Hace algún tiempo charlaba con un compañero sobre los IPS y los falsos positivos … en esa época teníamos Fortigates … y en todo el tiempo que los tuvimos (años) jamas alguna firma del ips se cepillo trafico de verdad, cosa que con los Checkpoints pasa algo mas de lo «deseable».
Así que … o unos se pasan de estrictos (que es lo que creo yo), o los otros no llegan (que también lo pienso).
El caso es que el otro día, después de una actualización de firmas … una conexión empezó a cantar (y a ser bloqueada) y resulta que la forma de habilitar el trafico ha cambiado desde la ultima vez que lo hice …
Lo primero … si sospechas que realmente es un falso positivo puedes abrir un caso a checkpoint … ellos te van a pedir los datos que aparecen en el Sk98820. Que básicamente es:
Customer’s software version and installed hotfixes
IPS Package Number – Mandatory
Protection name – Mandatory
Screenshot and complete text of the log in SmartLog / SmartView Tracker – Mandatory
Traffic capture – Mandatory
Pero, mientras lo miran o no … si tienes que hacer bypass …
Abres smartconsole -> IPS -> Network Exceptions yt creas una:
Profile : Tu nombre de profile (Recommended_Profile o directamente ANY)
Protection: Esto es lo mas tedioso, encontrar el nombre de la firma que la esta cagando, cogela del log y buscala …
Source: Any
Destination: Any (o si tienes suerte y solo es una ip)
Service/Port: Any
Install On: Tu gateway
Grabas, compilas, instalas … y a otra cosa.