Este artigo fornece recomendações e melhores práticas para testar diferentes aspectos dos serviços de Segurança na Cato Cloud.
Nota
Nota: Esses testes podem envolver malware real. Certifique-se de que você está testando em um ambiente seguro e isolado.
Resultado desejado: Transferência de arquivo via HTTP é bloqueada e mostra a Página de Bloqueio do Cato. Download via HTTPS só é bloqueado após a habilitação da inspeção TLS.
Certifique-se de que a Inspeção TLS está desabilitada antes de iniciar este teste.
-
Vá para o site da EICAR (http://www.rexswain.com/eicar.html) para arquivos de malware HTTP de amostra.
-
Baixar eicar.com via HTTP e o download é bloqueado.
-
Baixar eicar.com via HTTPS e o download é bem-sucedido.
Vá ao website EICAR (https://www.eicar.org/?page_id=3950) para arquivos de malware HTTPS de amostra.
-
Vá para Segurança > Inspeção TLS e habilite a Inspeção TLS para a conta, e clique em Salvar.
-
Baixar eicar.com via HTTPS e o download é bloqueado.
-
Use Inicial > Eventos com o preset de Anti-malware para mostrar os eventos para os arquivos maliciosos bloqueados.
Resultado desejado: Arquivo é transferido com sucesso com apenas o Anti-Malware habilitado. Após habilitar NG Anti-Malware, a transferência de arquivo é bloqueada.
Certifique-se de estar usando um serviço de download via web como WeTransfer que não está incluído em uma exceção ou na Lista de Permissão. Caso contrário, o download do arquivo é bem-sucedido porque ele não é escaneado pelo motor de NG Anti-Malware.
-
Vá para Segurança > Anti-Malware, e configure estas configurações:
-
Anti-Malware está habilitado
-
NG Anti-Malware está desabilitado
-
-
Clique aqui para baixar eicar_s1.txt e o download é bem-sucedido.
-
Habilitar NG Anti-Malware.
-
Abra uma janela privada ou anônima, e clique aqui para baixar eicar_s1.txt novamente. O download é bloqueado.
-
Use Inicial > Eventos com o preset de Anti-malware para mostrar os eventos para os arquivos de NG Anti-Malware bloqueados.
Resultado desejado: Tentativas de acesso ao site/IP com má reputação são bloqueadas e o evento é registrado nos Eventos.
-
Use o seguinte site para encontrar domínios que são conhecidos por ter má reputação:
-
Nota
Nota: Pode ser necessário várias tentativas para encontrar um FQDN que ainda tenha má reputação. Esta é uma lista de domínios mal avaliados, e o IPS não bloqueia todos os domínios no site acima.
-
-
Tente acessar este site/IP com o navegador deles (mais fácil para validar o bloqueio) ou usar telnet a partir de um prompt de comando. Você está bloqueado de acessar o site.
-
Use a página Inicial > Eventos e analise os eventos do tráfego IPS bloqueado.
0 comentário
Por favor, entre para comentar.