Tester la prévention des menaces pour Anti-Malware et IPS

Cet article fournit des recommandations et des meilleures pratiques pour tester différents aspects des services de sécurité dans Cato Cloud.

Remarque

Note: Ces tests peuvent impliquer de véritables malwares. Assurez-vous que vous les testez dans un environnement sûr et isolé.

Tester Anti-Malware

Résultat souhaité : le téléchargement de fichiers via HTTP est bloqué et affiche la page de blocage de Cato. Le téléchargement via HTTPS n'est bloqué qu'après l'activation de l'inspection TLS.

Assurez-vous que l'inspection TLS est désactivée avant de commencer ce test.

  1. Aller sur le site web EICAR (http://www.rexswain.com/eicar.html) pour obtenir des fichiers de malware échantillons via HTTP.

  2. Téléchargez eicar.com via HTTP et le téléchargement est bloqué.

  3. Téléchargez eicar.com via HTTPS et le téléchargement est réussi.

    Allez sur le site EICAR (https://www.eicar.org/?page_id=3950) pour des fichiers de malware échantillons via HTTPS.

  4. Allez dans Sécurité > Inspection TLS et activez l'Inspection TLS pour le compte, et cliquez sur Enregistrer.

  5. Téléchargez eicar.com via HTTPS et le téléchargement est bloqué.

  6. Utilisez Accueil > Événements avec le préset de Anti-Malware pour afficher les événements pour les fichiers malveillants bloqués.

Tester NG Anti-Malware

Résultat souhaité : le fichier est téléchargé avec succès avec uniquement l'Anti-Malware activé. Après l'activation de NG Anti-Malware, le téléchargement du fichier est bloqué.

Assurez-vous d'utiliser un service de téléchargement web tel que WeTransfer qui n'est pas inclus dans une exception ou la Liste de Permis. Sinon, le téléchargement du fichier est réussi car le fichier n'est pas scanné par le moteur NG Anti-Malware.

  1. Allez dans Sécurité > Anti-Malware, et configurez ces paramètres :

    • Anti-Malware est activé

    • NG Anti-Malware est désactivé

  2. Cliquez ici pour télécharger eicar_s1.txt et le téléchargement est réussi.

  3. Activez NG Anti-Malware.

  4. Ouvrez une fenêtre privée ou de navigation anonyme, et cliquez ici pour télécharger à nouveau eicar_s1.txt. Le téléchargement est bloqué.

  5. Utilisez la page Accueil > Événements avec le préset de Anti-Malware pour afficher les événements pour les fichiers NG Anti-Malware bloqués.

Tester la réputation IP avec IPS

Résultat souhaité : Les tentatives d'accès aux sites/IP avec une mauvaise réputation sont bloquées et l'événement est enregistré dans Événements.

  1. Utilisez le site suivant pour trouver des domaines connus pour avoir une mauvaise réputation :

  2. Essayez d'accéder à ce site/IP avec leur navigateur (le plus simple pour valider le blocage) ou en utilisant telnet depuis un invite de commande. Vous êtes bloqué d'accéder au site.

  3. Utilisez la page Accueil > Événements et examinez les événements pour le trafic IPS bloqué.

Cet article vous a-t-il été utile ?

Utilisateurs qui ont trouvé cela utile : 1 sur 1

0 commentaire