Configuration de l'IPS et des restrictions géographiques

Aperçu de la politique IPS de Cato

Le service IPS de Cato est composé de plusieurs couches de sécurité, y compris :

Signatures comportementales : Protection contre les déviations du comportement normal et attendu du système ou de l'utilisateur. Le comportement normal est identifié à l'aide des analyses de big data de Cato Networks et de la visibilité approfondie sur de nombreux flux de trafic via le Cato Cloud.
Analyse de réputation : Protection contre la communication entrante/sortante avec des ressources compromises ou malicieuses.
Vulnérabilités connues : Protection contre les CVE connus, s'adaptant rapidement pour en intégrer de nouveaux.
Anti-Bot : Protection contre le trafic sortant vers les serveurs C&C basé sur les flux de réputation et l'analyse comportementale du réseau.
Analyse comportementale du réseau : Protection contre les analyses de réseau entrantes/sortantes.
Validation du protocole : Protection contre les paquets invalides (conformité au protocole), réduisant la surface d'attaque des exploits utilisant du trafic anormal.
Restriction géographique : Appliquer une politique de restriction géographique personnalisée pour bloquer le trafic entrant, sortant ou tout le trafic vers des pays spécifiques.

IPS et restriction géographique de Cato

Cette section est un exemple de création d'une politique IPS pour bloquer le trafic WAN et entrant. Elle contient également une politique de restriction géographique pour bloquer le trafic pour l'Iran et la Corée du Nord.

Définition de la politique de protection IPS

Pour le trafic WAN, entrant et sortant, vous pouvez définir les actions du moteur IPS et les notifications par e-mail pertinentes. Il est possible que le trafic correspondant soit un faux positif et soit en réalité un trafic légitime.

Voici les actions disponibles :

Bloquer - Bloque le trafic et il ne continue pas vers sa destination. Lorsque applicable, redirige l'utilisateur vers une page web de blocage dédiée. Un événement est généré pour l'écran des événements (Accueil > Événements).
Surveiller - Le trafic est autorisé à continuer vers la destination et un événement est généré pour l'écran des événements (Accueil > Événements).

Pour configurer les actions pour la politique IPS :

Dans le menu de navigation, cliquez sur Sécurité > IPS.
Sur la page IPS, cliquez sur l'onglet Politique de Protection.
Cliquez sur le curseur pour activer la politique IPS.

Le curseur est vert lorsqu'il est activé.
Dans la section Politique de Protection, configurez les paramètres suivants pour chaque Protection Scope :
1. Pour le trafic WAN, l'IPS bloque les protections correspondantes et génère une notification par e-mail :
  1. Cliquez sur Trafic WAN.
    
    Le panneau Éditer s'ouvre.
  2. Dans Action, dans le menu déroulant, sélectionnez Bloquer.
  3. Dans Suivi, sélectionnez Notification par e-mail.
  4. Cliquez sur Appliquer.
2. Pour le trafic Internet entrant, l'IPS bloque les protections correspondantes et génère une notification par e-mail :
  1. Cliquez sur Trafic entrant.
    
    Le panneau Éditer s'ouvre.
  2. Dans Action, dans le menu déroulant, sélectionnez Bloquer.
  3. Dans Suivi, sélectionnez Notification par e-mail.
  4. Cliquez sur Appliquer.
3. Pour le trafic Internet sortant, l'IPS surveille les protections correspondantes et ne génère pas de notification par e-mail :
  1. Cliquez sur Trafic sortant.
    
    Le panneau Éditer s'ouvre.
  2. Dans Action, dans le menu déroulant, sélectionnez Surveiller.
  3. Dans Suivi, assurez-vous que Notification par e-mail est décochée.
  4. Cliquez sur Appliquer.
Cliquez sur Sauvegarder. Les paramètres de la politique IPS sont enregistrés pour le compte.

Gestion des règles de restriction géographique

Vous pouvez définir des règles de restriction géographique pour l'IPS. Les règles de restriction géographique pour l'IPS sont basées sur la géolocalisation des adresses IP et non sur le domaine. Vous pouvez définir la règle pour qu'elle s'applique au trafic entrant, sortant ou dans les deux sens.

Remarque

Remarque : Si vous configurez une règle de restriction géographique pour le trafic entrant, cela s'applique également aux ressources RPF. Cependant, les règles de restriction géographique IPS ne s'appliquent pas au trafic des clients Cato SDP. Pour bloquer les connexions des clients de régions spécifiques, vous pouvez configurer des règles dans la politique de connectivité des clients.

Pour définir une règle de restriction géographique :

Dans le menu de navigation, cliquez sur Sécurité > IPS.
Sur la page IPS, cliquez sur l'onglet de Restriction géographique ou développez la section.
Cliquez sur Nouveau.

Le panneau Ajouter s'ouvre.
Entrez le Nom pour la règle, et dans Direction, sélectionnez Les deux sens pour configurer la règle à appliquer à tout le trafic.
Dans la section Pays, ajoutez Iran et Corée, République Populaire Démocratique de (Corée du Nord).
Dans Action, sélectionnez Bloquer pour bloquer tout le trafic vers et depuis l'Iran et la Corée du Nord.
Dans Suivi sélectionnez Événement et Notification par e-mail, pour avoir la visibilité maximale pour le trafic vers et depuis l'Iran et la Corée du Nord.
Cliquez sur Appliquer puis cliquez sur Sauvegarder.