Configuration du Transfert de port à distance pour le Compte

Le Transfert de port à distance (RPF) vous permet de diriger une connexion entrante d'Internet via le Cato Cloud vers un hôte LAN interne. La connexion bénéficie ensuite des différents services de sécurité de Cato.

Remarque

Remarque : Le RPF n'est pas pris en charge pour les PoPs situés en Chine. Vous ne pouvez pas choisir une IP allouée pour ces PoPs en Chine.

Vue d'ensemble du transfert de port à distance avec Cato

Vous pouvez contrôler l'accès entrant aux ressources RPF en utilisant soit une approche de liste blanche soit une approche de liste noire :

  • Liste d'autorisation – bloque toutes les sources (adresses IP et plages) et n'autorise que les sources spécifiquement configurées
  • Liste de blocage - autorise toutes les sources (adresses IP et plages) et ne bloque que les sources spécifiquement configurées

L'approche de liste noire est recommandée pour les situations où vous devez contrôler l'accès aux ressources RPF orientées vers Internet et que les sources autorisées ne sont pas connues ou définies. Cette approche offre une option pour configurer une liste de sources bloquées via l'Application de Gestion Cato ou une API. La liste de blocage peut être basée sur des listes de blocage maintenues par le client, des flux de sécurité privés, des enregistrements géographiques spécifiques et des indicateurs provenant de systèmes tiers.

Remarque

Remarque : Le service IPS de Cato protège le trafic RPF entrant, cependant l'inspection TLS n'est pas effectuée sur le trafic entrant. Cela signifie que l'IPS ne peut pas inspecter le contenu du trafic chiffré, mais l'IPS inspecte le trafic basé sur des vérifications de réputation (comme des scanners, balayages de ports, C&Cs connus, etc.).

Protections Anti-Spoofing dans le pare-feu Cato

L'une des fonctionnalités de base d'un NGFW est de protéger contre les attaques de type anti-spoofing. Les moteurs de sécurité dans le Cato Cloud rejettent implicitement toute connexion où l'IP source est en dehors de la portée de l'entité configurée (comme le site, la plage réseau, le dispositif ou l'utilisateur). Cela bloque les attaques anti-spoofing et prévient les violations de la topologie logique configurée.

Révisions de politique et modification simultanée par plusieurs admins

La politique de Transfert de port à distance permet à différents administrateurs de modifier la politique en parallèle. Chaque administrateur peut éditer des règles et sauvegarder les changements dans sa propre révision privée, puis les publier dans la politique de compte (la révision publiée). Pour plus d'informations sur la gestion des révisions de politiques, voir Travailler avec les Révisions Politiques.

Comprendre les Aperçus Autonomes

RPF_auto.png

Les Aperçus du Transfert de Port à Distance sont une liste de meilleures pratiques qui évaluent votre politique de Transfert de Port à Distance et montrent comment elles se conforment aux recommandations de Cato. Suivre ces recommandations optimise vos configurations de pare-feu et améliore votre posture de sécurité.

Il existe deux types d'aperçus :

  • Icône d'étoile (alimentée par l'IA) : Les règles activées dans votre politique de Transfert de Port à Distance sont analysées automatiquement par l'Intelligence Artificielle (IA) pour détecter des problèmes, par exemple, des règles pouvant être rejetées ou modifiées comme :

    • Règle Expirée ou Règle avec Date d'Expiration Future : Règles créées pour répondre à un besoin spécifique et ont une date de fin souhaitable déjà dépassée ou non encore atteinte ou ne pouvant être prouvée/évaluée.
    • Règle Temporaire : Introduite en tant que solution à court terme pour répondre à un besoin immédiat. Ces règles sont principalement créées pour fonctionner temporairement pendant qu'une solution appropriée ou permanente est déployée ou développée.
    • Règle de Test : Règles explicitement créées pour valider, déboguer ou expérimenter une fonctionnalité ou un scénario spécifique.
  • Basée sur la Configuration : Les configurations et paramètres de votre politique de Transfert de Port à Distance visent à garantir qu'elles suivent les meilleures pratiques.

Activer le Transfert de Port à Distance

Pour activer le Transfert de Port à Distance :

  1. Dans le menu de navigation, cliquez sur Sécurité > Transfert de Port à Distance.
  2. Cliquez sur le curseur Désactivé. Le curseur est vert pour indiquer que le RPF est activé.
  3. Cliquez sur Sauvegarder. Le RPF est maintenant activé pour le compte.

