Hallo Phil, Ich bin zwar eher experte bei den SG UTMs aber die XG sind ja doch recht ähnlich deswegen werden die Grundeinstellungen ähnlich/gleich sein. Nun die Fragen an euch: - Kennt ihr die Probleme mit IPS auch? Das ist im Grunde kein Problem, Sophos weißt explizit darauf hin, dass die IPS ein Modul ist, welches viel Resourcen verbraucht, wenn man Sie aktiviert ohne sie zu konfigurieren bzw. zu wissen was man eigentlich macht, ist es sehr gut möglich, dass das System langsamer wird oder auch gar nichts mehr funktioniert. - Wie sieht euer Best Practice für IPS aus? 1. Der einfachste Weg ist abzusichern, dass nur Regel für Clients und Server existieren die auch im Netzwerk existieren, hört sich trivial an, viele machen das aber eben nicht so. 2. Das Rule Age Feature, nachdem die Regeln ein gewisses Alter in der Datenbank haben, werden diese nicht mehr getestet z.B. wenn Rule age 12 dann werden Regeln die älter als 12 Monate sind ignoriert. Grund dafür ist, dass man davon ausgeht, dass Systeme auch gepatch werden und diese Angrifsflächen später nicht mehr existieren. 3. Definiere im IPS/Advanced unbedingt deine Servertypen z.B. Trage hier einen MySQL Server ein, dann muss dieser nicht auf HTTP Anfrangen geprüft werden oder umgekehrt ein Webserver muss keine MySQL Checks erhalten. 4. WICHTIG: Wenn du Lansegment hast, Sophos sagt hier, dass es kritische Auswirkungen auf die UTM haben kann, wenn diese von der IPS gescant werden also umbedingt abwiegen ob das notwendig ist. 5. Regeln deaktivieren, wenn du keine Linux Server hast braucht er diese auch nicht zu prüfen, wichtig ist, dass jedes Paket alle Regel durchläuft deshalb muss man hier alles exakt konfigurieren. 6. Exceptions, siehst du, dass ein Host inkorrekt blockiert wird, leg eine Exception für diese Prüfung an. - Gibts Tipps hierzu? Optional kannst du mir noch mitteilen wie viele User, Endgeräte und Server du im Netzwerk hast dann kann ich auch mal die Auslastung deiner XG Berechnen/ einschätzen. Wichte wäre noch die Info welche Module du alle an hast. Firewall, Mail, IPS, VPN, Proxy ...? Dann wäre dennoch interessant was für einen Anschluss habt ihr? ADSL ? SDSL? Wie schnell?
↧