Politiques de pare-feu Internet et WAN - Meilleures pratiques

Aperçu des meilleures pratiques de pare-feu

Les pare-feux jouent un rôle clé dans la sécurisation de vos réseaux d'entreprise et la protection des ressources internes. Cet article contient des recommandations et les meilleures pratiques pour vous aider à créer la politique de sécurité la plus robuste pour votre organisation. Nous expliquons également comment garder vos politiques de pare-feu propres et gérables.

Le pare-feu Internet vous aide à gérer l'accès des utilisateurs et des appareils de votre réseau à une grande variété de services web, applications et contenus. Le pare-feu WAN vous permet de gérer le trafic WAN pour les ressources internes, ainsi qu'entre utilisateurs et sites. Ce guide vous aide à configurer et affiner les règles dans chaque pare-feu pour maximiser l'efficacité de la politique de sécurité.

Pour plus d'informations sur les paramètres de règle spécifiques, consultez Référence pour les objets de règle.

Planification de la politique de sécurité du pare-feu

Il existe deux approches pour les bases de règles de pare-feu : liste blanche et liste noire. Mettre en liste blanche la base de règles de pare-feu signifie que les règles définissent quel trafic le pare-feu autorise. Tout autre trafic est bloqué par le pare-feu. Mettre en liste noire la base de règles de pare-feu est l'inverse, les règles définissent le trafic qui est bloqué. Tout autre trafic est autorisé par le pare-feu. Les organisations choisissent l'approche qui correspond le mieux à leurs besoins spécifiques et à leurs situations.

  • Une politique de sécurité de liste blanche a une règle de blocage ANY ANY comme règle finale pour bloquer tout le trafic qui ne correspond pas à une règle de permis

  • Une politique de sécurité de liste noire a une règle de permis ANY ANY comme règle finale pour autoriser tout le trafic qui ne correspond pas à une règle de blocage

Les recommandations pour chaque approche sont discutées ci-dessous dans les sections respectives pour les pare-feu Internet et WAN.

Règles de pare-feu traditionnel vs NG

Les pare-feu Internet et WAN de Cato utilisent deux types différents de règles de pare-feu :

  • Règles de pare-feu traditionnelles (également connues sous le nom de règles simples)

  • Règles de pare-feu de prochaine génération (NG) (également connues sous le nom de règles complexes)

Cette section décrit les différences entre ces types de règles et la logique que le pare-feu utilise pour les appliquer au trafic réseau.

Règles de pare-feu traditionnel - Inspection du premier paquet

Cato vous permet de définir une politique de sécurité réseau et de configurer des règles de pare-feu traditionnelles pour contrôler le trafic entrant et sortant de votre réseau. Les règles de pare-feu traditionnelles de Cato n'ont qu'un ou plusieurs des paramètres suivants :

  • Plage IP

  • ASN

  • Pays

  • Site

  • Hôte

  • Protocole/Port

    • Protocoles disponibles : TCP, UDP, TCP/UDP et ICMP

Le moteur de pare-feu traditionnel évalue le trafic sur le premier paquet. Par exemple, les administrateurs réseau peuvent configurer des règles de pare-feu basées sur les protocoles et les ports. Pour ce type de règle, le pare-feu décide de permettre ou de bloquer le trafic en fonction du premier paquet.

La capture d'écran suivante montre un exemple de règle de pare-feu WAN traditionnel qui bloque le trafic TCP sur le port 80 :

mceclip0.png

La figure suivante montre un exemple de connexion TCP de l'Hôte A à l'Hôte B et le point pour que le moteur de pare-feu traditionnel évalue une règle de blocage :

mceclip1.png

Remarque

Remarque: Le moteur de pare-feu traditionnel ne laisse pas tomber les paquets. Le PoP complète la poignée de main TCP sans envoyer aucun paquet à la destination (Hôte B). La raison en est d'afficher la page de redirection Internet pour les actions de blocage ou de demande. Pour plus d'informations sur la page de redirection, consultez Personnaliser la page de blocage/demande.

