiert" hast du ;-)

Code: Alles auswählen

╔═╗┬ ┬┌─┐┌┬┐┌─┐┌┬┐╔╦╗
╚═╗└┬┘└─┐ │ ├┤ │││ ║║
╚═╝ ┴ └─┘ ┴ └─┘┴ ┴═╩╝ rockt das Forum!

BenutzerGa4gooPh

Re: wirksame DNS-Block-Listen für uBlock Origin, piHole, pfSense

Beitrag von BenutzerGa4gooPh » 02.08.2018 11:45:11

Lord_Carlos hat geschrieben: ↑ zum Beitrag ↑
02.08.2018 11:41:12
So so, gepflegte Pornoliste "recherchiert" hast du ;-)
Bildzeitung, Focus, Huffingtonpost, Chip notgedrungen auch. Nun kenne ich fast alle Niederungen der menschlichen Seele, muss mich nur noch in dein Riesen-NAS einhacken ... :mrgreen:

BenutzerGa4gooPh

Re: wirksame DNS-Block-Listen für uBlock Origin, piHole, pfSense

Beitrag von BenutzerGa4gooPh » 08.08.2018 09:37:55

Adaway ist m. E. Schlangenöl, nie Treffer. Habe einige Listen von PfBlockerNG nun vorrangig behandeln lassen (deren Einträge primär übernommen), über o. g. Testseiten einschließlich englischsprachiger gesurft. Englischsprachige Testseiten nach Vorschlägen von https://pi-hole.net/pages-to-test-ad-bl ... rformance/

Der Server s3.amazonaws.com von disconnect.me wird "eigenartigerweise" :wink: von anderen DNSBL-Listen gesperrt. (Sperre wurde von pfBlockerNG umgangen, Import erfolgreich lt. Logs)
https://s3.amazonaws.com/lists.disconne ... acking.txt
https://s3.amazonaws.com/lists.disconne ... ple_ad.txt
Die Listen sind (absichtlich?) recht kurz und erzeugen wenige Treffer.

Die von Herrn Kuketz empfohlenen Mobile-Listen werden von pfBlockerNG fehlerhaft importiert (kaum Datensätze), für piHole / uBlock Origin mag es funktionieren.
[Mobile] https://raw.githubusercontent.com/Adgua ... ervers.txt
[Mobile] https://raw.githubusercontent.com/Adgua ... pyware.txt
Vgl. a. https://www.kuketz-blog.de/adblocking-s ... ureichend/
(Könnte man auch selber anpassen, "umscripten".)

Die Liste von Steven Black (ohne Zensur) nutze ich wegen getesteter Wirksamkeit auch. Duplikate gegenüber anderen Listen werden beseitigt und stören die Funktion von DNS-Blockern nicht. Dauert eben der bei mir wöchentliche, nächtliche Import mit Duplikatauflösung und TLD-Ermittlung 2 Minuten länger. Nur während Restart von unbound besteht Funktionsausfall für etwa 30 Sekunden.
https://raw.githubusercontent.com/Steve ... ster/hosts

Der Import-Log (logischerweise ohne Treffer aber mit Duplikatauflösung, TLD-Feature, Whitelist) dürfte interessant sein: pastebin/?mode=view&s=40416
Manche Listen/DNSBL-Feeds sollten nach den Erkenntnissen des Threads und dem Logauszug wegen (geplanter?) Obsoleszenz entfernt werden. Und ja, ich habe Whitelisting mit "speziellen" Hosts erfolgreich getestet. :oops: Zusätzliches Whitelisting vernünftiger Webseiten ist im laufenden Betrieb erforderlich, derzeit habe ich Overblocking einiger sinnvoller Websites.

Code: Alles auswählen

apt update
zeigte mit aktivem pfBlockerNG Fehler (clearsign), musste die Quellenliste leicht ändern, ftp:
deb http://ftp.de.debian.org/debian-security stretch/updates main contrib non-free
(vs deb http://security.debian.org/debian-security stretch/updates main contrib non-free mit clearsign Fehler)
Fehlerfrei:

Code: Alles auswählen

deb http://ftp.de.debian.org/debian/ stretch main non-free contrib
deb http://ftp.de.debian.org/debian-security stretch/updates main contrib non-free
deb http://ftp.de.debian.org/debian/ stretch-updates main contrib non-free
(Whitelisting von debian.org unwirksam - weil von keiner Liste gesperrt.)

Antworten