33. Función de bloqueo de archivos en Palo Alto Firewall

 

Aquí en esta nueva entrada veremos el bloqueo de tipos de archivos dependiendo si la conexión se permite o deniega.

Favor recuerde que para estas prácticas debemos tener el perfil de descifrado Ya que estamos utilizando tráfico HTTPS y si no tiene ningún perfil de descifrado entonces no podremos identificar el tipo de archivo.

Por ejemplo si no queremos que los usuarios instalen ninguna aplicación o descarguen archivos o bajar pdf 

Tambien podremos monitorear esto con logs en la opción Data Filtering 

Para este escenario no tome en cuenta los siguientes equipos.

    

Asi que vamos a escribir un perfil de seguridad, si el usuario de la pc intenta descagar cualquier archico PDF, deberia bloquearse automáticamente. 

Para configurar esto vamos a Objects / Security Profile / File Bloking

Eliminamos cualquier perfil que encontremos que no sean de este video.

De forma predeterminada hay dos perfiles predeterminados en al bloqueo de archivos 

Por ejemplo el perfil con nombre Block al Risky file type, va a bloquear todas las aplicaciones, de los File types para ambas direcciones y la accion sera block.

Mas abajo tambien tendremos otras reglas..

Pero antes de configurar el perfil, lo siguiente que vamos hacer es agregar un certificado auto firmado para google como hicimos para Firefox 

Sepa que al momento de ir la aopcion File Filtering tenemos dos perfiles por defecto que no podremos bloquear.

Lo que si podremos hacer es crear uno nuevo o clonar alguno para crear un nuevo perfil.

Lo que vamos hacer es crear uno nuevo.

Al momento de crear el perfil le asignamos un nombre y le indicamos las extenciones que queremos bloquear.

En applications dejamos en ANY, en File Types inicamos las extensiones a bloquear, en el tipo de dirección ponemos Ambos y la acción que vamos a realizar es bloquear. 

Damos en OK y debería quedarnos de la siguiente Manera.

Ahora lo que debemos hacer es asociar este perfil con la politica.

Vamos a nuestra querida política Securty-Policy-1

Vamos a Actions y en Profile Setting en File Filtering asociamos nuestro perfil creado.

Favor no se olviden del commit.

Luego que termine el Commit vamos a la maquina windows e intentaremos descargar un archivo .pdf o .exe

Vamos a la siguiente web en modo incognito y  lo podemos buscar como wildfire test file download

Y Ahora inventemos descargar el PDF

Si intentamos descargar el pdf en modo incognito nos saldra el siguiente mensaje.

Ahora intentemos descargar un tipo de archivo ejecutable, ejemplo anydesk

Al momento de descargarlo saldrá el siguiente mensaje

Ahora si vamos al monitor de filtrado de datos podremos ver un log con mayor de talle del contenido bloqueado.