Sophos XGS 136 - Whitelist

[owl2010]

Guten Morgen,
ich möchte in meiner Sophos XGS136 für gewisse Clients eine Art Whitelist erstellen, dass nur aufgeführte Seiten und Cloud-Anwendungen benutzt werden können. Hierzu kann ich ja eine Regel erstellen, die die bestimmten Clients als Quelle beinhaltet und erst einmal den gesamten Verkehr erlaubt. Die Einschränkung bzgl. der Internetseiten würde ich dann unter Webfilterung mit einer dementsprechenden Internetrichtlinie umsetzen. Die Einschränkungen bzgl. der Anwendungen mit einem dementsprechenden Anwendungsfilter in der Regel.

Soweit richtig?

Jetzt würde ich aber gerne monatlich kontrollieren, ob diese Regel/Whitelist auch für die aufgeführten Clients greift – wie kann ich das am besten machen? Einen automatischen Bericht monatlich erstellen lassen? Wenn ja, wie müsste dieser Bericht konkret aussehen?

Gruß und Dank,
owl

 

[VDC]

Erstmal solltest du abklären, ob du überhaupt den Traffic überwachen (einschränken ist das einfachere Thema, das ist idR kein Ding) darfst, wenn es nicht die eigenen Kinder, sondern bspw. MA sind.

 

[owl2010]

Ok, den Traffic einschränken darf ich ja, aber angenommen es wären MA, muss ich doch auch irgendwie sicher gehen, dass die Regel auch richtig greift oder?

 

[VDC]

Klar, einfach an den Rechner setzen, also du anmelden und ausprobieren, ob andere Seiten gehen.

 

[owl2010]

Naja, so könnte man ja eher die Funktion einer Blacklist testen, indem alle "verbotenen" Seiten ausprobiert werden.
Wie kann ich die Funktionsweise einer Whitelist sicher testen? Man kann so einen Bericht doch auch anonymisieren oder die Clients in einer Gruppe anzeigen lassen.

 

[SpamBot]

anonymisieren

Das ist ein Heikles Thema, klappen tut die anonymisierung in der Praxis kaum. In der Regel lässt sich eine Anonymisierung mit leichtigkeit entschüsseln.

Doofe Beispiele:
Ein Verstoß abens um 18:30. Abgleich mit Anwesendheit>>> es war nur Herr X anwesend.
Es gibt Ständig verstöße außer Herr Y ist nicht im Haus...

Nichmal Krankenkassen bekommen ihr Daten Anonymisiert....

 

[owl2010]

Ich brauche eine "Kontrolle" der Richtigkeit der Richtlinie nur für eine anstehende Zertifizierung.

Es ist halt so, dass der Zertifizierer eine solche Regel verlangt, er dann aber auch verlangt, zu kontrollieren bzw. nachzuweisen, dass diese Regel auch ihren Zweck erfüllt.
Wie könnte ich das denn sonst nachweisen, ohne einen Bericht?

 

[Hammelkoppter]

Dann nimm doch ein Testnotebook mit einem Testuser und pack den in die selbe Gruppe. Dann machst du deine Tests, machst ein paar Screenshots von den Logs / Hitcountern / der funktionierenden Anwendung und gut ist.

Warum sollte man eine Whitelist dauerhaft kontrollieren wenn sie einmal eingerichtet ist. Wenn freigegeben dann freigegeben.

Es wird eher so kommen, dass sich URLs, irgendwelche Trust Scores oder auch mal Kategorien ändern können und deine Whitelist dann eben nicht mehr funktioniert. Dann wird die Anwendung halt nicht mehr funktionieren da alles in der Blacklist landet. Dann musst du halt hinterher die Whitelist erweitern / ändern.

Nicht was grundsätzliches:
Bei diesen Zertifizierungen geht es dem Auditor meist nur darum zu sehen, dass man sich mit dem Punkt auseinander gesetzt hat. Wenn du alles möglichst schlüssig begründest warum du was so gemacht hast, ist es für den in Ordnung. Vielen neigen dazu, diese ganzen Punkte immer völlig zu "zerdenken". Wenn noch nicht geschehen würde externe Hilfe in Anspruch nehmen wenn sonst nicht viel Erfahrung mit solchen Zertifizierungen vorhanden ist. Dafür wird oft auch gerne Kohle locker gemacht seitens der Vorgesetzten, da ja daran auch meist eine ganze Menge hängt.