Se generan múltiples Eventos CMA para el mismo flujo de tráfico

Problema

Se generan múltiples eventos CMA, como Firewall de Internet/WAN, IPS, RPF o Anti-Malware para el mismo flujo de tráfico. Tener múltiples eventos para el mismo tráfico puede ser confuso al solucionar problemas de acciones permitidas o bloqueadas en el Cato Cloud.

Solución de problemas

Este comportamiento puede observarse en varios tipos de eventos CMA. A continuación, se presentan algunos escenarios posibles que pueden ocurrir:

Mismas acciones de evento

En este escenario, el flujo de tráfico fue bloqueado por el motor de Firewall porque se categorizó como "Botnet", que es una categoría bloqueada en una regla de Firewall de Internet. Simultáneamente, el motor de IPS también bloqueó el tráfico ya que coincide con la firma de IPS "cid_heur_suspicious", que también se basa en la categoría del sitio web. 

Diferentes acciones de evento

En este escenario, el flujo de tráfico es inicialmente bloqueado por el motor de IPS debido a una política de restricción geográfica. Sin embargo, se establece la conexión TLS/HTTP con el cliente para obtener información del tráfico para que el motor de Firewall pueda tomar una decisión, que en este caso es permitir (Acción: Monitor) el flujo de tráfico. El tráfico es finalmente bloqueado por el motor de IPS y no llegan paquetes a la IP de destino.

Explicación

Como se explica en Understanding Packet Flow with Cato, el Cato Cloud incluye múltiples motores de networking y seguridad que operan en paralelo. Esto significa que no hay priorización para que un motor evalúe el tráfico sobre otro.

Además, las decisiones de bloqueo/permitir no se realizan de inmediato. El PoP espera hasta que se alcanza una etapa específica de solicitud/respuesta (por ejemplo, solicitud HTTP), y cada motor realiza una acción definitiva de bloqueo o permiso. Por esto es que podríamos observar múltiples eventos generados en el CMA con las mismas o diferentes conclusiones de bloqueo/permiso.

Cuando se observan diferentes acciones en varios eventos, la acción de bloqueo tendrá prioridad sobre una acción de permiso.

¿Fue útil este artículo?

Usuarios a los que les pareció útil: 0 de 0

0 comentarios