Eén van de functies op een Palo Alto Networks Next Generation Firewall is Wildfire. Dit is een extra beveiliging tegen Malware bestanden die nog niet door virusscanners herkend worden.
Wildfire is er in 2 vormen. De standaard vorm die iedereen met een Palo Alto Networks firewall kan gebruiken en de gelicentieerde vorm daarvan.
Binnen de standaard vorm kunnen bestanden (onder andere .exe bestanden) die binnen de datastroom aangetroffen worden geüpload worden naar de Wildfire Cloud omgeving. Daar worden dergelijke bestanden uitgevoerd binnen een Sandbox. Binnen deze Sandbox wordt bijgehouden wat het bestand allemaal doet en wat er verandert. Op basis van de acties van het bestand wordt dan een oordeel geveld of het bestand malware is (Malicious) of niet (Benign).
Het onderzoek van de file wordt beschikbaar gemaakt via het support portal van Palo Alto Networks in een rapport. Vanzelfsprekend wordt de informatie die Palo Alto Networks op deze manier verzamelt gebruikt om de virusscanner engines en de URL filtering categorieën aan te passen.
De gelicentieerde vorm voorziet in dezelfde mogelijkheden als de standaard vorm. Daarbij is er echter de mogelijkheid om meerdere file-typen te laten onderzoeken (onder andere .pdf bestanden en .apk bestanden van Google Play). Daarnaast is het rapport is geïntegreerd in de interface van de Palo Alto Networks firewall (vanaf versie 6.0.0). De resultaten worden snel gepubliceerd door middel van Wildfire Dynamic Updates naar alle Palo Alto Network firewalls met licentie. Deze firewalls kennen hierdoor de malicious bestanden en zullen deze blokkeren.
Hoe stel je dit in
In deze blog laat ik zien hoe je Wildfire in kunt stellen op de firewall. Allereerst moet ingesteld worden welke cloud gebruikt wordt en welke gegevens er gelogd moeten worden.
Daarna moet er een Security Profile aangemaakt worden dat gebruikt kan worden binnen de Security Policies. Het onderstaande screenshot laat de instellingen zien om alle ondersteunde bestandtypes door te sturen naar de Wildfire Cloud. In dit geval worden alleen de gedownloade bestanden doorgestuurd, de geüploade bestanden worden buiten beschouwing gelaten.
Tenslotte moet dit Security Profile nog gekoppeld worden aan de security regel waar het verkeer doorheen loopt.
Deze settings zijn voldoende om Wildfire te laten werken.
Wat zie je gebeuren
Als de firewall nu een bestand tegenkomt dat niet bekend is zal het aangeboden worden aan de Wildfire Cloud. De acties daarvan zijn te zien in het ‘Data Filtering’ log.
Door de integratie met het support portal van Palo Alto Networks, mits de licentie is aangeschaft, zijn de resultaten ook terug te zien in de logging van de firewall. Deze zijn terug te vinden onder ‘Wildfire Submissions’.
Daarbij is het handig om de laatste kolom toe te voegen aan het overzicht, daardoor is in één oogopslag te zien of het om ‘Benign’ of ‘Malicious’ software gaat. Door middel van het vergrootglas aan het begin van de regel is het gehele rapport op te vragen.
Extra dynamische updates
Zoals gezegd zal een firewall met licentie een voordeel hebben, doordat deze sneller op de hoogte wordt gebracht van malicious files. Stel dat iemand op de wereld de file al een keer gedownload heeft door een Palo Alto Networks firewall heen, dan zullen alle andere Palo Alto Networks firewalls deze file ook blokkeren. De frequentie waarmee deze dynamische update wordt opgehaald is in te stellen onder de normale dynamische updates.
Als het niet werkt?
Natuurlijk hoort bij al deze instellingen ook nog de controle of één en ander goed werkt. Via de CLI kan dit gedaan worden met onder andere het onderstaande commando.
Wat te doen!
Felton adviseert al haar klanten om, ook al heb je geen licentie, Wildfire aan te zetten. De input die Palo Alto Networks ontvangt uit deze bestanden wordt namelijk ook gebruikt om het URL filter en de Anti Virus Engine van Palo Alto Networks te verbeteren. Daarnaast adviseren wij ook om, als je je zorgen maakt over geavanceerde malware, de licentie aan te schaffen. Op die manier is een netwerk zo snel en zo goed mogelijk beschermd.
Hulp of advies nodig? Wij staan u graag te woord!
Auteur: Rian van Weeghel – Security Consultant Felton BV