Guide pfSense

Utilisez ce guide pour integrer Cybora dans pfSense via les URL Table aliases. Dans un environnement pfSense natif, c’est la facon la plus directe de consommer un flux de menaces externe base sur des IP et de l’appliquer dans les firewall rules.

Ce que pfSense peut faire avec un flux Cybora

  • pfSense peut charger des flux IP distants dans des URL Table aliases.
  • L’alias peut ensuite etre utilise dans les firewall rules partout ou un network alias est pris en charge.
  • Ce workflow natif convient le mieux aux flux Cybora bases sur des IP.
  • Les URL Table aliases natifs de pfSense se rafraichissent sur une cadence basee sur des jours, ils conviennent donc davantage a des recuperations quotidiennes qu’a des mises a jour tres frequentes.

Avant de commencer

  • Utilisez une version de pfSense qui prend en charge les URL Table aliases.
  • Assurez-vous que le pare-feu peut atteindre l’URL du flux Cybora via HTTPS.
  • Utilisez un flux Cybora base sur des IP, car le workflow natif des URL Table aliases est concu pour des donnees IP/reseau distantes.
  • Le flux doit rester en plain text avec une IP, un subnet ou une range par ligne.

Creer l’alias

  1. Allez dans Firewall > Aliases et ajoutez un nouvel alias.
  2. Saisissez un nom d’alias clair et une description.
  3. Definissez Type sur URL Table (IPs).
  4. Collez l’URL du flux Cybora dans le champ URL.
  5. Definissez l’intervalle de mise a jour. Avec les URL Table aliases natifs de pfSense, la cadence de rafraichissement est basee sur des jours. Choisissez une valeur compatible avec votre plan Cybora et n’interrogez pas le flux plus souvent que permis. Une seule requete est autorisee dans l’intervalle permis. Des interrogations trop frequentes peuvent entrainer le blocage du flux.
  6. Enregistrez et appliquez l’alias.

Appliquer l’alias dans les firewall rules

  1. Ouvrez la firewall rule dans laquelle vous souhaitez appliquer les indicateurs importes.
  2. Utilisez l’alias Cybora comme source ou destination, selon la conception de votre policy.
  3. Definissez l’action de la regle afin que le trafic correspondant soit bloque ou rejete selon votre besoin.
  4. Activez la journalisation sur la regle afin de confirmer les correspondances ulterieurement.
  5. Appliquez les modifications du pare-feu.

Validation

  1. Ouvrez l’alias et confirmez que le contenu distant a ete recupere correctement.
  2. Verifiez que l’alias apparait dans la firewall rule prevue.
  3. Consultez les firewall logs pour confirmer que le trafic correspondant est bloque par la regle qui reference l’alias.
  4. Si necessaire, inspectez le contenu de la table d’alias pour confirmer que les indicateurs attendus sont presents.

Liens utiles

Retour aux integrations