Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 27 subscribers
  • Views 1245 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPS Ausnahmen für Schwachstellenscan extern auf Sophos XG

Marcel Jordan

Hallo zusammen, 

ich bin gerade auf der Suche die richtigen Einstellungen an einer Sophos XG zu finden um einen geplanten Schwachstellenscan auf die externen IP Adresse der Firewall durchzuführen. 

Im richtige Ergebnisse zu bekommen, werden die Tests in versch. Phasen durchlaufen, eine davon ist, die IPS Einstellungen zuumgehen (Whitelist) der SCAN IP. 

Habt Ihr für uns eine Einstellungshilfe? Bis dato haben wir unter "Modernster Schutz" "Netzwerk/Host Ausnahmen" die Range eingetragen....

Gibt es hierzu noch mehr Möglichkeiten, die wir ggf. übersehen haben? 

Danke im Voraus



This thread was automatically locked due to age.
  • 0

    Was genau ist euer Ziel? Ich würde immer empfehlen, solche Tests von einem Experten durchführen zu lassen. Ein einfaches Tool liefert meistens nur bedingt Auskunft über den wirklichen Security Status. 

    Um die IPS zu deaktivieren, brauchst du einfach eine Firewall Regel für diesen Client von der IP zum Ziel Netzwerk und ohne IPS Regeln. 

  • 0 in reply to LuCar Toni

    Hi, 

    der Test wird durch einen externen durchgeführt. Unsere Aufgabe ist lediglich, dafür Sorge zu tragen, dass die IP bzw. IP/Range in den IPS Ausnahmen aufgeführt ist. Wenn ich dich richtig verstehe, "bauen" wir eine Regel (Pos1) die den Verkehr von extern (xxx.xxx.xxx.xxx/25) auf die Firewall IP Adresse (externe Firewall IP Adresse der XG) erlaubt? 

    Danke

  • 0 in reply to Marcel Jordan

    Der Scan wird von extern gemacht? Das ist doch kein wirkliches Szenario, in meinen Augen sollte der Angreifer wenigstens einen Client im Netzwerk erhalten.

    Wofür habt ihr den Scan beauftragt? 

    Ich kenne solche Pen Tester, um den IST Zustand zu ermitteln, nicht "schalte IPS etc. aus". 

  • 0 in reply to LuCar Toni

    Hi, 

    ich hab doch geschrieben, es gibt dazu mehrere Szenarien. Ich denke wir sind auch hier nicht um das zu beurteilen, sondern ich habe nach einer technischen Lösung gefragt, die Anfrage IPS für diesen SCAN zu deaktivieren. 

    Ich habe also eine Regel erstellt.... 

  • 0 in reply to Marcel Jordan

    Die Regel wird nur nichts machen. Also die IPS wird dann angewendet, wenn es eine Regel gibt. Dadurch, dass der Angriff in der Regel von WAN auf die WAN IP trifft, wird diese auch keine offenen Ports finden. Dadurch wird der Traffic nicht angewendet und die Regeln werden nicht angewendet. Außer du hast DNATs /WAFs konfiguriert. 

  • 0 in reply to LuCar Toni

    HI, 

    aber du hast doch folgendes geschrieben 

    "Um die IPS zu deaktivieren, brauchst du einfach eine Firewall Regel für diesen Client von der IP zum Ziel Netzwerk und ohne IPS Regeln. "

    Funktioniert es nun mit der Regel und der Ausnahme unter "Moderner Schutz" oder nicht? 

    Danke

  • 0 in reply to Marcel Jordan

    Moderner Schutz ist ATP. ATP ist eine Technologie, um C2C Traffic zu erkennen. Das hat mit IPS nicht viel zu tun und wahrscheinlich wird das auch vom Tester nicht forciert. 

    IPS ist eine Technologie, die Pakete einzeln betrachtet und den Inhalt sich anschaut. Abhängig davon, was der Pen Tester genau macht, hängt es davon ab, ob er überhaupt anschlägt. Wenn der Pen Tester eine Machine erhält, mit der er weitere Angriffe macht, hängt es davon ab, ob die IPS überhaupt den Traffic dort hin sieht (VPN?). DNAT würde ich an dieser Stelle nicht empfehlen.

    Von WAN auf die Firewall WAN IP trifft kaum/kein traffic, solange man keine Ports aufgemacht hat. 

    Wenn du Ports offen hast, die irgendwo hin führen (DNAT, WAF), dann musst du dort die IPS deaktivieren, was ich aber nicht empfehlen würde.

    Ich würde dringend empfehlen, vor dem anschalten von den Ausnahmen, nochmal genau das Szenario abzufragen, was genau gemacht wird und was das Ziel ist. Für mich sieht es sehr nach einem einfachen Version Checking aus (Nessus?).