Règles de pare-feu NG - Inspection approfondie des paquets

Le moteur de pare-feu NG de Cato est à état et utilise l'inspection des données de la couche application pour une pleine conscience et un contrôle total des applications et des services. Il applique une inspection approfondie des paquets (DPI) et plusieurs moteurs de sécurité pour inspecter le trafic. L'élément clé du moteur de pare-feu NG est la conscience applicationnelle, qui vous permet de définir des règles pour autoriser ou bloquer le trafic en fonction des applications et services. Le moteur de pare-feu NG inspecte le contenu des paquets en fonction des applications, applications personnalisées, catégories, catégories personnalisées, services, FQDN, domaine et plus. Par exemple, vous pouvez définir une règle pour bloquer le trafic de l'application uTorrent sur votre réseau. Pour inspecter le contenu des données du flux de communication, le pare-feu évalue plusieurs paquets dans le flux, y compris des paquets pouvant aider à identifier l'application et d'autres attributs de la charge utile de contenu.

La figure suivante montre un exemple de connexion TCP de l'hôte A à l'hôte B et le point pour que le pare-feu NG évalue une règle de blocage :

mceclip3.png

Meilleures pratiques pour le trafic Internet et WAN

Cette section contient les meilleures pratiques pour une politique de sécurité solide qui sont pertinentes pour les pare-feu Internet et WAN.

Ordonner les règles de pare-feu

Les pare-feu WAN et Internet de Cato Networks sont des pare-feu ordonnés. Le pare-feu inspecte les connexions séquentiellement et vérifie si la connexion correspond à une règle. Par exemple, si une connexion correspond à la règle #3, l'action est appliquée à la connexion et le pare-feu cesse de l'inspecter. Le pare-feu ne continue pas à appliquer les règles #4 et suivantes à la connexion.

Lorsque les règles de pare-feu sont dans le mauvais ordre, vous pouvez accidentellement bloquer ou autoriser du trafic. Cela peut entraîner une mauvaise expérience utilisateur ou créer des risques de sécurité. Pour plus d'informations sur l'ordonnancement des règles de pare-feu, consultez les articles de la base de connaissances pare-feu.

Voici l'ordre recommandé pour la base de règles dans la plupart des cas :

  • Règles de blocage spécifiques

  • Règles d'autorisation générales

  • Règles d'autorisation spécifiques

  • Règle ANY ANY

    • La liste de permis (pare-feu WAN par défaut) utilise une règle de blocage finale

    • La liste de blocage (pare-feu Internet par défaut) utilisateurs une règle de permis finale

Prioriser les règles de pare-feu traditionnelles

Étant donné que le pare-feu Cato suit une base de règles ordonnée, si vous configurez les règles de pare-feu NG avant les règles de pare-feu traditionnelles, le moteur DPI inspectera le trafic pour identifier l'application ou le service avant d'appliquer l'action. Cela signifie que le premier paquet peut passer et atteindre la destination. Par conséquent, pour que les règles traditionnelles protègent correctement votre réseau et appliquent l'action sur le premier paquet, elles doivent avoir une priorité élevée et être placées en haut de la base de règles (avant toute règle de pare-feu NG). Nous vous recommandons de placer toutes les règles de pare-feu traditionnelles en haut de la base de règles avant les règles de pare-feu NG.

Pour plus d'informations, voir ci-dessus, Règles de pare-feu traditionnelles vs NG.

Nombre maximum de prédicats par règle de pare-feu

Les politiques du pare-feu WAN et Internet prennent en charge jusqu'à 64 prédicats par règle.

Surveillance du trafic

L'option Suivi pour les règles de pare-feu vous permet de surveiller et d'analyser les événements de trafic du pare-feu et les notifications. Nous vous recommandons de configurer des règles pour générer des événements pour l'action de Blocage afin de surveiller facilement les sources tentant d'accéder à du contenu restreint. Vous pouvez également configurer des événements et des notifications pour les règles qui gèrent le trafic avec des risques de sécurité significatifs.

