UTM & Qualys Guard PCI-DSS scan ?

Sophos UTM is not PCI-DSS compliant if you enable the RED device support. So you'll want to avoid that.

Sophos UTM is not PCI-DSS compliant if you enable the RED device support. So you'll want to avoid that.

Incorrect.  The issue with the "weak" RED cert was resolved with the release of 9.3xx.  by default the certs are 2048 bits in size now.  I have fixed this issue for a couple of customers already.

If you have REDs that you have already deployed under an earlier version, there are some steps you have to take to redeploy them to take advantage of this patch; contact your reseller or support for more details.

Hi Guys

Is there any standards guide for hardening of the Sophos/best practices guide in respect of PCI DSS , we working with a card issuer whos now replacing a old unsupported ASA with a sg230 . Any help with the pci would be appreciated

thanks

Hi and wecolme to the UBB,
you would be better off getting a reseller involved. This is a user only forum occasionally frequented by Sophos staff. Some of the other forum contributors are resellers or work for companies that support Sophos UTMs and might help via a PM.
Look for Balfson, barryg, william or brucekconvergent.

Ian M

Is there any standards guide for hardening of the Sophos/best practices guide in respect of PCI DSS , we working with a card issuer whos now replacing a old unsupported ASA with a sg230 . Any help with the pci would be appreciated

NEMEA pre-sales engineers never responded to this question, so I guess that Sophos has no previous experience with a client with PCI-DSS scan using Qualis software.

I will conduct the PoC test in a few weeks and will post the results back.

Ian's first advice is best.  A new installation should be designed and setup initially by someone with strong experience.

Vilic, Bruce and I have clients that undergo regular PCI scans.  All I would have expected the presales team to say was, "There are a lot of UTMs passing PCI scans, so there's no problem."  I would not expect any of them to hand out a best practice document, and I would expect any new installation to have 2048-bit certs, SSLv3 disabled, etc.  The person that designs the configuration will do things like hide the User Portal behind a VPN, protect servers with the reverse proxy, etc.

Cheers - Bob

Ian's first advice is best.  A new installation should be designed and setup initially by someone with strong experience.

That doesn't guarantee that the underlying engine will pass vulnerability tests.

Is there any standards guide for hardening of the Sophos/best practices guide in respect of PCI DSS

Such a thing does not exist at Sophos.

...I would not expect any of them to hand out a best practice document, and I would expect any new installation to have 2048-bit certs, SSLv3 disabled, etc.  The person that designs the configuration will do things like hide the User Portal behind a VPN, protect servers with the reverse proxy, etc.

Bob, just to clarify....they have never responded to my question in the root of this thread (not about best practice docs).

I've just resent the e-mail again, will keep you informed.

Like Scott says, I don't think one exists.  I had to learn by helping customers pass.  In fact, it's a moving target as there was no Heartbleed two years ago.  After you do your testing, we could write one together and have it published in the KnowledgeBase.  One trick is that, in order to get a real test, you need to craft a Portscan Exception for the IPs used by the scanning service.

Cheers - Bob