Externet Pentest

Question

Hallo zusammen, 
 
 Ich stehe vor einem (mir) etwas neuem Problem. 
 Einer meiner Kunden m&ouml;chte einen externen Pentest durchf&uuml;hren, dieser Dienstleister fragt an ob wir seine IPs f&uuml;r den IPS Scan whitelisten k&ouml;nnen. 
 Mein Google-Fu hat mich soweit geleitet, dass ich eine Custom IPS-Richtlinie erstellt habe:

Soweit so gut, jedoch stelle ich mir die jetzt die Frage inwiefern ich diese sinnvoll einsetzen kann: 
 
 - Eine FW-Rule "WAN->LAN" mit einer Host-Gruppe und dieser IPS-Policy erscheint mir wenig hilfreich. 
 - Eine weitere Option die ich Online finden konnte, war ACLs f&uuml;r den Appliance Zugriff auf f&uuml;r die Host-Gruppe zu erstellen. 
 
 Beide Optionen machen T&uuml;ren auf die ich jedoch m.E. bei einem externen Scan gepr&uuml;ft haben wollen w&uuml;rde. 
 
 Falls ich falsch liege gerne korrigieren, andernfalls freue ich mich auf erleuchtende Kommentare aus der Community 
 VG

Raphael Alganes · Accepted Answer

Hello MAIT_BuAy , 
 Thanks for reaching out to Sophos Community. 
 You may have to create a DNAT policy without any IPS, but turning on "Log Firewall Traffic" 
 FW policy may look like this: 
 *Source networks and devices: -Your allowed IP list where the traffic will be coming from. 
 
 Specify Services* and enable Log Firewall traffic. > Then preferably, put this FW rule on top of your list. 
 Hope this helps on your setup. Have a nice day and thank you for choosing Sophos. 
 Regards,

PhilippRusch · Answer

Hello, 
 maybe you want to expand the list of "Services" to include more services than just HTTP and HTTPS. 
 Otherwise this would be a rather poor pentest. 
 OTOH, this is kind of a "passthrough" you would never allow during normal firewall operation. 
 So why not scheduling two rounds for the test: One time you have your IPS in place and you can see how it works. 
 Next round is with the "relaxed" setup like suggested from Raphael. 
 I would like to know both results, if I were you.

Externet Pentest

Top Replies