《分享》FTP Application Filter Bug
在Sophos XG中的Application Filter其實是有應用程式這個類別的,
但不知道從哪個韌體版本開始,這個FTP的類別有了bug,無法發揮預期的限制作用,
一直到最新的16.05.5 MR5都還是有問題的...
目前原廠提出了透過IPS模組來限制FTP的做法,
而這個部分,需要透過自行定義FTP特徵碼來完成。
FTP Downloadflow:to_server,established;content:"RETR|20|";rawbytes;offset:0;
FTP Upload
flow:to_server,established;content:"STOR|20|";rawbytes;offset:0;
在FTP Application Filter的bug未修復前,
可依需求建立好FTP的特徵碼後,再建一個IPS的policy套用在Firewall Rule上來實現此需求。
參考資料
Use application control to Block Ftp upload fail