Configuración de IPS y Restricción Geográfica

Vista general de la Política de IPS de Cato

El servicio de IPS de Cato se compone de varias capas de seguridad, incluyendo:

  • Firmas de Comportamiento: Protegido contra desviaciones de comportamiento normal y esperado del sistema o del usuario. El comportamiento normal se identifica utilizando el análisis de grandes datos de Cato Networks y la visibilidad profunda a través de muchos flujos de tráfico sobre Cato Cloud.

  • Análisis de Reputación: Protegiendo contra la comunicación entrante/saliente con recursos comprometidos o maliciosos.

  • Vulnerabilidades Conocidas: Protegiendo contra CVEs conocidos, adaptándose rápidamente para incorporar nuevos.

  • Anti-Bot: Protegiéndose contra el tráfico saliente hacia servidores de C&C basado en feeds de reputación y análisis de comportamiento de la red.

  • Análisis de Comportamiento de Red: Protegiéndose contra escaneos de red entrantes/salientes.

  • Validación de Protocolo: Protegiéndose contra paquetes inválidos (conformidad hacia el protocolo), reduciendo la superficie de ataque de los exploits usando tráfico anómalo.

  • Restricción Geográfica: Implementar una política de restricción geográfica personalizada para bloquear tráfico entrante, saliente o todo el tráfico hacia países específicos.

IPS y Restricción Geográfica de Cato

Esta sección es un ejemplo de la creación de una política de IPS para bloquear el tráfico WAN y entrante. También contiene una política de restricción geográfica para bloquear el tráfico hacia Irán y Corea del Norte.

Definiendo la Política de Protección de IPS

Para el tráfico WAN, entrante y saliente, puedes definir las acciones para el motor IPS y las notificaciones de correo electrónico relevantes. Es posible que el tráfico coincidente sea un falso positivo y en realidad sea tráfico legítimo.

Estas son las acciones disponibles:

  • Bloquear - Bloquea el tráfico y no continúa a su destino. Cuando es aplicable, redirige al usuario a una página web dedicada al bloqueo. Se genera un evento para la pantalla de Eventos (Inicio > Eventos).

  • Monitorear - Se permite que el tráfico continúe hacia el destino y se genera un evento para la pantalla de Eventos (Inicio > Eventos).

IPS_Policy_guía_de_inicio.png

Para configurar acciones para la política de IPS:

  1. Desde el menú de navegación, haz clic en Security > IPS.

  2. En la página de IPS, haz clic en la pestaña Protection Policy.

  3. Haz clic en el deslizador toggle.png para habilitar la política de IPS.

    El deslizador está verde toggle.png cuando está habilitado.

  4. En la sección de Protection Policy, configure los siguientes ajustes para cada Protection Scope:

    1. Para el tráfico WAN, el IPS bloquea las protecciones coincidentes y genera una notificación por correo electrónico:

      1. Haz clic en WAN Traffic.

        Se abre el panel Editar.

      2. En Acción, desde el menú desplegable selecciona Bloquear.

      3. En Seguimiento, selecciona Notificación por Correo Electrónico.

      4. Haz clic en Aplicar.

    2. Para el tráfico entrante de Internet, el IPS bloquea las protecciones coincidentes y genera una notificación por correo electrónico:

      1. Haz clic en Inbound Traffic.

        Se abre el panel Editar.

      2. En Acción, desde el menú desplegable selecciona Bloquear.

      3. En Seguimiento, selecciona Notificación por Correo Electrónico.

      4. Haz clic en Aplicar.

    3. Para el tráfico saliente de Internet, el IPS monitorea las protecciones coincidentes y no genera una notificación por correo electrónico:

      1. Haz clic en Outbound Traffic.

        Se abre el panel Editar.

      2. En Acción, desde el menú desplegable selecciona Monitor.

      3. En Seguimiento, asegúrate de que Notificación por Correo Electrónico esté desmarcada.

      4. Haz clic en Aplicar.

  5. Haz clic en Guardar. La configuración de la política de IPS se guarda en la cuenta.

Gestión de Reglas de Restricción Geográfica

Puedes definir reglas de restricción geográfica para IPS. Las reglas de restricción geográfica para IPS se basan en la geolocalización de direcciones IP y no en el dominio. Puedes definir la regla para aplicar al tráfico entrante, saliente, o ambos sentidos.

Nota

Nota: Si configuras una regla de restricción geográfica para el tráfico entrante, esto también se aplica a los recursos RPF. Sin embargo, las reglas de restricción geográfica de IPS no se aplican al tráfico de Clientes Cato SDP. Para bloquear conexiones de Clientes desde regiones específicas, puedes configurar reglas en la Política de Conectividad del Cliente.

Restricción_Geo_IPS.png

Para definir una regla de restricción geográfica:

  1. Desde el menú de navegación, haz clic en Security > IPS.

  2. En la página de IPS, haz clic en la pestaña de Geo Restriction o expande la sección.

  3. Haz clic en Nuevo.

    Se abre el panel Añadir.

  4. Introduce el Nombre para la regla, y en Dirección, selecciona Ambas Direcciones para configurar la regla para aplicar a todo el tráfico.

  5. En la sección de Countries, añade Irán y Corea, República Democrática Popular de (Corea del Norte).

  6. En Acción, selecciona Bloquear para bloquear todo el tráfico hacia y desde Irán y Corea del Norte.

  7. En Seguimiento selecciona Evento y Notificación por Correo Electrónico, para tener la máxima visibilidad para el tráfico hacia y desde Irán y Corea del Norte.

  8. Haz clic en aplicar y, a continuación, haz clic en Guardar.

¿Fue útil este artículo?

Usuarios a los que les pareció útil: 3 de 3

0 comentarios