Freitag, 6. Juli 2018

[SOPHOS XG] Intrusion Prevention einrichten / DoS Protection / Advanced threat Protection / IP Spoof Protection

Wichtig: Dieses Feature benötigt ein Abonnement, es kann ohne zwar konfiguriert werden aber nicht eingerichtet

Eigentlich relativ einfach:

DoS Protection
-------------------------------------------------------------------------------------------------------------------

Einschalten:
Protection -> Intrusion Prevention
DoS & Spoof Protection
DoS Settings

Bei SYN Flood, UDP Flood, TCP Flood, ICMP Flood im minimum auf der Source Seite das Apply Flag einschalten.

Optional auch bei Destination falls Ihr von Innen nach Aussen auch schützen wollt (falls also ein PC infiziert ist und jemanden attackiert)


IPS Einrichten
-------------------------------------------------------------------------------------------------------------------

Im minimum sollte auf jeder WAN_TO_XX Firewall Regel unter Advanced eine Intrusion Prevention Policy gewählt werden (z.B.: Policy: WAN_TO_LAN)

Optional kann ebenfalls auf den LAN_TO_XX Firewall Regeln dies ebenfalls einzuschalten (z.B. Policy:  LAN_TO_WAN)

Die Standard-Policys, sowie auch eigene, können hier verwaltet werden
Protection -> Intrusion Prevention
IPS Policies

Anmerkung:
Da die IPS Policys zu Performance-Einbussen führen können, empfehle ich eine bestehende Policy zu Klonen (z.B. WAN TO LAN) und löscht dort raus was ihr nicht braucht. Es bringt nichts Linux Server zu schützen, wenn es keine gibt!


Weiterführende Infos sind hier zu finden:
http://docs.sophos.com/nsg/sophos-firewall/v16056/Help/en-us/webhelp/onlinehelp/index.html#page/onlinehelp/IpsPolicyManage.html

https://community.sophos.com/products/xg-firewall/f/intrusion-prevention/98717/please-clarify-ips-policies#pi2151=2


IPS Signaturen: snort.org


Advanced Threat Protection
-------------------------------------------------------------------------------------------------------------------

Protection -> Advanced Threat Protection

Einschalten

Policy: Log Only


IP Spoof Protection
-------------------------------------------------------------------------------------------------------------------

Protection -> Intrusion Prevention
DoS & Spoof Protection


Ich empfehle die IP Spoof Protection einzuschalten auf euren LAN Subnetzen

Schaut einfach, das ihr eine Trusted MAC Adresse eingibt selbst wenn Ihr den MAC Filter nicht einschaltet

Keine Kommentare:

Kommentar veröffentlichen