firewall.

pfsense
Con la etiqueta firewall.pfsense.type se marcan los logs del firewall pfsense. pfSense es un firewall open source basado en FreeBSD. Es posible configurar pfSense para que reporte sus logs a un servidor syslog remoto. Desde el interfaz web de gestin solo se puede especificar el servidor remoto, no es posible ni especificar puerto, ni protocolo, ni etiquetar el log en origen. Debido a que pfsense solo permite enviar los logs al puerto estandar de syslog (514/udp); para integrar estos logs ser necesario instalar un relay inhouse y definir una regla que escuche en ese puerto. Esta regla adems se encargar de etiquetar los logs correctamente como firewall.pfsense.type y reenviarlos a logtrust.

Forma de la etiqueta
El concepto type es fijo y sirve para identificar el tipo y el formato del evento que se est enviando. Este concepto puede tomar alguno de los siguientes valores (que se corresponden con los diferentes tipos de log): firewall.pfsense.firewall firewall.pfsense.system

Configuracin relay inhouse

Como se ha comentado anteriormente es necesario la instalacin de un relay inhouse (consultar la seccin Logtrust relay inhouse) para el correcto etiquetado de estos logs. Deberemos definir dos reglas nuevas, una primera regla en la que para todos los eventos que lleguen al puerto 514/udp con la etiqueta "pf" se etiqueten como firewall.pfsense.firewall.

De cara a la creacin de la regla los campos que deben ser tenidos en

cuenta son:

Regla firewall.pfsense.firewall relay inhouse

port = 514 sourceTag = "pf" targetTag = "firewall.pfsense.firewall" stopProcessing = "true" //Para que el relay no siga procesando ms reglas si se cumple la actual

Esta primera regla tendr el siguiente aspecto:

A continuacin crearemos una segunda regla para indicar que el resto de eventos los etiquete como

firewall.pfsense.system. De

cara a la creacin de la regla los campos que deben ser tenidos en cuenta son:

Regla firewall.pfsense.system relay inhouse

port = 514 targetTag = "firewall.pfsense.system" isPrefix = "true" //Nos permitir conservar la etiqueta original en las que se nos indica el componente en concreto del sistema que ha generado el evento

Esta segunda regla tendr el siguiente aspecto:

En este caso es importante el orden de las reglas ya que las dos operan en el mismo puerto y la primera siempre se debe evaluar antes que la segunda, deben aparecer en este orden:

Por ltimo aplicaremos la nueva configuracin para que se actualice el relay inhouse con las nuevas reglas creadas. Consultar la referencia Configuracion Relay In House para obtener ms informacin sobre la creacin de reglas en un relay inhouse.

Configuracin pfSense
Primeramente deberemos modificar un fichero de configuracin para evitar la generacin de eventos multilinea que a veces son generados por tpcdump y rompen el formato del log. Para ello editaremos el fichero "/etc/inc/filter.inc" desde la consola o desde el interfaz de gestin ("Diagnostics -> Edit File"):

Modificacin fichero /etc/inc/filter.inc

Sustituiremos la linea: mwexec_bg("/usr/sbin/tcpdump -s 256 -v -l -n -e -ttt -i pflog0 | logger -t pf -p local0.info"); Por: mwexec_bg("/usr/sbin/tcpdump -s 256 -v -l -n -e -ttt -i pflog0 | /usr/bin/sed -l -E 'N;s/\\n[ \\t]+/ /;P;D;' | logger -t pf -p local0.info");

Para que el cambio tenga efecto es necesario reiniciar pfSense mediante el comando "reboot" desde la consola o desde la opcin "Diagnostics -> Reboot" del interfaz web de gestin. Una vez con el servicio reiniciado para configurar el envo por syslog a travs del interfaz grfico de pfSense seguiremos los siguientes pasos: 1. 2. 3. 4. 5. 6. Ir a "Status -> System Logs -> Settings". Habilitar la casilla "Log packets blocked by the default rule". Habilitar la casilla "Enable syslogging to remote syslog server". En el campo Server1 introducir la direccin IP de nuestro relay inhouse. Habilitar las casillas de los tipos de eventos que queremos registrar (al menos system y firewall events). Por ltimo hacemos click en el botn Save.

Ejemplo de configuracin:

Adems en la seccin "Firewall -> Rules" deberemos editar las reglas de las que queramos que se registre su actividad habilitando la siguiente opcin en cada regla:

Despus de modificar las reglas deberemos aplicar la poltica pulsando en el botn "Apply changes" en "Firewall -> Rules".