Définir les Règles de Transfert de Port à Distance

L'IP Externe pour une règle RPF est une adresse IP allouée par Cato. Pour plus d'informations, voir Allocation d'adresses IP pour le compte. Pour les applications internes, utilisez l'IP interne et le port dans la règle.

Lorsque vous définissez une règle RPF, il existe différentes options pour le paramètre IPs Remotes Autorisés :

  • Entrez une adresse IP spécifique ou une plage d'IP dans l'un de ces formats :

    • Plage d'adresses IP - 192.0.2.10-192.0.2.20
    • Sous-réseau (CIDR) - 192.0.2.0/24

    Vous pouvez également coller une liste séparée par des virgules avec plusieurs adresses IP et plages, par exemple : 10.1.1.1, 10.2.1.1-10.2.1.105

  • Activer le suivi et les notifications.

Si votre réseau nécessite la mappage de plusieurs ports externes vers un seul port interne, il est possible de configurer cela en créant plusieurs règles RPF.

Le mappage des ports externes vers internes est un mappage spécifique un-à-un basé sur l'ordre de la Plage de ports externes et Plage de ports internes. Par exemple, la Plage de ports externes 5000-5005 est mappée à la Plage de ports internes 6103-6108. Cela signifie que le port externe 5000 est mappé au port interne 6103, le port externe 5001 est mappé au port interne 6104, et ainsi de suite.

RemotePortForwarding.png

Remarque

Remarque : Pour les comptes avec des sites IPsec, si les IP externes d'une règle RPF se chevauchent avec les adresses IP d'un site IPsec, assurez-vous que la règle exclut les ports de tunnel IPsec UDP/500 et UDP/4500.

Pour définir une règle de Transfert de Port à Distance :

  1. Dans le menu de navigation, cliquez sur Sécurité > Transfert de port à distance.

    La page du Transfert de port à distance s'ouvre sur votre révision non publiée existante, ou sur la révision publiée la plus récente.

  2. Cliquez sur Nouveau. Le panneau Ajouter une Règle s'ouvre.
  3. Entrez le Nom de la règle.
  4. (Optionnel) Sélectionnez Transférer ICMP pour activer le transfert des messages ICMP pour cette règle.
  5. Dans la section Externe, définissez l'IP Externe et la Plage de Ports Externes alloués par Cato pour les ports surveillés par le PoP.
  6. Dans la section Interne, entrez l'adresse IP Interne vers laquelle le trafic est transféré et la Plage de Ports Internes.
  7. Dans la section IPs Distantes, sélectionnez si cette règle est une Liste d'Autorisation ou une Liste de Blocage.
    1. Pour définir uniquement le trafic autorisé à se connecter à l'hôte :
      1. Sélectionnez Liste d'Autorisation.
      2. Sélectionnez les Sources de Trafic en fonction de l'IP ou du Sous-réseau. Ce sont les adresses IP et les plages autorisées à effectuer le RPF vers l'hôte.
      3. Cliquez sur add.png (Ajouter) pour ajouter d'autres IPs distantes autorisées.
    2. Pour permettre tout le trafic vers cet hôte, et définir les sources qui sont BLOQUÉES et ne peuvent pas s'y connecter :
      1. Sélectionnez Liste de Blocage.
      2. Sélectionnez les Sources de Trafic en fonction de l'IP ou du Sous-réseau. Ce sont les adresses IP et les plages qui sont bloquées et ne peuvent pas effectuer le RPF vers l'hôte.
      3. Cliquez sur add.png (Ajouter) pour ajouter d'autres IPs distantes bloquées.
  8. (Optionnel) Définir les notifications par e-mail, pour le trafic qui correspond à la règle. Pour plus d'informations, voir Alertes de Niveau de Compte et Notifications du Système.
  9. Cliquez sur Appliquer. La règle est ajoutée.

  10. Cliquez sur Sauvegarder.

    Les modifications sont enregistrées dans votre révision non publiée et sont disponibles pour édition jusqu'à ce qu'elles soient publiées ou rejetées.

Cet article vous a-t-il été utile ?

Utilisateurs qui ont trouvé cela utile : 0 sur 0

0 commentaire