Guia de pfSense

Utilice esta guia para integrar Cybora en pfSense mediante URL Table aliases. En pfSense nativo, esta es la forma mas directa de consumir un feed de amenazas externo basado en IP y aplicarlo en las firewall rules.

Lo que pfSense puede hacer con un feed de Cybora

  • pfSense puede cargar feeds IP remotos en URL Table aliases.
  • El alias puede utilizarse despues en las firewall rules en cualquier lugar donde se admita un network alias.
  • Este flujo nativo funciona mejor con feeds de Cybora basados en IP.
  • Los URL Table aliases nativos de pfSense se actualizan con una cadencia basada en dias, por lo que estan mas orientados a recuperaciones diarias que a actualizaciones muy frecuentes.

Antes de empezar

  • Utilice una version de pfSense que admita URL Table aliases.
  • Asegurese de que el firewall puede acceder a la URL de su feed de Cybora mediante HTTPS.
  • Utilice un feed de Cybora basado en IP, ya que el flujo nativo de URL Table aliases esta disenado para datos remotos de IP/red.
  • Mantenga el feed en plain text con una IP, subnet o range por linea.

Crear el alias

  1. Vaya a Firewall > Aliases y agregue un nuevo alias.
  2. Introduzca un nombre de alias claro y una descripcion.
  3. Configure Type como URL Table (IPs).
  4. Pegue la URL de su feed de Cybora en el campo URL.
  5. Configure el intervalo de actualizacion. En los URL Table aliases nativos de pfSense, la cadencia de refresco es diaria. Elija un valor que se mantenga dentro de su plan de Cybora y no consulte el feed con mas frecuencia de la permitida. Solo se permite una solicitud dentro del intervalo autorizado. Un polling excesivo puede hacer que el feed sea bloqueado.
  6. Guarde y aplique el alias.

Aplicar el alias en firewall rules

  1. Abra la firewall rule donde quiera aplicar los indicadores importados.
  2. Utilice el alias de Cybora como source o destination, segun el diseno de su policy.
  3. Configure la accion de la regla para que el trafico coincidente sea bloqueado o rechazado segun corresponda.
  4. Habilite logging en la regla para confirmar las coincidencias posteriormente.
  5. Aplique los cambios del firewall.

Validacion

  1. Abra el alias y confirme que el contenido remoto se ha obtenido correctamente.
  2. Verifique que el alias aparece en la firewall rule prevista.
  3. Revise los registros del firewall para confirmar que el trafico coincidente esta siendo bloqueado por la regla que referencia el alias.
  4. Si es necesario, inspeccione el contenido de la tabla del alias para confirmar que estan presentes los indicadores esperados.

Lecturas adicionales

Volver a Integraciones