Configurando IPS e Restrição Geográfica

Visão Geral da Política de IPS da Cato

O serviço IPS da Cato é composto de várias camadas de segurança, incluindo:

Assinaturas Comportamentais: Protegendo contra desvios do comportamento normal e esperado do sistema ou do usuário. O comportamento normal é identificado usando a análise de big data da Cato Networks e uma visibilidade profunda através de muitos fluxos de tráfego na Cato Cloud.
Análise de Reputação: Protegendo contra comunicação de entrada/saída com recursos comprometidos ou maliciosos.
Vulnerabilidades Conhecidas: Protegendo contra CVEs conhecidos, adaptando-se rapidamente para incorporar novos.
Anti-Bot: Protegendo contra tráfego de saída para servidores de C&C com base em feeds de reputação e análise comportamental da rede.
Análise Comportamental de Rede: Protegendo contra varreduras de rede de entrada/saída.
Validação de Protocolo: Protegendo contra pacotes inválidos (conformidade ao protocolo), reduzindo a superfície de ataque de explorações usando tráfego anômalo.
Restrição Geográfica: Aplicar uma política de restrição geográfica personalizada para bloquear tráfego de entrada, saída ou todo o tráfego para países específicos.

IPS e Restrição Geográfica da Cato

Esta seção é um exemplo de criação de política de IPS para bloquear tráfico WAN e de entrada. Também contém uma política de restrição geográfica para bloquear tráfego para o Irã e a Coreia do Norte.

Definindo a Política de Proteção IPS

Para tráfego WAN, de entrada e de saída, você pode definir as ações para o motor IPS e as notificações por e-mail relevantes. É possível que o tráfego correspondente seja um falso-positivo e seja, na verdade, tráfego legítimo.

Estas são as ações disponíveis:

Bloquear - Bloqueia o tráfego e ele não continua para o seu destino. Quando aplicável, redireciona o usuário para uma página web de bloqueio dedicada. Um evento é gerado para a tela de Eventos (Inicio > Eventos).
Monitorar - O tráfego é permitido continuar para o destino e um evento é gerado para a tela de Eventos (Inicio > Eventos).

Para configurar ações para a política de IPS:

No menu de navegação, clique em Segurança > IPS.
Na página IPS, clique na aba Política de Proteção.
Clique no controle deslizante para habilitar a política de IPS.

O controle deslizante fica verde quando habilitado.
Na seção Política de Proteção, configure as seguintes configurações para cada Escopo de Proteção:
1. Para tráfego WAN, o IPS bloqueia proteções correspondentes e gera uma notificação por e-mail:
  1. Clique em Tráfego WAN.
    
    O painel Editar se abre.
  2. Em Ação, no menu suspenso selecione Bloquear.
  3. Em Rastreamento, selecione Notificação por Email.
  4. Clique em Aplicar.
2. Para tráfego de Internet de entrada, o IPS bloqueia proteções correspondentes e gera uma notificação por e-mail:
  1. Clique em Tráfego de Entrada.
    
    O painel Editar se abre.
  2. Em Ação, no menu suspenso selecione Bloquear.
  3. Em Rastreamento, selecione Notificação por Email.
  4. Clique em Aplicar.
3. Para tráfego de Internet de saída, o IPS monitora proteções correspondentes e não gera uma notificação por e-mail:
  1. Clique em Tráfego de Saída.
    
    O painel Editar se abre.
  2. Em Ação, no menu suspenso selecione Monitorar.
  3. Em Rastreamento, certifique-se de que Notificação por Email está desmarcada.
  4. Clique em Aplicar.
Clique em Salvar. As configurações da política de IPS são salvas para a conta.

Gerenciamento de Regras de Restrição Geográfica

Você pode definir regras de restrição geográficas para o IPS. As regras de restrição geográficas para o IPS são baseadas na geolocalização do endereço IP e não no domínio. Você pode definir a regra para aplicar ao tráfego de entrada, de saída ou em ambas as direções.

Nota

Nota: Se você configurar uma regra de Restrição Geográfica para o tráfego de entrada, isso também se aplica aos recursos RPF. No entanto, as regras de Restrição Geográfica do IPS não são aplicadas ao tráfego dos Clientes SDP da Cato. Para bloquear as conexões de Cliente de regiões específicas, você pode configurar regras na Política de Acesso do Cliente.

Para definir uma regra de restrição geográfica:

No menu de navegação, clique em Segurança > IPS.
Na página do IPS, clique na aba Restrição Geográfica ou expanda a seção.
Clique em Novo.

O painel Adicionar é aberto.
Digite o Nome para a regra, e em Direção, selecione Ambas as Direções para configurar a regra para aplicar a todo o tráfego.
Na seção Países, adicione Irã e Coreia, República Democrática Popular da (Coreia do Norte).
Em Ação, selecione Bloquear para bloquear todo o tráfego de e para o Irã e a Coreia do Norte.
Em Rastrear selecione Evento e Notificação por Email, para ter a máxima visibilidade para o tráfego de e para o Irã e a Coreia do Norte.
Clique em Aplicar e depois clique em Salvar.