IPS नीति को कॉन्फ़िगर करना

अवलोकन

आप इनबाउंड, आउटबाउंड संगठन के लिए और इसके WAN के बीच दुर्भावनापूर्ण ट्रैफ़िक से उत्पन्न खतरों के खिलाफ सुरक्षा को सक्षम या अक्षम कर सकते हैं। आप सेवा को ट्रैफ़िक को अवरुद्ध करने या बिना अवरुद्ध किए निगरानी के लिए भी कॉन्फ़िगर कर सकते हैं।

Cato का IPS सेवा कई परतों की सुरक्षा से बना है जिसमें शामिल हैं:

  • प्रतिष्ठा विश्लेषण: समझौता किए गए या दुर्भावनापूर्ण संसाधनों के साथ आंतरिक / बाहरी संचार के खिलाफ सुरक्षा।

  • ज्ञात कमजोरियां: ज्ञात CVE के खिलाफ सुरक्षा, नए को शामिल करने के लिए तेजी से अनुकूलित करता।

  • एंटी-बॉट: प्रतिष्ठा फीड्स और नेटवर्क व्यवहारिक विश्लेषण के आधार पर C&C सर्वर्स के लिए आउटबाउंड ट्रैफ़िक के खिलाफ सुरक्षा।

  • नेटवर्क व्यवहारिक विश्लेषण: आंतरिक / बाहरी नेटवर्क स्कैन के खिलाफ सुरक्षा।

  • प्रोटोकॉल वैलिडेशन: अमान्य पैकेटों से सुरक्षा (प्रोटोकॉल की अनुकूलता), अनोमालस ट्रैफ़िक का उपयोग करने वाले शोषणों से हमले की सतह को कम करना।

  • भू-प्रतिबंध: विशेष देशों के लिए इनबाउंड, आउटबाउंड, या सभी ट्रैफ़िक को ब्लॉक करने के लिए कस्टम भू-प्रतिबंध नीति लागू करें।

  • टनलिंग हमले: वैध प्रोटोकॉल (जैसे, HTTP, HTTPS, DNS) के भीतर दुर्भावनापूर्ण ट्रैफ़िक को छिपाने के प्रयासों की पहचान करना और उन्हें अवरुद्ध करना जिससे सुरक्षा नियंत्रणों से बचा जा सके।

नोट

नोट: हम अनुशंसा करते हैं कि आप अपने नेटवर्क के लिए अधिकतम सुरक्षा प्रदान करने के लिए TLS निरीक्षण सक्षम करें।

आईपीएस नीति केवल खतरा सुरक्षा लाइसेंस के साथ उपलब्ध है। अधिक जानकारी के लिए, अपने बिक्री प्रतिनिधि से संपर्क करें।

Cato IPS में मशीन लर्निंग मॉड्यूल

स्थिर खतरों की फीड्स के अलावा, Cato IPS कुछ हमलों के प्रकारों के खिलाफ रियल-टाइम सुरक्षा प्रदान करने के लिए मशीन लर्निंग मॉड्यूल का उपयोग करता है। IPS इंजन कई स्थिर खतरों की फीड्स का उपयोग करता है जो ज्ञात कमजोरियों के पैटर्न को लेता है और इनके हस्ताक्षर बनाकर इन्हें इंजन में एकीकृत करता है। दूसरी ओर, मशीन लर्निंग ह्यूरिस्टिक मॉड्यूल ज्ञात और अज्ञात खतरा खुफिया के मिश्रण का उपयोग करके निर्णय करता है कि कुछ खतरा है या नहीं और स्थिर फ़ीड पर निर्भर नहीं करता है। ये मशीन लर्निंग मॉडल DGA और साइबर्सकवाटिंग तकनीकों द्वारा उत्पन्न संभावित दुर्भावनापूर्ण अज्ञात डोमेन्स की रीयल-टाइम में पहचान करते हैं।

मशीन लर्निंग एल्गोरिदम का उपयोग क्यों करें?