Comme bonne pratique, nous recommandons d'utiliser la surveillance pour consigner tout le trafic Internet. Pour implémenter cela, ajoutez une règle d'autorisation explicite ANY-ANY comme règle finale du pare-feu Internet et configurez-la pour générer des événements. Cela offre une visibilité sur tout le trafic Internet de votre réseau afin que vous puissiez comprendre comment mieux protéger le réseau et les utilisateurs tout en maintenant l'utilisabilité.

Pour plus d'informations sur les notifications par email et les événements, consultez Alertes au niveau du compte et notifications système.

Contraintes de temps pour la planification des règles

Le paramètre Temps vous permet de définir une plage horaire spécifique pour la règle de firewall. En dehors de la plage horaire, le firewall ignore cette règle. Cette fonctionnalité vous permet de limiter l'accès à Internet et d'améliorer le contrôle d'accès dans votre réseau. Par exemple, vous pouvez définir une règle dans le firewall Internet qui ne bloque l'accès à la catégorie Sociale que pendant les heures de travail régulières. Ou vous pouvez créer une règle dans le firewall WAN qui ne permet l'accès à un centre de données cloud que pendant les heures de travail. La section Actions pour une règle propose une option prédéfinie pour Limiter aux heures de travail.

Vous pouvez également programmer des contraintes de temps Personnalisées et limiter la règle aux heures spécifiées. Assurez-vous que l'heure de De est réglée plus tôt que l'heure de À, sinon la règle ne fonctionnera pas correctement. Si vous souhaitez créer une contrainte couvrant la fin d'un jour et le début du suivant, créez deux règles et définissez une contrainte pour les heures pertinentes de chaque jour. Par exemple, une règle avec une contrainte définie de 23:00-23:59 le lundi, et une seconde règle avec une contrainte définie de 00:00 à 01:00 le mardi.

Remarque

Remarque : Les règles de firewall contraintes par le temps ont différentes classifications selon le type d'utilisateur:

  • Pour les sites, le fuseau horaire configuré sera utilisé pour appliquer les règles de firewall contraintes par le temps

  • Pour les utilisateurs SDP, les règles de firewall contraintes par le temps seront basées sur la géolocalisation de leur adresse IP publique

Simplification de la gestion du firewall

Une base de règles de firewall simple et épurée aide à mettre en œuvre une politique de sécurité solide car elle est plus facile à gérer et réduit la confusion. Les recommandations de cette section vous aident à créer une politique de sécurité claire et cohérente et à éviter les erreurs.

Éviter les noms de règles confus

Lorsque vous créez une règle, donnez-lui un nom spécifique et unique. Des noms de règles explicites permettent aux autres administrateurs de l'équipe de comprendre facilement le but de la règle. Des règles mal nommées peuvent causer des erreurs et créer de la confusion.

Par exemple, nommez une règle de firewall Internet qui bloque les sites de jeux d'argent Bloquer les jeux d'argent au lieu du peu clair Sites bloqués.

Ne pas désactiver, supprimer

Chaque règle de firewall individuelle peut être désactivée ou activée. Cependant, nous recommandons de ne désactiver les règles que pour une courte période. Pour les règles obsolètes et qui ne sont plus utilisées, supprimez-les de la base de règles au lieu de les désactiver. Les règles désactivées rendent la base de règles plus complexe et difficile à gérer.

Utiliser des Groupes

Lorsque vous créez une règle de firewall, utilisez un Groupe d'utilisateurs ou de sites et restreignez l'accès au réseau pour les membres de ce groupe. Par exemple, vous pouvez créer un groupe d'utilisateurs (Ressources > Groupes) et bloquer l'accès à Internet uniquement pour ce groupe.

Nommer clairement les règles avec exceptions

Les exceptions sont des outils puissants pour les règles de firewall, mais elles peuvent rendre la base de règles difficile à lire. Dans les cas où vous utilisez des exceptions dans les règles, nommez les règles de manière à ce qu'il soit évident qu'elles contiennent des exceptions. Par exemple, Bloquer Social (avec exception).

