Hallo zusammen,
bietet der Reverse-Proxy die Möglichkeit, sich mit dem IDS (und wünschenswert wäre ggf. fail2ban) zu verbinden um so entsprechende Verbindungen zu blockieren?
Oder ist in diesem Fall "best practice", einen eigenen RP (mit z.B. nginx) aufzusetzen und alle Anfragen durch die Firewall an den eigenen RP weiterzuleiten?
Danke!
Sicherheit des Reverse-Proxy
Moderator: Securepoint
Hallo,
die Cyber Defence Cloud greift immer vorher. fail2ban nicht da es keine direkte Anmeldung an der Firewall gibt. Zusätzlich können Sie es mit GeoIP per Portfilterregel zusätzlich den Zugriff eingrenzen. Wenn es nur über den Browser möglich sein soll könnten Sie auch mit Zertifikatsauthentifizierung machen.
die Cyber Defence Cloud greift immer vorher. fail2ban nicht da es keine direkte Anmeldung an der Firewall gibt. Zusätzlich können Sie es mit GeoIP per Portfilterregel zusätzlich den Zugriff eingrenzen. Wenn es nur über den Browser möglich sein soll könnten Sie auch mit Zertifikatsauthentifizierung machen.
Hallo Bjoern
Theoretisch sehr gut.
In der Praxis schaut es aber leider so aus, dass ich bei Kunden ohne Reverse Proxy jede Menge Warnungen bekomme, die leider nicht von der Cyber Defence Cloud abgefangen werden.
Es gibt auch keine Möglickeit zu überprüfen ob eine IP in der Cyber Defence Cloud gelistet ist, oder nicht
Aktuelle Warnungen die ich heute bekommen habe:
192.242.219.7, 192.241.213.27
192.1241.206.16, 1998.199.95.203, 165.22737.65 usw.
Insgesamt in der letzten Stunde 20 Warnungen, alle von nicht SecurePoint Endpoint Security, alle bei Kunden die mit SecurePoint UTM abgesichert sind...und die Cyber Defense Cloud greifen sollte.
Bei Kunden mit Reverse Proxy bekomm ich keine Warnungen, da die dort installierte Endpoint Security dann nicht mehr auf die Source IP zugreifen kann.
Gibt es eine Möglichkeit abzufragen ob eine IP dort gelistet ist, wie z.B bei der URL Kategorie
Gibt es eine Möglichkeit die Erkennungsgenauigkeit der Cyber Defense Cloud zu steigern ?
mercy
Theoretisch sehr gut.
In der Praxis schaut es aber leider so aus, dass ich bei Kunden ohne Reverse Proxy jede Menge Warnungen bekomme, die leider nicht von der Cyber Defence Cloud abgefangen werden.
Es gibt auch keine Möglickeit zu überprüfen ob eine IP in der Cyber Defence Cloud gelistet ist, oder nicht
Aktuelle Warnungen die ich heute bekommen habe:
192.242.219.7, 192.241.213.27
192.1241.206.16, 1998.199.95.203, 165.22737.65 usw.
Insgesamt in der letzten Stunde 20 Warnungen, alle von nicht SecurePoint Endpoint Security, alle bei Kunden die mit SecurePoint UTM abgesichert sind...und die Cyber Defense Cloud greifen sollte.
Bei Kunden mit Reverse Proxy bekomm ich keine Warnungen, da die dort installierte Endpoint Security dann nicht mehr auf die Source IP zugreifen kann.
Gibt es eine Möglichkeit abzufragen ob eine IP dort gelistet ist, wie z.B bei der URL Kategorie
Gibt es eine Möglichkeit die Erkennungsgenauigkeit der Cyber Defense Cloud zu steigern ?
mercy