File Blocking – Bruker du det fortsatt ikke?

Jeg hadde ett innlegg om File Blocking i PAN-OS i fjor, som du kan lese her.

Kort oppsummert så ville jeg vise styrken til funksjonen da, nå vil jeg vise styrken til plattformen!

fb1

Vi logger inn på brannmuren, og hoppe til “Objects->File Blocking”, trykker Add for å lage en ny profil.

fb2

Eksemplet mitt er enkelt, men her kan man legge inn det man ønsker å blokkere fra de litt mer usikre sidene ute på internett.
For de som også lurer så dekker begrepet “PE” eller Portable Executable følgende filtyper:  exe, dll, com, scr, ocx, cpl, sys, drv, tlb.

For en fullstendig oversikt over alt som kan blokkeres se her.

Trykk OK for å lagre profilen. Neste steg er å definere en regel.

fb5

Her ser du en regel der vi tillater all trafikk, men med File Blocking profilen definert. Det betyr at vi her blokkerer alle PE filer til og fra internett. Bra for sikkerheten, men det vil nok ikke fungere i praksis. Hva kan vi da gjøre?

fb4

Innenfor sikkerhet så handler det mye om å scanne, detektere og rapportere, men det er vel så viktig å minske angreps flaten.

Og om det ikke lar seg gjøre å blokkere alle PE filer til og fra internett, så kan vi iallefall stoppe de som kommer fra de mindre sikre URL kategoriene. Kategorien “unknown” er mitt eksempel da dette er en av de litt mer usikre kategoriene som mange tillater, da alle nye domener og sub-domener havner her før de blir kategorisert for første gang.
De mer ondsinnede kategoriene er forhåpentligvis allerede satt til block, så da er det ikke nødvendig å inkludere dem i denne regelen.

Andre URL-kategorier som dere bør vurdere å gjøre det samme om de ikke er blokkert er:

  • dynamic-dns
  • hacking
  • insufficient-content
  • parked
  • not-resolved

Så med noen enkle steg, så har vi blokkerte nedlasting av PE filer fra ukjente\ikke kategoriserte sider, og alt dette fikk i plass i en enkel regel..

Samtidig har vi hevet terskelen for angriperne, og mange vil bare hoppe til neste mål så fort de møter motstand. Tid er penger for dem også!

About Glenn

Pre-Sales Engineer for Palo Alto Networks in Norway. Always looking for new ways to secure your organization!
This entry was posted in Uncategorized. Bookmark the permalink.

Leave a Reply

Your email address will not be published. Required fields are marked *