Autorisation des signatures IPS

Cet article explique comment créer une règle de liste blanche pour permettre au trafic avec une signature IPS spécifique de contourner le moteur d'inspection IPS.

Aperçu de la Liste d'Autorisation IPS

Le moteur du système de prévention des intrusions (IPS) de Cato examine le trafic WAN et Internet pour détecter divers types d'attaques réseau et utilise différentes techniques de prévention pour protéger le réseau. Certaines des protections de l'IPS sont basées sur des signatures de trafic qui définissent le type d'attaque réseau potentielle. Chaque fois qu'un schéma de trafic correspond à une signature IPS, le moteur IPS applique à ce trafic l'action de la politique IPS (bloquer, surveiller ou autoriser).

Pour l'action de blocage de l'IPS, vous pouvez utiliser des règles de liste blanche IPS pour configurer le moteur IPS afin qu'il ignore le trafic correspondant. Par exemple, vous pouvez créer une règle de liste blanche IPS directement à partir d'un événement de blocage IPS dans l'écran des événements.

Remarque

Remarque : L'utilisation de noms de domaine ou de FQDNs dans une règle de liste d'autorisation IPS ne s'applique pas à toutes les protections et signatures IPS. Au lieu de cela, assurez-vous d'utiliser des plages IP pour que la règle autorise toutes les protections IPS.

Le Trafic Réseau et le Périmètre de Protection IPS

Vous pouvez créer des règles pour lister le trafic permis pour le moteur IPS en fonction d'un périmètre spécifique du trafic réseau. Le trafic de la source (De) et à destination (À) est uniquement listé selon l'un de ces types de trafic réseau :

  • WAN - Trafic WAN entre sites et hôtes via le Cloud Cato

  • Entrant - Trafic depuis l'Internet vers le réseau client interne

  • Sortant - Trafic du réseau client interne vers Internet

  • Tout - Tout le trafic réseau

AllowList_Rulebase.png

Éléments dans une Règle de Liste d'Autorisation IPS

Le tableau suivant explique les éléments que vous pouvez utiliser pour définir les paramètres d'une règle de liste blanche IPS :

Élément

Description

Nom

Nom pour la règle de liste blanche IPS.

Périmètre

Périmètre de protection pour le trafic auquel s'applique la liste blanche IPS.

Vous ne pouvez pas modifier le périmètre d'une règle.

Source

Source du trafic pour cette règle.

Destination

Destination du trafic pour cette règle.

Protocole/Port

S'applique uniquement au trafic qui correspond au protocole et aux ports spécifiés. Vous pouvez définir un seul port ou une plage de ports pour chaque règle. Utilisez des règles distinctes pour définir plusieurs ports, par exemple une règle pour le port TCP 80 et une deuxième règle pour le port TCP 200.

ID de signature

La signature IPS qui est listée et tout trafic avec cette signature correspondant à cette règle est permis par le moteur IPS.

Vous pouvez entrer Tout pour configurer le moteur IPS afin de permettre tout le trafic correspondant à cette règle.

Suivi

Lorsque la règle est respectée, un événement est généré ou une alerte de notification par e-mail est envoyée à la liste spécifiée.

More_icon.png

Options pour Activer, Désactiver ou Supprimer

Le tableau suivant montre les entités que vous pouvez configurer pour les champs Source et Destination dans les règles de liste blanche pour chaque périmètre de protection IPS :

Périmètre de la règle

Entités disponibles pour la source

Entités disponibles pour la destination

Entrant

Pays

Plage d'IP

ASN distant

Sous-réseau

Tout

Sous-réseau flottant

Groupe

Hôte

Sous-réseau d'interface

IP

Interface réseau

Site

Groupe du système

Utilisateur

Groupe d'utilisateurs

Utilisateur SDP

Tout

WAN

Sous-réseau flottant

Groupe

Hôte

Sous-réseau d'interface

IP

Interface réseau

Site

Groupe du système

Utilisateur

Groupe d'utilisateurs

Utilisateur SDP

Tout

Sous-réseau flottant

Groupe

Hôte

Sous-réseau d'interface

IP

Interface réseau

Site

Groupe du système

Utilisateur

Groupe d'utilisateurs

Utilisateur SDP

Tout

Sortant

Sous-réseau flottant

Groupe

Hôte

Sous-réseau d'interface

IP

Interface réseau

Site

Groupe du système

Utilisateur

Groupe d'utilisateurs

Utilisateur SDP

N'importe lequel

Pays

Domaine

FQDN

Plage d'IP

ASN distant

N'importe lequel

Travailler avec la base de règles de la Liste d'Autorisation IPS

La base de règles de la liste d'autorisation IPS contient toutes les règles qui permettent le trafic pour le moteur IPS. Toutes les règles de la liste d'autorisation IPS correspondantes sont appliquées au trafic, ce comportement est différent de la base de règles de pare-feu ordonnée où seule la première règle correspondante est appliquée. Cela signifie que si une connexion correspond à plusieurs règles de liste d'autorisation, alors chaque règle correspondante génère un événement.

