Lista blanca de ASV para escaneo externo de PCI

3

Estoy usando un WAF externo (Cloudflare). El servidor de seguridad de mi servidor está configurado para permitir solo conexiones desde el WAF.

Actualmente, estoy usando McAfee Secure para la exploración de vulnerabilidad externa de conformidad con PCI. Debido a mi firewall, la exploración no detectó ningún puerto abierto. McAfee Secure insiste en que incluya su IP en la lista blanca para que puedan pasar por alto mi firewall y WAF.

¿Es normal que un ASV de exploración de vulnerabilidad externa de conformidad con PCI le pida que incluya su IP en la lista blanca y les permita evitar tanto su firewall como WAF para una exploración externa? Esto me parece extraño.

    
pregunta nwarp 15.09.2017 - 04:07
fuente

3 respuestas

1

De acuerdo con la Guía de ASV de PCI DSS :

  

5.6 Interferencia de escaneo ASV
  Si un ASV detecta que un sistema de protección activo ha bloqueado o filtrado activamente un análisis, entonces el ASV es   requerido para manejarlo de acuerdo con la Sección 7.6, “Resolución de   Exploraciones no concluyentes. ”

En la sección 7.6:

  

El cliente de escaneo realiza los cambios de configuración temporales adecuados para eliminar   interferencia durante un escaneo ASV

Como Cloudflare es una " defensa activa " (WAF) de acuerdo con la definición en PCI-DSS, tiene sentido que la ASV la pase por alto. No estoy seguro de que Cloudflare pueda configurarse para permitir los análisis y, en última instancia, es más fácil permitir temporalmente la IP de ASV en el firewall.

    
respondido por el schroeder 17.05.2018 - 19:32
fuente
2

Sí, es muy normal que el software de escaneo de cumplimiento requiera que la IP del escáner esté en la lista blanca del firewall local.

El concepto de escaneo de cumplimiento es escanear todo el sistema para garantizar al menos una línea de base totalmente adherida. Es excelente que el firewall esté haciendo su trabajo, ahora lo sabes. Pero también necesita el escáner de cumplimiento para escanear el sistema para garantizar parches, cuentas, seguridad local, configuración general, etc., también el cumplimiento. Para permitir eso, deberá proporcionar al escáner externo acceso completo a la red a los sistemas de destino, lo que incluye incluir en la lista blanca las IP de los escáneres en el firewall.

¿Todo esto tiene sentido?

    
respondido por el cclater 18.09.2017 - 16:37
fuente
0

No es necesario modificar los cortafuegos para el escaneo PCI, solo se deben modificar los sistemas IDS / IPS.

Fuente: PCI DSS 3.2 y Guías DSV de PCI DSS

Según PCI DSS 3.2, solo se deben modificar los sistemas de seguridad dinámica. Los sistemas de seguridad estáticos, como las listas de control de acceso, que no tienen un comportamiento dinámico, incluidos los puertos disponibles y las direcciones IP de origen permitidas, NO necesitan modificarse.

    
respondido por el lasersauce 17.05.2018 - 18:13
fuente

Lea otras preguntas en las etiquetas