File Blocking – Bruker du det?

File Blocking er en funksjon som kan øke sikkerheten betraktelig ved ett par enkle steg.

F.eks kan vi legge en regel for å blokkere filtyper som ofte inneholder malware:

  • EXE – Litt vanskelig å blokkere da mye legitimt er her (Sleng iallefall opp en alert!)
  • HTA – Applikasjon som inneholder HTML, kjører utenfor nettleser
  • PIF – Snarvei til MS-DOS programmer.. Se over.
  • BAT/CMD – Batch fil, sier seg vel nesten selv at det trenger vi ikke å laste ned fra internett
  • SCR – Screensaver fil, noe man iallefall bør blokkere. Og hadde man hatt denne aktiv for 2-3 mnd siden hadde man stoppet Posten kampanjen.. (!)

Forslag til regel:

blogg_fileblock_malware

PE står for Portable Executable og inneholder exe, dll, com, scr, ocx, cpl, sys, drv og tlb

Med denne regelen har man effektivt stengt ute en hel del potensielle infeksjoner, og om noen skulle ha behov for å laste ned disse filene så kan man alltids lage unntak. Men da bør man lage unntak som er så spesifikke som mulig slik at man ikke mister kontrollen igjen.

Multi-Level-Encoding

Multi-Level-Encoding filer er kort og godt filer som er pakket ned 5 ganger eller fler. Dette er ofte en teknikk som blir brukt for å få filer igjennom IDS\IPS sensorer da de ofte bare støtter 1-2 nivåer av utpakking.

Paloalto støtter 4 nivåer, og har deretter laget en egen kategori under “Object->Security Profiles->File Blocking” som kan brukes for å blokkere alle filer som har flere nivåer enn dette.
Min personlige mening er at det er _INGEN_ god grunn til å slippe slike filer igjennom, ingen pakker ned filene sine slik om man ikke har ondsinnede hensikter.

Så min anbefaling er å lage følgende regel i File Blocking og aktivere den i policyen deres!:

blogg_multilevel_block

 

Any user vs Known-user

I min spede begynnelse med Palo Alto, så skal jeg innrømme at jeg gjorde denne feilen..

User-ID er kjernefunksjonalitet i Palo Alto sin løsning, den gir oss mulighet å granulert filtrere på brukere i nettverket vårt. Noe som gjør det lettere å finne hvem som er infisert eller gjør “ulovlig” aktiviteter på nettverket.
Etter at man har satt opp dette, så lager man sin første policy regler:

blogg_users_policy

I mine første oppsett så satt jeg User til “any”, da jeg tenkte at det gjaldt “any” bruker i AD-domenet mitt. Dette stemmer ikke, “any” i dette tilfeller tillater all trafikk.
Den jeg skulle ha brukt er “known-user” som betyr at Palo Alto må kjenne til brukeren, som betyr at den må finnes i AD-domenet du har knytt opp via User-ID.

Det kan hende det bare var jeg som var så dum i starten, men nevner det uansett slik at jeg kanskje kan hjelpe noen andre der ute!

SSL – Hva gjør du med det?

Jeg har sett endel brannmur regelsett igjennom årene, og med unntak av noen få så er det veldig ofte at jeg ser følgende linje i regelsettet:

Source: Any | Destination: Any | Port: 443 | Action: Allow

Utover dette finnes det heller ingen SSL-inspeksjon, for det er ofte “knotete”, for “dyrt”, ikke “nødvendig”, eller “Hva mener du med SSL?”.

Og alle er fornøyde, for https og andre applikasjoner som bruker SSL fungerer slik de skal. Og det er vel hele poenget?

Tja.. I en perfekt verden der alle har gode hensikter så skal jeg være enig med deg.
Men så vet vi alle at vi har disse lurende ute på internett:

blogg_hacker

Det er slik media vil at vi skal tro hackere ser ut..

For når vi ikke inspiserer SSL-trafikk så gjør det effektivt SSL til ett våpen mot deg!
De kriminelle vet veldig godt at de fleste ikke gjør noe med SSL-trafikken, og det har igjen ført til at nesten all malware og exploits bruker SSL i en eller annen form.

Enten via at de kan snike malwaren inn i nettverket via en SSL-sesjon til klienten som har besøkt en infisert side, eller ved at de sender ut data via SSL til sine eksterne servere. Du som har ansvaret for nettverket vet ikke hva som skjer, for alt er skjult i trafikk-loggen under SSL eller HTTPS.

På den måten kan kriminelle være inne på nettverket ditt i måneder, kanskje år før det blir oppdaget. Da er nok skaden allerede skjedd..

Hva skal man da gjøre?
Jo, man må gjøre det vi alle synes er “knot” eller “dyrt”, dere må investere i en løsning for SSL-inspeksjon.
Over 60% av all web-trafikk er nå over SSL\HTTPS, og dette vil bare øke.. snart vil man faktisk være “blind” om man ikke gjør noe.
F.eks er all trafikk mot google nettverket over SSL\HTTPS.

Har man allerede en Palo Alto i nettverket sitt så er man allerede godt skodd, da kan man bare følge denne linken for en rask gjennomgang for hva som må til: Palo Alto SSL Guide
Dette vil også gi Palo Altoen enda ett ledd i sin “kill-chain”, som vil igjen vil øke sikkerheten enda ett nivå for bedriften.

Det er også viktig å huske at SSL-inspeksjon er en veldig krevende prosess, så i noen tilfeller vil ikke eksisterende brannmur være kraftig nok til å håndtere lasten.

Lykke til!