pfSense Anleitung

Verwenden Sie diese Anleitung, um Cybora in pfSense ueber URL Table Aliases einzubinden. In nativen pfSense-Umgebungen ist dies der direkteste Weg, einen externen IP-basierten Threat Feed zu verwenden und in Firewall-Regeln anzuwenden.

Was pfSense mit einem Cybora-Feed machen kann

  • pfSense kann entfernte IP-basierte Feeds in URL Table Aliases laden.
  • Der Alias kann dann in Firewall-Regeln ueberall dort verwendet werden, wo Network Aliases unterstuetzt werden.
  • Dieser native Workflow eignet sich am besten fuer IP-basierte Cybora-Feeds.
  • Native pfSense URL Table Aliases aktualisieren sich auf tagebasierter Grundlage und eignen sich daher eher fuer taegliche Feed-Abrufe als fuer sehr haeufige Updates.

Bevor Sie beginnen

  • Verwenden Sie eine pfSense-Version, die URL Table Aliases unterstuetzt.
  • Stellen Sie sicher, dass die Firewall Ihre Cybora-Feed-URL ueber HTTPS erreichen kann.
  • Verwenden Sie einen IP-basierten Cybora-Feed, da der native URL-Table-Alias-Workflow fuer entfernte IP-/Netzwerkdaten ausgelegt ist.
  • Halten Sie den Feed im Plain-Text-Format mit einer IP, einem Subnetz oder einem Bereich pro Zeile.

Alias erstellen

  1. Gehen Sie zu Firewall > Aliases und fuegen Sie einen neuen Alias hinzu.
  2. Geben Sie einen klaren Alias-Namen und eine Beschreibung ein.
  3. Setzen Sie Type auf URL Table (IPs).
  4. Fuegen Sie Ihre Cybora-Feed-URL in das URL-Feld ein.
  5. Setzen Sie das Update-Intervall. Bei nativen pfSense URL Table Aliases ist das Aktualisierungsintervall tagebasiert. Waehlen Sie einen Wert, der innerhalb Ihres Cybora-Plans bleibt, und fragen Sie den Feed nicht haeufiger ab als erlaubt. Innerhalb des erlaubten Intervalls ist nur eine Abfrage zulaessig. Zu haeufiges Polling kann dazu fuehren, dass der Feed blockiert wird.
  6. Speichern Sie den Alias und uebernehmen Sie die Aenderungen.

Alias in Firewall-Regeln anwenden

  1. Oeffnen Sie die Firewall-Regel, in der Sie die importierten Indikatoren durchsetzen moechten.
  2. Verwenden Sie den Cybora-Alias als Source oder Destination, je nach Policy-Design.
  3. Setzen Sie die Regelaktion so, dass passender Traffic wie gewuenscht blockiert oder verworfen wird.
  4. Aktivieren Sie Logging auf der Regel, damit Sie Treffer spaeter bestaetigen koennen.
  5. Uebernehmen Sie die Firewall-Aenderungen.

Validierung

  1. Oeffnen Sie den Alias und pruefen Sie, ob die entfernten Inhalte erfolgreich geladen wurden.
  2. Bestaetigen Sie, dass der Alias in der vorgesehenen Firewall-Regel erscheint.
  3. Pruefen Sie die Firewall-Logs, um zu bestaetigen, dass passender Traffic von der Regel blockiert wird, die den Alias referenziert.
  4. Falls noetig, pruefen Sie die Alias-Tabelleninhalte, um zu bestaetigen, dass die erwarteten Indikatoren vorhanden sind.
Zurück zu den Integrationen