Sonicwall NSA E5500 防火墙上的 PCI 扫描因“扫描干扰”而失败

Sonicwall NSA E5500 防火墙上的 PCI 扫描因“扫描干扰”而失败

我们已开始让 Trustwave 每月进行一次 PCI 网络漏洞扫描。前几个月我们通过了,但这个月却因为“检测到扫描干扰”而失败。这是他们的建议:

在扫描过程中,TrustKeeper 检测到其与远程主机上某些服务通信的能力发生了变化。在某些情况下,这可能是由于网络安全设备主动阻止漏洞扫描(它可能将其视为威胁)造成的。在其他情况下,中间网络设备或主机本身可能无法应对漏洞扫描。

通常很难区分这两种情况,但无论哪种情况,这种行为都会严重影响此漏洞扫描服务检测远程主机漏洞的能力,从而导致漏洞评估不具结论性。PCI ASV 计划指南 1.0 要求 PCI ASV 扫描客户在所有范围内的主机上进行扫描,且不受 IDS/IPS 干扰;如果检测到此类干扰,则 ASV 必须使扫描失败。提供可能干扰扫描的主动措施的产品和设备示例包括具有主动对策的防火墙和入侵检测系统 (IDS)、入侵防御系统 (IPS)、Web 应用程序防火墙 (WAF) 和分布式拒绝服务 (DDoS) 缓解产品。

为了对远程主机进行结论性漏洞评估,可能需要临时配置负责干扰此扫描的产品和设备,以允许扫描不受干扰。这通常采取将此扫描服务的 IP 地址添加到产品或设备的“白名单”的形式。请确保以下网络块具有完全、畅通的访问权限,以便更准确地执行漏洞扫描:204.13.201.0/24、64.37.231.0/24。

我不太清楚如何将它们列入白名单。我在 WAN 区域设置了几个地址对象,但我不知道该将其应用于什么。我尝试关闭“隐身模式”(因为有超过 60,000 个开放端口的相关投诉,这是不可能的),我甚至关闭了 IPS(我关闭了保护但保留了检测,因为我不想让我们完全暴露)。然而,扫描仍然失败。

为了测试安全性而关闭安全性确实看起来有点荒谬,但显然这现在已成为 PCI 扫描的正常做法。

我已经向他们开具了支持单,但与我交谈的第一个人除了阅读我已经拥有的相同信息外,不知道该做什么,我正在等待他们的“扫描团队”回电。我希望这里有人已经在 Sonicwall 上解决了这个问题,可以更好地帮助我。

答案1

将提供的范围包含在各种排除列表中。更准确地说,您必须将提供的范围排除在外:

  • 入侵检测系统
  • 应用程序防火墙
  • 内容过滤器
  • 防病毒/反垃圾邮件
  • 应用程序控制

答案2

我最终通过换一家公司解决了这个问题。SecurityMetrics 对我们的网络没有问题。(而且我从未从 Trustwave 得到任何有用的回复。)

相关内容