File Blocking – Bruker du det?

File Blocking er en funksjon som kan øke sikkerheten betraktelig ved ett par enkle steg.

F.eks kan vi legge en regel for å blokkere filtyper som ofte inneholder malware:

  • EXE – Litt vanskelig å blokkere da mye legitimt er her (Sleng iallefall opp en alert!)
  • HTA – Applikasjon som inneholder HTML, kjører utenfor nettleser
  • PIF – Snarvei til MS-DOS programmer.. Se over.
  • BAT/CMD – Batch fil, sier seg vel nesten selv at det trenger vi ikke å laste ned fra internett
  • SCR – Screensaver fil, noe man iallefall bør blokkere. Og hadde man hatt denne aktiv for 2-3 mnd siden hadde man stoppet Posten kampanjen.. (!)

Forslag til regel:

blogg_fileblock_malware

PE står for Portable Executable og inneholder exe, dll, com, scr, ocx, cpl, sys, drv og tlb

Med denne regelen har man effektivt stengt ute en hel del potensielle infeksjoner, og om noen skulle ha behov for å laste ned disse filene så kan man alltids lage unntak. Men da bør man lage unntak som er så spesifikke som mulig slik at man ikke mister kontrollen igjen.

Multi-Level-Encoding

Multi-Level-Encoding filer er kort og godt filer som er pakket ned 5 ganger eller fler. Dette er ofte en teknikk som blir brukt for å få filer igjennom IDS\IPS sensorer da de ofte bare støtter 1-2 nivåer av utpakking.

Paloalto støtter 4 nivåer, og har deretter laget en egen kategori under “Object->Security Profiles->File Blocking” som kan brukes for å blokkere alle filer som har flere nivåer enn dette.
Min personlige mening er at det er _INGEN_ god grunn til å slippe slike filer igjennom, ingen pakker ned filene sine slik om man ikke har ondsinnede hensikter.

Så min anbefaling er å lage følgende regel i File Blocking og aktivere den i policyen deres!:

blogg_multilevel_block

 

About Glenn

Pre-Sales Engineer for Palo Alto Networks in Norway. Always looking for new ways to secure your organization!
This entry was posted in Uncategorized and tagged , , . Bookmark the permalink.

1 Response to File Blocking – Bruker du det?

  1. Pingback: File Blocking – Bruker du det fortsatt ikke? | NetSEC

Leave a Reply

Your email address will not be published. Required fields are marked *