Tech Base SonicWall: Schrittweise Anleitung zur Abwehr von Ransomware

Der folgende Artikel beschreibt eine Step-by-Step Vorgehensweise zur effektiven Firewall-Konfiguration für die Abwehr von Ransomware-Exploits. Dazu zählen auch neue Netzwerk-Exploits, wie polymorphe Frontend- und Zero-Day Wurmausbreitungstechniken.

Im Folgenden finden Sie eine Anleitung zur Konfiguration von SonicWall Network Security Appliances (Firewalls), um Ransomware zu verhindern.

Bitte beachten Sie, dass viele der in diesem Best Practice Guide enthaltenen Schritte auch für viele andere generelle Best Practices in der IT-Security relevant sein können, um diese Art von Exploits zu verhindern.

Die folgende Anleitung gilt für SonicWall TZ SOHOW bis hin zu den SuperMassive 9800 (Generation 6) Geräten, mit laufender Firmware 6.2.7.1x und höher. SonicWall Capture Advanced Threat Protection ist ab der TZ 300 verfügbar.

Anleitung:

1. Security Services Subscription

Für alle SonicWall Appliances empfiehlt es sich, die Advanced Gateway Security Suite (AGSS) mit aktivierten Abonnements für Gateway Anti-Virus, Intrusion Prevention, Anti-Spyware, Content Filtering, Botnet Filter, Geo IP Filter, Application Firewall sowie DPI-SSL, DPI-SSH und Capture zu integrieren. Ohne diese Abonnements sind keine Updates und Konfigurationen möglich.

2. Aktivieren Sie Gateway Anti-Virus

• Stellen Sie sicher, dass GAV mit den neuesten Signaturen aktualisiert wird
• GAV aktivieren
• Cloud GAV aktivieren
• Aktivieren Sie die Inspektion auf Inbound und Outbound für alle HTTP, FTP, IMAP, SMTP, POP3, CIFS / NetBIOS und TCP Stream

Innerhalb der Einstellungen der Protokolle bitte sicherstellen, dass Sie folgende Optionen blockiert haben:

• Beschränkung der Übertragung von passwortgeschützten ZIP-Dateien
• Beschränkung der Übertragung von MS-Office-Dateien mit Makros (VBA 5 und höher)
• Beschränkung der Übertragung von ausgefüllten ausführbaren Dateien (UPX, FSG, etc.)

• Klicken Sie auf Configure Gateway AV-Einstellungen
• Aktivieren Sie die Option, um Dateien mit mehreren Ebenen der Zip / Gzip-Komprimierung zu blockieren

3. Intrusion Prevention aktivieren

Viele der heutigen modifizierten Ransomware-Exploits sind bösartige Trojaner und Wurm-Elemente. Intrusion Prevention ist ein wesentlicher Grundstein für die Verhinderung dieser Angriffe in Netzwerken.

• Stellen Sie sicher, dass die SonicWall die neuesten Signatur-Updates von den SonicWall Capture Labs hat.
• Aktiviere den IPS-Dienst
• Prävention Einstellung auf (mindestens) hohe und mittlere Bedrohungen, evtl. müssen Sie aber auch eine niedrige Priorität, auf Grundlage von bestehenden Compliance-Vorschriften für das Netzwerk, einstellen.

Aktivieren Sie die Intrusion Detection, wenn die Protokolldaten der Intrusion Detection als weiterführende Informationen benötigt werden. SonicWall Intrusion Detection ist verantwortlich für die Bereitstellung der Log-Events von Intrusionen. Falls nicht aktiviert, werden keine Protokolldaten angelegt.

4. Geo-IP-Filter aktivieren

Geo-IP Filter ist in der Lage, den Verkehr zu und von verschiedenen Ländern zu kontrollieren und ist ein Kernbestandteil des CGSS / AGSS-Sicherheitsabonnements.

• Geo-IP-Filter aktivieren
  • Dies kann unter "Alle Verbindungen" oder "Firewall Rule Based" eingerichtet werden.
  • Alle Verbindungen umfassen den gesamten Datenverkehr, aber Standardregeln würden Firewall-Subnetze ausschließen
  • Firewall Rule Based erfordert die Aktivierung der Dienste für individuelle Regeln in den Firewall Access Rules. Wenn diese Methode angewendet wird, sollten alle Regeln für WAN-> WAN, WAN-> LAN und LAN-> WAN aktiviert sein.

• Stellen Sie sicher, dass der Verkehr auf "Anonymer Proxy / Private IP" aus der Länderliste ausgewählt ist
• Stellen Sie sicher, dass auch "Alle UNKNOWN-Subnetze blockieren" aktiviert ist. Dies wird oft als BOGON Subnetze bezeichnet.

5. Botnet-Filter aktivieren

Der Botnet Filter ist in der Lage, Verkehr zu und von bekannten bösartigen Hosts, die als Botnet-Netzwerke fungieren, zu verhindern

• Botnet-Filter aktivieren
  • Dies kann unter "Alle Verbindungen" oder "Firewall Rule Based" eingerichtet werden.
  • Alle Verbindungen umfassen alle Datenverkehr, Standardregeln schließen Firewall-Subnetze aus.
  • Firewall Rule Based erfordert die Aktivierung der Dienste auf individuelle Regeln innerhalb der Firewall Access Rules. Wenn diese Methode angewendet wird, sollten alle Regeln für WAN-> WAN, WAN-> Internal oder Internet-> WAN aktiviert sein.