Éviter d'avoir un très grand nombre de règles

Bien qu'il n'y ait pas de limitation sur le nombre de règles qui peuvent être ajoutées à une politique de firewall, un nombre extrêmement élevé peut entraîner des problèmes de performance et rendre la politique difficile à gérer. Nous recommandons de concevoir la base de règles de manière à éviter d'avoir besoin d'un très grand nombre de règles.

Sécurisation du trafic Internet

Le firewall Internet de Cato inspecte le trafic Internet et vous permet de créer des règles pour contrôler l'accès à Internet. Le firewall Internet est basé sur un ensemble de règles de sécurité qui vous permettent d'autoriser ou de bloquer l'accès des sites et utilisateurs aux sites web, catégories, applications, etc. L'approche par défaut du firewall Internet est la liste de blocage (ANY ANY Allow).

La capture d'écran suivante montre une politique de firewall Internet exemple dans l'application de gestion Cato (Sécurité > Firewall Internet) :

DefaultInternetFirewall.png

Meilleures pratiques pour la politique de firewall Internet de Cato

La section contient les meilleures pratiques pour vous aider à sécuriser l'accès à Internet pour votre compte.

Gestion du trafic QUIC dans Cato

QUIC est un nouveau transport multiplexé construit sur le protocole UDP. HTTP/3 est conçu pour tirer parti des caractéristiques de QUIC, y compris l'absence de blocage Head Of Line entre les flux. Le projet QUIC a commencé comme une alternative à TCP+TLS+HTTP/2, avec pour objectif d'améliorer l'expérience utilisateur, notamment les temps de chargement des pages. Cato peut identifier et bloquer le trafic QUIC ainsi que le trafic GQUIC (Google QUIC).

Pour gérer le trafic QUIC dans une règle de firewall ou de réseau, utilisez le service QUIC et l'application GQUIC dans les règles pertinentes. Voici des exemples de règles de firewall Internet bloquant le trafic QUIC pour un compte:

mceclip0.png

Étant donné que le protocole QUIC fonctionne sur UDP 443, le trafic HTTP encapsulé n'est pas analysé. Cela signifie que l'écran Analytique d'Application ne montre que des entrées pour le trafic QUIC au lieu de l'application elle-même.

Nous recommandons donc de créer des règles spécifiques pour bloquer le trafic QUIC et GQUIC, afin que le navigateur utilise la version HTTP par défaut au lieu de HTTP 3,0 et QUIC. Cela fournit des analyses détaillées pour les applications utilisées, au lieu de seulement rapporter l'utilisation du service QUIC ou de l'application GQUIC.

Éviter d'utiliser ANY comme source dans les règles Internet

Pour les règles qui permettent l'accès à Internet, nous recommandons de sélectionner un site, un hôte ou un utilisateur spécifique dans la colonne Source, au lieu d'utiliser l'option Any. Les règles qui permettent tout trafic vers Internet représentent un risque potentiel de sécurité car elles autorisent le trafic provenant de sources inattendues.

La capture d'écran suivante montre une règle où la colonne Source est réglée sur les groupes Tous les Sites et Tous les Utilisateurs SDP au lieu de Any:

group_rule.png

Remarque

Remarque : Si vous ajoutez de nouveaux sites à votre compte, n'oubliez pas de les ajouter également aux règles de firewall Internet pertinentes.

Amélioration des données d'événements avec des règles granulaires

Les règles du firewall Internet qui utilisent Any dans certains paramètres peuvent générer des événements qui ne contiennent pas d'informations importantes et utiles. Par exemple, une règle configurée avec Any application pourrait générer des événements qui n'identifient pas l'application dans le flux de trafic. Cela se produit parce que le firewall déclenche la règle avant d'avoir terminé l'identification de l'application, puisque toute application correspond à la règle. Ensuite, lorsque la pile de sécurité Cato termine le processus d'identification de l'application, ces données d'utilisation de l'application sont incluses dans l'écran d'Analytique d'Application. Cependant, les événements ne contiennent pas toutes les mêmes informations, et il peut donc être difficile de continuer à enquêter sur l'utilisation de l'application.

