IPS Ausnahmen für Schwachstellenscan extern auf Sophos XG

Was genau ist euer Ziel? Ich würde immer empfehlen, solche Tests von einem Experten durchführen zu lassen. Ein einfaches Tool liefert meistens nur bedingt Auskunft über den wirklichen Security Status. 

Um die IPS zu deaktivieren, brauchst du einfach eine Firewall Regel für diesen Client von der IP zum Ziel Netzwerk und ohne IPS Regeln. 

Hi, 

der Test wird durch einen externen durchgeführt. Unsere Aufgabe ist lediglich, dafür Sorge zu tragen, dass die IP bzw. IP/Range in den IPS Ausnahmen aufgeführt ist. Wenn ich dich richtig verstehe, "bauen" wir eine Regel (Pos1) die den Verkehr von extern (xxx.xxx.xxx.xxx/25) auf die Firewall IP Adresse (externe Firewall IP Adresse der XG) erlaubt? 

Danke

Der Scan wird von extern gemacht? Das ist doch kein wirkliches Szenario, in meinen Augen sollte der Angreifer wenigstens einen Client im Netzwerk erhalten.

Wofür habt ihr den Scan beauftragt? 

Ich kenne solche Pen Tester, um den IST Zustand zu ermitteln, nicht "schalte IPS etc. aus". 

Hi, 

ich hab doch geschrieben, es gibt dazu mehrere Szenarien. Ich denke wir sind auch hier nicht um das zu beurteilen, sondern ich habe nach einer technischen Lösung gefragt, die Anfrage IPS für diesen SCAN zu deaktivieren. 

Ich habe also eine Regel erstellt.... 

Die Regel wird nur nichts machen. Also die IPS wird dann angewendet, wenn es eine Regel gibt. Dadurch, dass der Angriff in der Regel von WAN auf die WAN IP trifft, wird diese auch keine offenen Ports finden. Dadurch wird der Traffic nicht angewendet und die Regeln werden nicht angewendet. Außer du hast DNATs /WAFs konfiguriert. 

HI, 

aber du hast doch folgendes geschrieben 

"Um die IPS zu deaktivieren, brauchst du einfach eine Firewall Regel für diesen Client von der IP zum Ziel Netzwerk und ohne IPS Regeln. "

Funktioniert es nun mit der Regel und der Ausnahme unter "Moderner Schutz" oder nicht? 

Danke

Moderner Schutz ist ATP. ATP ist eine Technologie, um C2C Traffic zu erkennen. Das hat mit IPS nicht viel zu tun und wahrscheinlich wird das auch vom Tester nicht forciert. 

IPS ist eine Technologie, die Pakete einzeln betrachtet und den Inhalt sich anschaut. Abhängig davon, was der Pen Tester genau macht, hängt es davon ab, ob er überhaupt anschlägt. Wenn der Pen Tester eine Machine erhält, mit der er weitere Angriffe macht, hängt es davon ab, ob die IPS überhaupt den Traffic dort hin sieht (VPN?). DNAT würde ich an dieser Stelle nicht empfehlen.

Von WAN auf die Firewall WAN IP trifft kaum/kein traffic, solange man keine Ports aufgemacht hat. 

Wenn du Ports offen hast, die irgendwo hin führen (DNAT, WAF), dann musst du dort die IPS deaktivieren, was ich aber nicht empfehlen würde.

Ich würde dringend empfehlen, vor dem anschalten von den Ausnahmen, nochmal genau das Szenario abzufragen, was genau gemacht wird und was das Ziel ist. Für mich sieht es sehr nach einem einfachen Version Checking aus (Nessus?). 

Moderner Schutz ist ATP. ATP ist eine Technologie, um C2C Traffic zu erkennen. Das hat mit IPS nicht viel zu tun und wahrscheinlich wird das auch vom Tester nicht forciert. 

IPS ist eine Technologie, die Pakete einzeln betrachtet und den Inhalt sich anschaut. Abhängig davon, was der Pen Tester genau macht, hängt es davon ab, ob er überhaupt anschlägt. Wenn der Pen Tester eine Machine erhält, mit der er weitere Angriffe macht, hängt es davon ab, ob die IPS überhaupt den Traffic dort hin sieht (VPN?). DNAT würde ich an dieser Stelle nicht empfehlen.

Von WAN auf die Firewall WAN IP trifft kaum/kein traffic, solange man keine Ports aufgemacht hat. 

Wenn du Ports offen hast, die irgendwo hin führen (DNAT, WAF), dann musst du dort die IPS deaktivieren, was ich aber nicht empfehlen würde.

Ich würde dringend empfehlen, vor dem anschalten von den Ausnahmen, nochmal genau das Szenario abzufragen, was genau gemacht wird und was das Ziel ist. Für mich sieht es sehr nach einem einfachen Version Checking aus (Nessus?).