So werden Schwachstellenscanner von /Vulnerability auf die Whitelist gesetzt IPS

So werden Schwachstellenscanner von /Vulnerability auf die Whitelist gesetzt IPS

40597
Created On 03/19/20 18:49 PM - Last Modified 02/09/23 18:56 PM


Objective


Schwachstellenscanner wie Qualys und Rapid 7 werden häufig verwendet, um Schwachstellen in PA Firewalls sowie auf den Ressourcen hinter den Firewalls für compliance zu identifizieren.Der Datenverkehr dieser Scanner erzeugt eine überwältigende Anzahl von Bedrohungsprotokollen, die meist falsch positiv sind. Dieses Dokument behandelt die Konfigurationsschritte, um die Sicherheitsanfälligkeit für eine begrenzte Zeit sicher nach den Ressourcen hinter der scannen zu lassen firewall und die Bedrohungsoberfläche zu reduzieren, indem Standarddienste nicht freigelegt werden.

Environment


  • Schwachstellenscanner wie Qualys, Rapid 7, Nessus oder andere.
  • Webserver oder andere Ressourcen hinter der Firewall .
  • PAN-OS 8.0.x und höher

Procedure


Sie können einfach eine Bedrohungsausnahme hinzufügen und eine neue policy für den Scannerdatenverkehr erstellen. Diese Lösung eignet sich am besten, wenn ein Schwachstellen-Scan nur ein- bis zweimal im Jahr durchgeführt wird. 

1. Erstellen Sie ein neues Sicherheits- policy und ein neues Sicherheitsprofil mit Einer Bedrohung, Spyware und Antiviren-Ausnahmen.
  • Angenommen, Sie führen den Scanner von Ihrem LAN aus.
  • Erstellen Sie eine Liste der ID Bedrohungs- und Spyware, die während des Scans ausgelöst wurde.
  • Erstellen Sie ein neues Bedrohungsprofil unter "> Schutz der Sicherheitsanfälligkeit" > <name such="" as="" profile_for_qualys="">, und fügen Sie die Ausnahme für alle ausgelösten Bedrohungs-IDs hinzu.</name> Ändern Sie in der Ausnahme die Aktion als zulässig.
  • Erstellen Sie nun eine neue Sicherheit, Policy die es dem Scanner ermöglicht, IP von/zu Ihren Folgenden zugreifen zu LAN können.
    • Name: Einige nützliche Namen wie allow-for-scanner
    • Registerkarte "Quellzone": Zone, zu der der Scanner gehört.
    • Registerkarte Quelladresse: Adresse des Scanners IP
    • Zielregisterkarte: Zielzone
    • Dienst/ URL Kategorie Registerkarte: ANY und Aktions-Registerkarte: zulassen.
    • Aktions-Tab-> Profileinstellungen: Sie können es entweder leer lassen oder die neu erstellten Profile verwenden, werden alle Ausnahmen.
    • Platzieren Sie nun die neue Sicherheit Policy (in diesem Fall allow-for-scanner) über der Sicherheit policy vor der für anderen Datenverkehr in dieser policy Zone. Stellen Sie sicher, dass beim Senden des Datenverkehrs durch den Scanner die erste Übereinstimmung policy erfolgt.
2. Aufklärungsschutz Ausnahme:
  • Falls der Scanner auch die Aufklärung betreibt und Sie es zulassen möchten, setzen Sie den Scanner bitte auf die Whitelist IP des Aufklärungsschutzes.
  • Diese Einstellung kann unter Network >Zone Protection >Zone Protection Profile >Reconnaissance Protection >Source Address Exclusion >Add
  • Die Liste unterstützt maximal 20 IP Adressen oder Netmask-Adressobjekte.

Additional Information


 

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000PPAiCAO&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language