Pour aider à améliorer l'analyse de l'utilisation des applications, nous recommandons de minimiser Any pour les conditions de règle et d'utiliser à la place des règles granulaires avec des applications, des services, des ports spécifiques, etc.

Limiter le trafic Internet sortant

Lorsqu'il est nécessaire de configurer des règles de firewall qui permettent tout trafic sortant d'Internet pour un service ou un port spécifique, nous recommandons de bloquer les catégories ou applications qui représentent des risques potentiels de sécurité.

Par exemple, si vous avez une règle qui permet tout le trafic HTTP, ajoutez une exception à la règle pour des catégories telles que : Tricherie, Jeux d'argent, Violence et Haine, Domaines stationnés, Nudité, Armes, Éducation sexuelle, Sectes et Anonymiseurs. Ce sont des exemples de catégories qui peuvent contenir du contenu malveillant, et l'exception bloque l'accès à Internet pour ces catégories.

Utiliser des protocoles sécurisés

En général, nous recommandons que pour les règles qui permettent le trafic Internet, vous utilisiez des protocoles sécurisés encryptés au lieu de protocoles en texte clair ordinaires. Par exemple, utilisez FTPS au lieu de FTP, ou SSH au lieu de Telnet ou SNMP. Le trafic Internet autorisé avec des protocoles sécurisés est crypté et très difficile pour les hackers à intercepter et décrypter.

Demander confirmation aux utilisateurs pour l'accès aux sites Web risqués

Si vous avez une règle permettant l'accès à des sites Web avec un risque de sécurité mineur, nous recommandons d'utiliser l'action Demander confirmation au lieu de Permettre. Lorsque les utilisateurs essaient d'accéder à un de ces sites Web, l'action Demander confirmation redirige les utilisateurs vers une page Web où ils décident s'ils souhaitent continuer ou non. Étant donné que ces sites Web ajoutent un risque de sécurité pour votre réseau, nous recommandons de suivre les événements pour le trafic qui correspond à cette règle.

Pour que l'action Demander confirmation fonctionne correctement, nous recommandons d'installer le certificat Cato sur tous les appareils pris en charge.

Simplifier la gestion de règles en utilisant des catégories personnalisées

Lorsque vous incluez de nombreuses catégories dans une règle, cela rend la base de règles plus difficile à gérer. Vous pouvez plutôt définir une Catégorie Personnalisée contenant toutes les catégories pertinentes, puis ajouter cette seule Catégorie Personnalisée à la règle. Définir des règles simples qui utilisent une Catégorie Personnalisée rend la base de règles facile à lire et à chercher.

Par exemple, vous pouvez créer une Catégorie Personnalisée appelée Internet Profile contenant toutes les catégories, applications et services auxquels vous souhaitez permettre l'accès, puis ajouter la Catégorie Personnalisée à la règle de pare-feu Internet pertinente. Pour garder la règle à jour, vous pouvez simplement éditer la Catégorie Personnalisée et retirer ou ajouter les mises à jour nécessaires.

Voici des suggestions supplémentaires pour les règles qui mettent en œuvre les meilleures pratiques en utilisant des Catégories Personnalisées:

  • Créez une règle pour tout le trafic que vous souhaitez définir avec l'action Demander confirmation. Ensuite, créez une Catégorie Personnalisée appelée Sites pour Demander confirmation contenant toutes les URL et catégories pertinentes, et ajoutez-la à la règle. Les catégories recommandées pour l'action Demander confirmation incluent : Tricherie, Jeux d'argent, Violence et Haine, De Mauvais Goût, Domaines Parkés, Armes, Éducation Sexuelle, Sectes, et Anonymiseurs. Configurez le suivi pour que la règle génère des événements pour le trafic correspondant.

  • Créez une règle pour tout le trafic que vous souhaitez définir avec l'action Bloquer. Ensuite, créez une Catégorie Personnalisée appelée Sites pour Bloquer contenant toutes les URL et catégories pertinentes, et ajoutez-la à la règle. Les catégories recommandées pour l'action Bloquer incluent : Botnets, Compromis, Porno, Keyloggers, Malware, Phishing, Spyware, Drogues Illégales, Piratage, SPAM, Questionnable. Configurez le suivi pour que la règle génère des événements pour le trafic correspondant.

