我们已经开始让 Trustwave 每月进行一次 PCI 网络漏洞扫描。过去几个月我们已经过去了,但本月它因“检测到扫描干扰”而失败。这是他们的建议:
在扫描过程中,TrustKeeper 检测到它与远程主机上某些服务的通信能力发生了变化。在某些情况下,这可能是由网络安全设备主动阻止漏洞扫描引起的,它可能会将其视为威胁。在其他情况下,中间网络设备或主机本身可能无法应对漏洞扫描。
通常很难区分这两种情况,但无论哪种情况,这种行为都会显着影响此漏洞扫描服务检测远程主机上的漏洞的能力,从而导致漏洞评估没有定论。PCI ASV 计划指南 1.0 要求 PCI ASV 扫描客户在不受 IDS/IPS 干扰的情况下对所有范围内的主机执行扫描;如果检测到此类干扰,则要求 ASV 无法扫描。提供可能干扰扫描的主动措施的产品和设备示例包括防火墙和具有主动对策的入侵检测系统 (IDS)、入侵防御系统 (IPS)、Web 应用程序防火墙 (WAF) 和分布式拒绝服务 ( DDoS) 缓解产品。
为了实现对远程主机的最终漏洞评估,负责干扰此扫描的产品和设备可能需要临时配置为允许扫描而不受干扰。这通常采取将此扫描服务的 IP 地址添加到产品或设备的“白名单”的形式。请确保以下网络块具有完整、畅通无阻的访问权限,以便更准确地执行漏洞扫描:204.13.201.0/24、64.37.231.0/24。
我不确定如何将它们列入白名单。我在 WAN 区域中设置了几个地址对象,但我不确定将其应用于什么。我尝试关闭“隐身模式”(由于有超过 60,000 个开放端口的相关投诉,这是不可能的),我什至关闭了 IPS(我关闭了保护但因为我不想要而离开检测让我们完全暴露)。但是,扫描仍然失败。
为了测试安全性而关闭安全性似乎有点荒谬,但显然这现在是 PCI 扫描通常接受的事情。
我已经向他们开了一张支持票,但与我交谈的第一个人除了阅读我已经拥有的相同信息之外不知道该做什么,我正在等待他们的“扫描团队”的回电。我希望这里有人已经在 Sonicwall 上解决了这个问题,并且可以更好地帮助我。
将提供的范围包括在各种排除列表中。更准确地说,您必须排除提供的范围:
我最终通过切换到另一家公司来解决这个问题。SecurityMetrics 对我们的网络没有任何问题。(而且我从来没有从 Trustwave 收到任何有用的回复。)