खतरों की रोकथाम के लिए मशीन लर्निंग मॉडल का लाभ यह है कि DGA और साइबर्सकवाटिंग को केवल स्थिर ब्लैकलिस्ट्स से नहीं रोक सकते; इनकी रणनीतियाँ अनियमित अंतराल पर बदलती रहती हैं और हर दिन DGA और साइबर्सकवाटिंग की नई विधियों का उपयोग किया जाता है। मशीन लर्निंग एल्गोरिदम हमें संभावित दुर्भावनापूर्ण डोमेन्स की वास्तविक समय में पहचान करने की अनुमति देते हैं। DGA उन डोमेन्स की पहचान करता है जो एल्गोरिदम द्वारा उत्पन्न हो सकते हैं (जो सामान्य शब्दकोश शब्दों का उपयोग नहीं करते)। DGA कमांड और नियंत्रण (C&C) संचार के लिए उपयोग किया जाता है, और साइबर्सकवाटिंग को फिशिंग हमलों के लिए उपयोग किया जा सकता है।

Cato मशीन लर्निंग एल्गोरिदम का हिस्सा एक ज्ञात ब्रांडों की सूची है जिसे हम इंजन के साइबर्सकवाटिंग भाग के लिए निगरानी करते हैं, लेकिन ग्राहकों के पास उनके स्वयं के डोमेन सूची जोड़ी जा सकती है निगरानी के लिए। DGA मशीन लर्निंग मॉडल DNS सुरक्षा और IPS इंजन पर चलाए जाएंगे, लेकिन साइबर्सकवाटिंग इंजन केवल IPS पर चलाया जाएगा।

जब कोई घटना होती है, तो एक हस्ताक्षर आईडी दर्शायेगा कि कौनसे मॉडल ने खतरे की पहचान की है, लेकिन अन्य घटना फ़ील्ड्स से पहचान योग्य नहीं होगा।

IPS खतरे श्रेणियों को समझना

IPS श्रेणियाँ अनुभाग उन खतरे के प्रकारों की व्याख्या प्रदान करता है जिन्हें IPS इंजन द्वारा पहचान गया है। अनुभाग सभी IPS श्रेणियां जो Cato द्वारा परिभाषित की गई हैं और पिछले सात दिनों में प्रत्येक खतरे के प्रकार के लिए ट्रिगर की गई घटनाओं की संख्या दिखाता है।

आप एक नंबर पर क्लिक करके घटनाएँ स्क्रीन खोल सकते हैं जो खतरे के प्रकार के लिए पहले से फ़िल्टर किया गया हो।

IPS सेटिंग्स का प्रबंधन

यह अनुभाग बताता है कि आपके खाते के नेटवर्क्स को सुरक्षित करने के लिए IPS नीति को कैसे कॉन्फ़िगर करें।

IPS_नीति.png

आईपीएस सुरक्षा को सक्षम और अक्षम करना

अपने खाते के लिए IPS को सक्षम या अक्षम करने के लिए:

  1. नेविगेशन मेनू से सुरक्षा > IPS पर क्लिक करें।

  2. स्लाइडर पर क्लिक करें ताकि खाते के लिए आईपीएस नीति सक्षम (हरा) या अक्षम (ग्रे) हो जाए।

  3. सहेजें पर क्लिक करें।

IPS सेटिंग्स को परिभाषित करना

WAN, आंतरिक, और बाहरी ट्रैफ़िक के लिए, आप खतरा पहचान द्वारा ट्रिगर की गई क्रियाओं को परिभाषित कर सकते हैं और उनके अलर्ट सेट कर सकते हैं। उपलब्ध कार्रवाइयां ये हैं:

  • ब्लॉक करें - हानिकारक ट्रैफ़िक को उसके गंतव्य तक पहुँचने से रोकता है। जब लागू होता है, तो उपयोगकर्ता को समर्पित ब्लॉक वेब पृष्ठ पर पुनर्निर्देशित किया जाता है।