La règle finale dans le pare-feu Internet est une règle implicite Tout - Tout - Permettre, cependant, nous recommandons d'ajouter une règle explicite Tout - Tout - Permettre comme dernière règle. De cette manière, vous pouvez facilement enregistrer TOUT le trafic Internet, il suffit de sélectionner suivre les Événements pour toutes les règles.

Autorisation du trafic Internet

Implémenter un pare-feu Internet avec un comportement de liste blanche signifie que par défaut le pare-feu bloque tout le trafic Internet. Ajoutez des règles au pare-feu qui autorisent spécifiquement le trafic Internet selon les besoins de la politique de sécurité de l'entreprise.

Pour implémenter un pare-feu Internet à liste blanche dans l'application de gestion Cato, la dernière règle en bas de la base de règles doit être une règle explicite qui bloque tout trafic de n'importe quelle source vers n'importe quelle destination. Voir l'exemple suivant :

any_any_block_int.png

Nous recommandons également d'activer le suivi pour la règle finale afin de générer des événements qui vous aident à surveiller et analyser le trafic Internet de votre réseau.

Règles recommandées pour un pare-feu Internet à liste blanche

Cette section discute des règles que nous recommandons d'inclure dans les bases de règles pour le pare-feu Internet qui utilisent l'approche de liste blanche.

Restriction des sites Web et des applications

Lorsque vous autorisez le trafic HTTP et HTTPS, nous recommandons de bloquer les sites Web contenant des contenus risqués et inappropriés. Ces sites Web sont généralement bloqués par les entreprises et peuvent aussi être des sources potentielles de malware. Chaque catégorie (Ressources > Catégories) contient une variété de sites Web et d'applications que vous pouvez facilement ajouter aux règles. Les catégories incluent, par exemple, Botnets, Compromis, Pornographie, Keyloggers, Malware, Phishing, Spyware, Drogues Illégales, Piratage, SPAM, Questionnable.

Autorisation du trafic DNS

En haut de la base de règles, assurez-vous qu'il y a une règle pour autoriser tous les services DNS dans le cadre du trafic Internet.

La capture d'écran suivante montre une règle d'exemple permettant le trafic DNS:

DNS_rule.png

Autorisation des services

Créez une règle pour autoriser les services utilisés par votre compte et nécessitant un accès à Internet. De plus, si certains services sont seulement utilisés pour des sites spécifiques, vous pouvez alors créer une règle distincte qui autorise uniquement l'accès à ces sites.

Autorisation des applications

Ajoutez les applications utilisées par votre organisation aux règles du pare-feu Internet à partir de la liste d'applications prédéfinies. Cato met continuellement à jour cette liste avec de nouvelles applications. Si vous avez besoin d'une application qui n'apparaît pas dans la liste, vous pouvez définir une application personnalisée. Pour plus d'informations sur la configuration des applications personnalisées, consultez Travailler avec des applications personnalisées.

Liste de blocage du trafic Internet

Implémenter un pare-feu Internet avec un comportement de liste de blocage signifie que par défaut le pare-feu autorise tout le trafic Internet. Ajoutez des règles au pare-feu qui bloquent spécifiquement le trafic Internet selon les besoins de votre politique de sécurité d'entreprise. La liste de blocage est la structure par défaut pour le pare-feu Internet, elle permet tout trafic qui n'est pas bloqué par une règle.

De plus, nous recommandons d'utiliser une période d'apprentissage pour identifier le trafic Internet indésirable. Pendant cette période d'apprentissage, ajoutez temporairement une règle au bas de la base de règles permettant tout trafic de n'importe quelle source vers n'importe quelle destination avec le suivi activé. Cette règle génère un événement pour chaque connexion autorisée à accéder à Internet. Lorsque vous examinez le trafic Internet pour votre compte, si vous identifiez un trafic indésirable, vous pouvez alors ajouter une règle pour le bloquer.

