Guia de OPNsense

Utilice esta guia para integrar Cybora en OPNsense mediante aliases nativos del firewall. En OPNsense, el flujo nativo mas limpio consiste en consumir Cybora como un URL Table alias basado en IP y luego usar ese alias en las reglas del firewall.

Lo que OPNsense puede hacer con un feed de Cybora

  • OPNsense puede cargar feeds IP remotos en un URL Table alias y mantener el alias actualizado automaticamente.
  • El alias importado puede utilizarse despues en las reglas del firewall en cualquier lugar donde normalmente usaria un alias de host o de red.
  • Este flujo nativo es el mas adecuado para feeds de Cybora basados en IP. Si desea aplicar enforcement sobre domains o URLs, normalmente necesitara controles adicionales a nivel DNS o web.

Antes de empezar

  • Utilice una version de OPNsense que admita Firewall > Aliases y URL Table aliases.
  • Asegurese de que el firewall puede acceder a la URL de su feed de Cybora mediante HTTPS.
  • Utilice un feed de Cybora basado en IP para el flujo nativo de alias en OPNsense.
  • El feed remoto debe permanecer en plain text con una IP, subnet o range por linea.

Crear el alias

  1. Vaya a Firewall > Aliases y agregue un nuevo alias.
  2. Introduzca un nombre de alias claro y una descripcion.
  3. Configure el tipo de alias como URL Tables (IPs).
  4. Pegue la URL de su feed de Cybora en el campo content.
  5. Configure la Refresh frequency lo mas ajustada posible a su plan de Cybora. No consulte el feed con mayor frecuencia de la permitida por su plan. Solo se permite una solicitud dentro del intervalo autorizado. Un polling excesivo puede hacer que el feed sea bloqueado.
  6. Guarde el alias y aplique los cambios.

Aplicar el alias en la policy

  1. Abra la regla del firewall donde desea bloquear o hacer match con los indicadores importados.
  2. Use el alias de Cybora como source o destination, segun el diseno de su policy.
  3. Configure la accion como block, reject u otra accion adecuada para su modelo de policy.
  4. Habilite logging en la regla para confirmar las coincidencias en el trafico en vivo.
  5. Aplique la configuracion actualizada del firewall.

Validacion

  1. Vaya a Firewall > Diagnostics > Aliases e inspeccione el contenido cargado del alias.
  2. Confirme que Last updated cambia despues de que el alias se actualiza.
  3. Use Find references o los registros en vivo del firewall para verificar que el alias esta siendo utilizado por las reglas previstas.
  4. Pruebe con trafico conocido que deba coincidir y confirme que la regla se comporta como se espera.

Lecturas adicionales

Volver al inicio