Par exemple, une connexion avec une signature IPS bloquée correspond aux règles de liste d'autorisation IPS 2 et 4. La connexion est autorisée et permise par le moteur IPS. La connexion génère deux événements distincts, un pour la règle 2 et un pour la règle 4.

Création d'une Règle de Liste d'Autorisation IPS à partir d'un Événement Bloqué

Vous pouvez utiliser la Découverte d'Événements pour identifier la signature IPS qui bloque le trafic, puis créer une règle de liste d'autorisation IPS à partir de l'événement de blocage. Vous pouvez cliquer sur l'ID de signature dans un événement pour ouvrir une fenêtre qui vous permet de configurer les paramètres pour une nouvelle règle de liste d'autorisation IPS. La règle est ensuite ajoutée à la base de règles de la liste d'autorisation IPS dans la politique IPS (Sécurité > IPS).

Pour créer une règle de liste d'autorisation IPS à partir d'un événement :

  1. Depuis Accueil > Événements, affichez l'événement IPS pour le trafic bloqué. Voici une procédure exemple pour montrer un événement IPS :

    1. Depuis le menu déroulant Sélectionner Préréglage, sélectionnez IPS.

    2. Localisez l'événement pour l'ID de signature IPS.

    3. Développez l'événement.

  2. In signature id, click the link for the signature.

    Le panneau Nouvelle Liste d'Autorisation s'ouvre. Les paramètres pour la règle sont basés sur les données pour l'événement.

    IPS_allow_from_event.png

  3. Passez en revue les paramètres pour la règle de la liste d'autorisation IPS. La Périmètre correspond à la direction du trafic pour l'événement et vous ne pouvez pas le changer.

  4. Dans la section Suivi, vous pouvez choisir de générer un Événement et Notification Email lorsque cette signature est autorisée.

  5. Cliquez sur Sauvegarder. La règle est ajoutée à la base de règles de la liste d'autorisation IPS.

  6. Pour montrer la base de règles de la liste d'autorisation IPS, depuis le menu de navigation cliquez sur Sécurité > IPS et sélectionnez l'onglet Liste d'Autorisation.

Gestion des Règles de Liste d'Autorisation IPS

Utilisez la section Liste d'Autorisation IPS dans l'écran Politique IPS pour créer, éditer et supprimer manuellement des règles de liste d'autorisation IPS.

Montrer la Base de Règles de Liste d'Autorisation IPS

La base de règles de la liste d'autorisation IPS se trouve dans la page Politique IPS.

Pour montrer la base de règles de la liste d'autorisation IPS :

  1. Depuis le menu de navigation, cliquez sur Sécurité > IPS.

  2. Sélectionnez l'onglet Liste d'Autorisation. La base de règles de la liste d'autorisation IPS est affichée.

Création manuelle d'une Règle de Liste d'Autorisation IPS

Vous pouvez ajouter une nouvelle règle à la base de règles de la liste d'autorisation IPS et définir les paramètres pour la règle. Vous ne pouvez pas éditer la portée d'une règle.

L'ID de signature IPS est une signature personnalisée que Cato utilise pour le moteur IPS. Vous ne pouvez voir les IDs de signature que dans les événements IPS.

Autorisation du Trafic de Restriction Géographique IPS

Si vous avez besoin de créer des règles de liste d'autorisation pour la politique de restriction géographique IPS, vous devez définir une Plage d'IP dans le champ Destination. Si la règle est définie en fonction d'un Domaine, le trafic ne contourne pas le moteur d'inspection IPS. An alternative method of applying geo restrictions based on domains is with the Internet Firewall. Pour plus d'informations, consultez Politiques de Pare-feu Internet et WAN – Meilleures Pratiques.

Pour créer manuellement une règle de liste d'autorisation IPS :

  1. Depuis le menu de navigation, cliquez sur Sécurité > IPS.

  2. Cliquez sur Nouveau. Le panneau Nouvelle Liste d'Autorisation s'ouvre.

  3. Entrez le Nom pour la règle.

  4. Sélectionnez la Portée de la règle.

  5. Définissez l'ID de Signature pour la règle, voir ci-dessus Éléments dans une Règle de Liste d'Autorisation IPS.

    Si vous définissez ID de signature sur N'importe quel, alors le moteur IPS permet tout le trafic correspondant.

  6. Cliquez sur Appliquer. La règle de liste d'autorisation IPS est ajoutée à la base de règles.

  7. Cliquez sur Sauvegarder.

Cet article vous a-t-il été utile ?

Utilisateurs qui ont trouvé cela utile : 3 sur 6

0 commentaire