Cet article fournit des recommandations et des meilleures pratiques pour tester différents aspects des services de sécurité dans Cato Cloud.
Remarque
Note: Ces tests peuvent impliquer de véritables malwares. Assurez-vous que vous les testez dans un environnement sûr et isolé.
Résultat souhaité : le téléchargement de fichiers via HTTP est bloqué et affiche la page de blocage de Cato. Le téléchargement via HTTPS n'est bloqué qu'après l'activation de l'inspection TLS.
Assurez-vous que l'inspection TLS est désactivée avant de commencer ce test.
-
Aller sur le site web EICAR (http://www.rexswain.com/eicar.html) pour obtenir des fichiers de malware échantillons via HTTP.
-
Téléchargez eicar.com via HTTP et le téléchargement est bloqué.
-
Téléchargez eicar.com via HTTPS et le téléchargement est réussi.
Allez sur le site EICAR (https://www.eicar.org/?page_id=3950) pour des fichiers de malware échantillons via HTTPS.
-
Allez dans Sécurité > Inspection TLS et activez l'Inspection TLS pour le compte, et cliquez sur Enregistrer.
-
Téléchargez eicar.com via HTTPS et le téléchargement est bloqué.
-
Utilisez Accueil > Événements avec le préset de Anti-Malware pour afficher les événements pour les fichiers malveillants bloqués.
Résultat souhaité : le fichier est téléchargé avec succès avec uniquement l'Anti-Malware activé. Après l'activation de NG Anti-Malware, le téléchargement du fichier est bloqué.
Assurez-vous d'utiliser un service de téléchargement web tel que WeTransfer qui n'est pas inclus dans une exception ou la Liste de Permis. Sinon, le téléchargement du fichier est réussi car le fichier n'est pas scanné par le moteur NG Anti-Malware.
-
Allez dans Sécurité > Anti-Malware, et configurez ces paramètres :
-
Anti-Malware est activé
-
NG Anti-Malware est désactivé
-
-
Cliquez ici pour télécharger eicar_s1.txt et le téléchargement est réussi.
-
Activez NG Anti-Malware.
-
Ouvrez une fenêtre privée ou de navigation anonyme, et cliquez ici pour télécharger à nouveau eicar_s1.txt. Le téléchargement est bloqué.
-
Utilisez la page Accueil > Événements avec le préset de Anti-Malware pour afficher les événements pour les fichiers NG Anti-Malware bloqués.
Résultat souhaité : Les tentatives d'accès aux sites/IP avec une mauvaise réputation sont bloquées et l'événement est enregistré dans Événements.
-
Utilisez le site suivant pour trouver des domaines connus pour avoir une mauvaise réputation :
-
Remarque
Note: Il peut falloir plusieurs essais pour trouver un FQDN qui a encore une mauvaise réputation. Voici une liste de domaines mal notés, et l'IPS ne bloque pas tous les domaines sur le site web ci-dessus.
-
-
Essayez d'accéder à ce site/IP avec leur navigateur (le plus simple pour valider le blocage) ou en utilisant telnet depuis un invite de commande. Vous êtes bloqué d'accéder au site.
-
Utilisez la page Accueil > Événements et examinez les événements pour le trafic IPS bloqué.
0 commentaire
Vous devez vous connecter pour laisser un commentaire.