Pour plus d'informations sur les événements du pare-feu, consultez Analyser les événements de votre réseau.

Règles recommandées pour un pare-feu Internet avec liste de blocage

Cette section décrit les règles que nous recommandons d'inclure dans les bases de règles pour le pare-feu Internet qui utilise l'approche de liste de blocage.

Blocage des services avec des vulnérabilités connues

Des services tels que Telnet et SNMP v1 & v2 sont des risques de sécurité potentiels, et ils peuvent être bloqués dans les bases de règles Internet. Si votre organisation nécessite l'accès à ces services, nous recommandons d'ajouter une exception à la règle de blocage pour ces utilisateurs ou groupes spécifiques.

La capture d'écran suivante montre une règle d'exemple bloquant le trafic Telnet et SNMP, avec une exception permettant l'accès pour le Département IT:

Block_Telnet.png

Blocage des contenus Web non catégorisés

La catégorie Non catégorisé contient des sites Web qui ne sont pas attribués à une catégorie existante de la liste de catégories. Ces sites Web peuvent être un risque de sécurité potentiel pour votre réseau. Créez une règle qui bloque la catégorie Non catégorisé pour tout le trafic Internet.

Vous pouvez également utiliser le service RBI de Cato pour permettre un accès sécurisé aux sites Non catégorisé. Pour plus d'informations sur le RBI, consultez Sécuriser les sessions de navigation par isolation de navigateur à distance (RBI).

Utiliser la géolocalisation pour bloquer des pays

Il y a plusieurs pays connus pour générer du trafic malveillant. Si votre organisation n'a pas de business avec ces pays, nous recommandons de bloquer l'accès Internet à ceux-ci et de réduire le trafic malveillant potentiel. Vous pouvez créer une règle utilisant le paramètre Pays dans la section App/Catégorie pour bloquer le trafic Internet vers les pays spécifiés.

countries.png

Remarque

Remarque : Pour bloquer tous les accès Internet à un pays, assurez-vous que la règle de géolocalisation est placée plus haut dans la base de règles que celles avec une action d'autorisation ou d'invite.

Sécurisation du trafic WAN

Le pare-feu WAN de Cato est responsable du contrôle du trafic entre les différents éléments réseau connectés au Cato Cloud. Avec le pare-feu WAN, vous pouvez contrôler le trafic WAN sur votre réseau et atteindre une sécurité réseau optimale.

Par défaut, le pare-feu WAN utilise l'approche ANY ANY Block (liste d'autorisation). Cela signifie que toute connectivité entre les sites et les utilisateurs est bloquée à moins que vous ne définissiez des règles spécifiques de pare-feu WAN permettant les connexions.

La capture d'écran suivante montre un exemple de politique de pare-feu WAN dans l'application de gestion de Cato (Sécurité > Pare-feu WAN)

wan_fw.png

Bonnes pratiques pour la politique de pare-feu WAN de Cato

Cette section contient les bonnes pratiques pour vous aider à sécuriser la connectivité WAN pour votre compte.

Autoriser le trafic spécifique entre les sites et les utilisateurs

La règle d'or pour le pare-feu WAN est de permettre seulement le trafic souhaité. Pour ces règles d'autorisation, ajoutez des services et ports spécifiques qui sont utilisés et qui offrent une connectivité sécurisée améliorée pour le pare-feu WAN.

La capture d'écran suivante montre un exemple de règle de pare-feu WAN qui permet à tous les utilisateurs SDP d'accéder au site du centre de données. Cette règle améliore la sécurité car elle ne permet que le trafic RDP pour les utilisateurs SDP.

mobile_rule_wan.png

Éviter tout pour la source et la destination

Les règles de pare-feu WAN qui donnent accès à TOUTE Source ou Destination sont moins sécurisées que des sites et des utilisateurs spécifiques. Les paramètres plus spécifiques vous offrent un contrôle accru sur la connectivité WAN pour le compte.