6. DPI-SSL-Client-Inspektion aktivieren

Die DPI-SSL-Funktion der Firewall bietet die Möglichkeit, verschlüsselte Kommunikation über mehrere Protokolle und Anwendungen hin zu untersuchen. DPI-SSL ermöglicht es der Firewall, als Proxy zu agieren, um verschlüsselte Kommunikation, wie Webmail, Social Media und HTTPS-Verbindungen zu scannen. Die Einstellungen für DPI-SSL, die speziell für diese Best Practices gelten sind relativ einfach. Bei Fragen zur Einrichtung und Bereitstellung von DPI-SSL, wenden Sie sich bitte an die SonicWall Knowledge Base.

• Aktivieren Sie SonicWall DPI-SSL auf der Firewall
• Stellen Sie sicher, dass die Dienste für alle Unterfunktionen aktiviert sind:
  • Intrusion Prevention
  • Gateway Anti-Virus
  • Gateway Anti-Spyware
  • Application Firewall
  • Inhaltsfilter

7. Konfiguration des Content Filtering Service

Die hier beschriebenen Umgebungsregeln gelten für Konfigurationen für Firmware 6.2.7.1 und basieren auf CFS v4.0. Zur Vermeidung von Ransomware wird empfohlen, den Zugriff auf die folgenden Kategorien zu blockieren: Malware, Hacking / Proxy Vermeidung und Not Rated.

Bitte beachten Sie, dass die Sperrung der Kategorie "Not Rated" verwaltungsintensiv sein kann, da nicht alle Webseiten bewertet werden können.

Stellen Sie sicher, dass Standard- und benutzerdefinierte Richtlinien für Benutzergruppen, alle auf Block Malware, Hacking / Proxy Vermeidung und Not Rated festgelegt sind

8. Application Firewall-Regeln aktivieren

Um auch gegen gängige Methoden der neueren Generation von Verschleierungen zu schützen, die auch traditionelle Anwendungen nutzt, empfiehlt es sich, verschiedene Application Firewall-Regeln zu aktivieren. Um zu verhindern, dass Malware wie Ransomware in der Lage ist, die erzwungene Kommunikation zu umgehen, ist es ratsam, Regeln zu erstellen, um die DNS-, SSH- und Proxy-Access-Anwendungen zu beschränken.

• Während DNS typischerweise TCP / UDP 53 Ports nutzt, kann das DNS-Protokoll auch auf Nicht-Standard-Ports verwendet werden. Schädliche Anwendungen werden die DNS-Cache-Vergiftung nutzen oder den Verkehr auf illegitime Websites umleiten. Es wird empfohlen, nicht nur Zugriffsregeln zu sperren, um "vertrauenswürdige" DNS-Hosts anzugeben, sondern auch ein Adressobjekt und eine Anwendungsregel zu erstellen, um das DNS-Protokoll nur auf den "vertrauenswürdigen" DNS-Host zu beschränken.
• Dieser Sicherheitsmechanismus kann auch mit der DNS Proxy-Konfiguration von SonicWall als Alternative angewendet werden. Dies erfordert jedoch weiterhin Anwendungs- und Zugriffsregeln, um DNS nur auf vertrauenswürdige Quellen zu beschränken.

• Die nächste Anwendungsregel wäre, die SSH-Verbindungen nur auf vertrauenswürdige und geschulte Benutzer, sowie nur aus vertrauenswürdigen Quellen oder nur auf vertrauenswürdige Ziele zu beschränken.
• Es wird empfohlen, diese Steuerung als Application Firewall-Regel zu erstellen, da es möglich ist, von der Standard-SSH-TCP 22-Konfiguration abzuweichen.

Die letzte Application Firewall-Richtlinie, die erstellt werden soll, ist die Verhinderung aller Proxy-Access-Anwendungen

Achtung: Bei der Blockierung dieser ganzen Kategorie könnten auch legitime Anwendungen blockiert werden oder aufhören richtig zu funktionieren. Es wird daher empfohlen, dass diese Regeln gewissenhaft überprüft und Ausnahmen erstellt werden, soweit die quellen- und zielspezifischen Informationen für diese spezifischen Anwendungen zutreffen.

9. Capture aktivieren

Durch die permanente Veränderung der Malwarestrategien, sollte das SonicWall Capture aktiviert werden. Dazu ist die AGSS (Advanced Gateway Security Suite) Lizenz erforderlich.

• Aktivieren Sie Capture und stellen Sie sicher, dass Gateway Anti-Virus für alle Dienste enabled ist
• Stellen Sie sicher, dass alle Dateitypen für die Inspection ausgewählt sind

Es empfiehlt sich, Capture auf “Block until verdict”zu aktivieren. Dadurch wird verhindert, dass Malware das System durchlaufen kann, ohne vorher getestet zu werden.

Anbei noch einige zusätzlichen Handlungsempfehlungen zur Verhinderung von Ransomware-Exploits auf:

• Installation von End-Point-Anti-Virus-Software mit neuesten Signaturen
• Aktualisierung von Host-Betriebssystemen, Browsern und Browser-Plugins mit den neuesten Sicherheits-Patches.
• Durchführen von regelmäßigen Offline- (Kalt-) System-Backups
• Schulung der Benutzer bzgl. der potentiellen Gefahren durch das Öffnen unbekannter Dateien aus unbekannten Quellen, etc.

written by HW