Waarom wordt aanbevolen om IP-adressen te whitelisten voor IDS, IPS en rate-limiting systemen gedurende een pentest?

Ter voorbereiding van een pentest vragen wij om de IP-adressen waarvandaan onze onderzoekers testen uitvoeren te whitelisten voor IDS, IPS en rate-limiting systemen. Deze whitelisting dient meestal ingesteld te worden op de webserver, webapplicatie en/of de firewall. Bij externe hosting dient de betreffende hostingpartij geïnformeerd te worden.

“Waarom zou ik mijn webapplicatie opzettelijk minder veilig maken?” is een vraag die ons vaak gesteld wordt wanneer wij om een whitelisting vragen.

IDS, IPS en rate-limiting systemen werken vaak alleen vertragend omdat bijvoorbeeld minder verzoeken per tijdseenheid afgevuurd kunnen worden op de webapplicatie. Of soms moet veel tijd besteed worden om verzoeken aan te passen zodat deze niet door de IDS/IPS systemen herkend worden. Echter is het zo dat deze beveiliging met genoeg tijd omzeild kan worden, daarom wordt dit als een mooie extra beveiligingslaag gezien, maar dient de webapplicatie hier niet van afhankelijk te zijn. Omdat de beveiligingsonderzoeken in een gering tijdsbestek plaatsvinden is het van belang dat deze systemen, indien ze actief zijn, tijdelijk voor de IP-adressen van Web Security Scan gedeactiveerd worden om zo effectief mogelijk de primaire beveiligingslaag te kunnen onderzoeken.

Het uitschakelen van IDS, IPS en rate-limiting systemen is geen vereiste, maar dus wel aan te raden.