La capture d'écran suivante montre un exemple de règle de pare-feu WAN utilisant des sites spécifiques dans les paramètres de Source et Destination :

src_and_dest.png

Amélioration des données d'événement avec des règles granulaires

Lorsque vous configurez des règles de pare-feu WAN en utilisant Any dans certains paramètres, les événements liés à la règle n'incluent pas nécessairement toutes les données pertinentes, ce qui peut compliquer l'analyse de l'utilisation des applications. Pour plus d'informations sur les événements pour les règles utilisant les paramètres Any, voir ci-dessus Amélioration des données d'événement avec des règles granulaires . Pour aider à améliorer l'analyse de l'utilisation des applications, nous recommandons de minimiser l'utilisation de Any pour les conditions de règle, et d'utiliser plutôt des règles granulaires avec des applications spécifiques, des services, des ports, etc.

Autorisation de la liste blanche pour le trafic WAN

La mise en œuvre d'un pare-feu WAN avec un comportement de liste blanche signifie que par défaut le pare-feu bloque toute la connectivité WAN entre les sites, serveurs, utilisateurs, etc. Ajoutez des règles au pare-feu qui permettent spécifiquement la connectivité du trafic WAN dans votre réseau. La liste blanche est la structure par défaut pour le pare-feu WAN de Cato; la règle finale implicite de la base de règles WAN est ANY ANY Block.

Nous recommandons fortement de ne pas ajouter de règle qui permette la connectivité de n'importe quelle source vers n'importe quelle destination dans le WAN. Ce type de règle ANY ANY Allow expose votre réseau à des risques de sécurité importants.

Limiter le trafic par services et applications

Une politique de sécurité solide pour un pare-feu WAN liste blanche inclut des règles qui permettent uniquement les services et applications spécifiques utilisés par votre organisation. Au lieu d'utiliser des règles qui autorisent TOUT service pour le trafic entre les sites, ajoutez les services ou applications à cette règle. Puisque les services sont plus spécifiques que les ports, nous recommandons de définir des règles utilisant des services plutôt que des ports lorsque cela est possible.

Des exemples de services souvent utilisés par les organisations incluent : DNS, DHCP, SMB, bases de données, Citrix, RDP, DCE/RPC, SMTP, FTP, ICMP, NetBIOS, NTP, SNMP, etc.

Des exemples d'applications souvent utilisées par les organisations incluent : SharePoint, Slack, Citrix ShareFile, etc.

Vous pouvez également créer une catégorie personnalisée qui contient toutes les applications et services pour le pare-feu WAN, puis ajouter cette catégorie personnalisée aux règles pertinentes. Utilisez les applications personnalisées pour les applications ou les services qui ne sont pas prédéfinis dans le pare-feu. Cela permet également aux événements de contenir le nom de l'application pour une meilleure analyse.

Listes de blocage pour le trafic WAN

La mise en œuvre d'un pare-feu WAN avec un comportement de liste de blocage signifie que par défaut le pare-feu permet toute la connectivité WAN entre les sites, serveurs, utilisateurs, etc. Ajoutez des règles au pare-feu qui bloquent spécifiquement le trafic WAN selon les besoins de la politique de sécurité de l'entreprise. Nous ne recommandons pas d'utiliser cette approche pour une politique de sécurité WAN. Cependant, si votre organisation l'utilise, assurez-vous de bloquer le trafic WAN indésirable.

Pour mettre en œuvre un pare-feu WAN de liste de blocage dans l'application de gestion de Cato, la base de règles contient une règle ANY ANY Allow en bas.

Blocage du trafic WAN pour un pare-feu de liste de blocage

Pour les pare-feu WAN de liste de blocage, nous recommandons d'ajouter les règles suivantes au-dessus de la règle finale ANY ANY Allow pour aider à créer une politique de sécurité forte :

  • Règles pour bloquer les services qui sont des risques de sécurité et ont des vulnérabilités connues, comme SMBv1

  • Règles qui bloquent la connectivité entre les sites qui n'ont pas besoin de communiquer

Cet article vous a-t-il été utile ?

Utilisateurs qui ont trouvé cela utile : 11 sur 11

0 commentaire