Guida pfSense

Utilizza questa guida per integrare Cybora in pfSense tramite URL Table aliases. In pfSense nativo, questo e il modo piu diretto per consumare un feed di minacce esterno basato su IP e applicarlo nelle firewall rules.

Cosa puo fare pfSense con un feed Cybora

  • pfSense puo caricare feed IP remoti in URL Table aliases.
  • L’alias puo poi essere usato nelle firewall rules ovunque sia supportato un network alias.
  • Questo workflow nativo e piu adatto ai feed Cybora basati su IP.
  • I URL Table aliases nativi di pfSense si aggiornano con una cadenza basata sui giorni, quindi sono piu adatti a recuperi giornalieri che ad aggiornamenti molto frequenti.

Prima di iniziare

  • Usa una versione di pfSense che supporti URL Table aliases.
  • Assicurati che il firewall possa raggiungere la URL del feed Cybora tramite HTTPS.
  • Usa un feed Cybora basato su IP, perche il workflow nativo degli URL Table aliases e progettato per dati remoti IP/rete.
  • Mantieni il feed in plain text con un IP, subnet o range per riga.

Creare l’alias

  1. Vai su Firewall > Aliases e aggiungi un nuovo alias.
  2. Inserisci un nome alias chiaro e una descrizione.
  3. Imposta Type su URL Table (IPs).
  4. Incolla la URL del feed Cybora nel campo URL.
  5. Imposta l’intervallo di aggiornamento. Con gli URL Table aliases nativi di pfSense, la frequenza di refresh e giornaliera. Scegli un valore compatibile con il tuo piano Cybora e non interrogare il feed piu spesso del consentito. E consentita una sola richiesta nell’intervallo permesso. Un polling eccessivo puo causare il blocco del feed.
  6. Salva e applica l’alias.

Applicare l’alias nelle firewall rules

  1. Apri la firewall rule in cui vuoi applicare gli indicatori importati.
  2. Usa l’alias Cybora come source o destination, in base al design della tua policy.
  3. Imposta l’azione della regola in modo che il traffico corrispondente venga bloccato o rifiutato come previsto.
  4. Abilita il logging sulla regola per confermare i match in seguito.
  5. Applica le modifiche del firewall.

Verifica

  1. Apri l’alias e conferma che il contenuto remoto sia stato recuperato correttamente.
  2. Verifica che l’alias compaia nella firewall rule prevista.
  3. Controlla i firewall logs per confermare che il traffico corrispondente venga bloccato dalla regola che referenzia l’alias.
  4. Se necessario, ispeziona il contenuto della tabella alias per confermare che gli indicatori attesi siano presenti.

Ulteriori letture

Torna alle integrazioni