Blokowanie pobierania plików wykonywalnych (exe, com)

Opublikowany przez pawel w HTTP PROXY, IPS, SECURITY IT

Artykuł dotyczy sytuacji gdy polityka bezpieczeństwa stanowi aby pobieranie plików wykonywalnych oraz np. archiwów (rar, zip) ze stron www było zablokowane. Konfigurację taką możemy zrealizować na dwa sposoby lub zastosować obie metody równocześnie. Jeden sposób to wykorzystanie analizy protokołu w ramach wtyczki http i filtrowania po zawartości nagłówka MIME. Drugi sposób to skorzystanie z filtrowania URL. Opisane poniżej metody mogą być zastosowane do stron HTTPS po zastosowaniu mechanizmu SSL PROXY.

 

Metoda 1

Typ MIME : application/octet-stream: określa dowolny strumień bajtów. Jest to „domyślny” typ używany często do oznaczenia plików wykonywalnych, plików nieznanego typu, lub plików które powinny być pobrane protokołem nie obsługującym odpowiednika nagłówka „content disposition” (opis z Wikipedi). Należy dopisać definicję tego typu jako przedostatnią na liście. Należy pamiętać aby edytować odpowiedni profil, czyli taki jaki będzie zastosowany na regule ruchu http:

MIME-type

 

 

Filtrowanie będzie działało jedynie gdy na regule ruchu http aktywowany będzie mechanizm proxy http (antywirus, filtrowanie URL):

fw_exePrzykładowo, efektem kliknięcia rozpocznij pobieranie:

będzie, komunikat:

Metoda 2

Metoda polega na utworzeniu własnej kategorii filtra URL:

kategoria_urlUtworzenia filtra URL wykorzystującego zdefiniowaną kategorię:

 

Oraz zastosowanie filtra URL w konfiguracji reguły na FW:

FW_blokowanie_exe_url

Efektem działania powyższej konfiguracji, będzie komunikat:

komunikat_url_proxy_03

25 Cze 2016


Najnowszy firmware SNS: 3.7.1 (Release Note)
Najnowszy firmware SNSv2: 2.12.2 (Release Note)