  • निगरानी करें - हानिकारक ट्रैफ़िक के लिए घटनाएँ उत्पन्न करता है (दिखाया गया होम > घटनाएँ)। फिर ट्रैफ़िक गंतव्य की ओर बढ़ता है।

फ़ाइल सुरक्षा विकल्पों को कॉन्फ़िगर करना

IPS नीति के लिए फ़ाइल सुरक्षा क्रियाएं कॉन्फ़िगर करने के लिए:

  1. नेविगेशन मेनू से सुरक्षा > IPS पर क्लिक करें।

  2. सुरक्षा नीति टैब पर क्लिक करें, और प्रत्येक सुरक्षा क्षेत्र के लिए सेटिंग्स परिभाषित करें:

    1. सुरक्षा क्षेत्र कॉलम में, ट्रैफ़िक प्रकार पर क्लिक करें। संपादित करें पैनल खुलता है।

    2. सामान्य अनुभाग में, सुरक्षा क्षेत्र (हरा सक्षम है, भूरा अक्षम है) को सक्षम या अक्षम करें।

    3. कार्रवाई अनुभाग में, IPS सुरक्षा से मेल खाने वाले ट्रैफ़िक के लिए कार्रवाई सेट करें।

    4. ट्रैक अनुभाग में, अधिसूचना विकल्प सेट करें।

      अधिसूचनाओं के बारे में अधिक जानकारी के लिए, अलर्ट्स अनुभाग में सदस्यता समूह, मेलिंग सूचियाँ और अलर्ट एकीकरण के लिए संबंधित लेख देखें।

    5. लागू करें पर क्लिक करें।

      सुरक्षा क्षेत्र के लिए सेटिंग्स को IPS नीति में जोड़ दिया गया है।

  3. सहेजें पर क्लिक करें। IPS नीति को सहेजा गया है।

आईपीएस प्रवर्तन विकल्प कॉन्फ़िगर करना

IPS नीति के लिए प्रवर्तन विकल्प आपको इनबाउंड और आउटबाउंड ट्रैफ़िक के लिए खतरा सुरक्षा के एक अतिरिक्त स्तर को जोड़ने की अनुमति देते हैं।

नवीनतम पंजीकृत डोमेन्स ब्लॉक करना

आउटबाउंड ट्रैफ़िक के लिए आप 14 दिनों से कम समय के डोमेन्स को स्वचालित रूप से अवरुद्ध करने के लिए IPS को कॉन्फ़िगर कर सकते हैं। मैलवेयर अक्सर खतरा सुरक्षा से बचने के लिए नवीनतम पंजीकृत डोमेन्स का उपयोग करता है। नवीनतम पंजीकृत डोमेन्स में से अधिकांश दुर्भावनापूर्ण या संदिग्ध होते हैं।

नवीनतम पंजीकृत डोमेन्स को ब्लॉक करने के लिए:

  1. नेविगेशन मेनू से, सुरक्षा > आई.पी.एस. क्लिक करें।

  2. प्रवर्तन विकल्प टैब से, आउटबाउंड ट्रैफिक - नवीनतम पंजीकृत डोमेन्स को ब्लॉक करें पर क्लिक करें।

  3. सहेजें क्लिक करें।

संदिग्ध आईपी पतों को क्वारंटाइन करना

संदिग्ध IP क्वारंटाइन सुविधा आई.पी.एस. को उन संदिग्ध आगत IP पतों को अस्थायी रूप से ब्लॉक करने की अनुमति देती है जो आपके नेटवर्क को आक्रामक रूप से स्कैन कर रहे हैं। यह सुविधा पांच मिनट के लिए इन संदिग्ध IP पतों से ट्रैफ़िक को ब्लॉक करती है।

संदिग्ध IP पतों से ट्रैफ़िक को क्वारंटाइन करने के लिए:

  1. नेविगेशन मेनू से, सुरक्षा > आई.पी.एस. क्लिक करें।

  2. प्रवर्तन विकल्प टैब से, इनबाउंड ट्रैफिक - संदिग्ध IP क्वारंटाइन क्लिक करें।

  3. सहेजें क्लिक करें।

भू-प्रतिबंध नियमों को परिभाषित करना

आप विशिष्ट देशों से (आगत) या को (निर्यात) ट्रैफ़िक ब्लॉक करने के लिए भू-प्रतिबंध नियम परिभाषित कर सकते हैं, या नियम में परिभाषित देशों को सभी ट्रैफ़िक।

नोट

नोट: यदि आप आगत ट्रैफ़िक के लिए भू-प्रतिबंध नियम को कॉन्फ़िगर करते हैं, तो यह RPF संसाधनों पर भी लागू होता है। हालांकि, आई.पी.एस. भू-प्रतिबंध नियम Cato SDP क्लाइंट से ट्रैफ़िक पर लागू नहीं होते हैं। विशिष्ट क्षेत्रों से क्लाइंट कनेक्शन को ब्लॉक करने के लिए, आप क्लाइंट एक्सेस नीति में नियम कॉन्फ़िगर कर सकते हैं।

भू-प्रतिबंध नियम परिभाषित करने के लिए:

  1. नेविगेशन मेनू से, सुरक्षा > आई.पी.एस. क्लिक करें।

  2. भू-प्रतिबंध टैब से, नया क्लिक करें। जोड़ें पैनल खुलता है।

  3. सामान्य अनुभाग में, निम्नलिखित सेटिंग्स को कॉन्फ़िगर करें:

    1. नियम का एक नाम दर्ज करें।

    2. सुनिश्चित करें कि नियम सक्रिय है (हरा सक्रिय है, धूसर अक्षम है)।

    3. इस नियम के लिए ट्रैफ़िक की दिशा चुनें: बाहर जाने वाला, आगत या दोनों दिशाओं में

  4. देश अनुभाग में, इस भू-प्रतिबंध नियम के लिए देश निर्धारित करें।

    1. देश खोज करें, और फिर इसे चुनें।

    2. प्रत्येक देश के लिए जिसे आप इस नियम में जोड़ रहे हैं, पिछले चरण को दोहराएँ।

  5. क्रियाएँ अनुभाग में, इस नियम के लिए कार्रवाई और ट्रैकिंग सेटिंग्स सेट करें:

    1. नियम के लिए कार्रवाई परिभाषित करें: ब्लॉक करें, निगरानी करें या अनुमति दें (निगरानी और अनुमति दोनों क्रियाएँ बिना ट्रैफ़िक ब्लॉक किए घटनाएँ उत्पन्न करती हैं)।

    2. घटना पर क्लिक करें, आईपीएस सुरक्षा से मेल खाने वाले ट्रैफ़िक के लिए घटनाएँ उत्पन्न करने के लिए।

    3. नोटिफिकेशन भेजें पर क्लिक करें, और अधिसूचनाएँ भेजे जाने की आवृत्ति सेट करें।

      अधिसूचनाएं प्राप्त करने वाले प्रशासकों की मेलिंग सूची चुनें।

  6. लागू करें पर क्लिक करें। नियम जोड़ दिया गया है।

  7. सहेजें पर क्लिक करें।

भू-प्रतिबंध नियमों को निष्क्रिय करना

आप अस्थायी रूप से भू-प्रतिबंध नियमों को अक्षम कर सकते हैं और फिर भविष्य में उन्हें पुनः सक्रिय कर सकते हैं।

भू-प्रतिबंध नियम को अक्षम करने के लिए:

  1. नेविगेशन मेनू से, सुरक्षा > आईपीएस पर क्लिक करें।

  2. भू-प्रतिबंध टैब में, नियम के दायें छोर पर अधिक आइकन पर क्लिक करें और निष्क्रिय करें चुनें।

  3. सहेजें पर क्लिक करें। नियम अक्षम किया गया है।

क्या यह लेख उपयोगी था?

6 में से 5 के लिए उपयोगी रहा

0 टिप्पणियां