Adobe Flash blokkeren in Web Gateway

Adobe Flash blokkeren in Web Gateway

DearBytesBlogAdobe Flash blokkeren in Web Gateway

maandag 26 januari 2015

Adobe Flash PlayerAdobe Flash Player is eigenlijk een noodzakelijk kwaad. Met grote regelmaat worden kwetsbaarheden bekend die betrekking hebben op Adobe Flash Player. In die gevallen is het soms nodig om Flash tijdelijk te blokkeren. Dat kan met de McAfee Web Gateway. Ik heb voor u een Ruleset en toelichting uitgewerkt.

Zero-day lek in Adobe Flash player

Dit artikel gaat in op het blokkeren van Adobe Flash bestanden, naar aanleiding van de informatie in het artikel “Zero-day lek in Flash Player wordt actief misbruikt“, waarin wordt aangegeven dat exploitcode in het wild is waargenomen die gebruik maakt van vulnerabilities waarvoor nog geen patches beschikbaar zijn. Kortom: zelfs al is uw organisatie volledig up-to-date met Flash Player, door deze kwetsbaarheden zijn alle systemen die Flash Player hebben geinstalleerd kwetsbaar. Inmiddels is overigens een patch beschikbaar die de kwetsbaarheid wegneemt. Dit artikel leek mij toch handig voor toekomstige gevallen met betrekking tot Zero-Days.

Adobe Flash blokkeren met McAfee Web Gateway

Het kan wenselijk zijn om de Adobe Flash bestandstypen te blokkeren met McAfee Web Gateway. Let op, blokkeren van Flash is tamelijk ingrijpend en om die reden absoluut geen lange-termijn oplossing. Om Adobe Flash te blokkeren bestaan verschillende mogelijkheden. In feite hangt de aanbevolen aanpak voor het blokkeren van Adobe Flash bestanden sterk af van wat u precies wilt bereiken. Ik heb een voorbeeld-ruleset voor McAfee Web Gateway gemaakt, waarbij de Flash media types worden geblokkeerd voor websites die NIET als Minimal Risk zijn geclassificeerd en voor alle browsers behalve Google Chrome.

De Top-level Ruleset bevat een uitzondering voor Google Chrome, waarmee het blokkeren wordt omzeild. Daaronder is de blokkeer-rule, die voor alle sites met uitzondering van sites in de global whitelist en met uitzondering van sites met Minimal Risk alle Flash content types blokkeert.

Ik raad u aan om goed te testen met deze ruleset om te controleren of deze precies aansluit op de behoefte. Mogelijk wilt u een aparte whitelist aanhouden voor Adobe Flash media, in plaats van de Global Whitelist waaraan in de ruleset wordt gerefereerd.

Let erop dat heel veel websites nog gebruik maken van Flash om multimedia te presenteren. In de toekomst zal HTML5 aan populariteit winnen, maar vooralsnog heeft het blokkeren van Flash, hoewel dit de veiligheid vergroot, een negatief effect op de ervaring van eindgebruikers.

Wanneer bekend zou worden dat Chrome eveneens kwetsbaar is voor de exploit kunt u eenvoudig flash blokkeren door de Chrome rule uit te schakelen in de top-level ruleset.

Ruleset downloaden en toepassen

Download hier de ruleset: 2015-02-03_15-37_Prevent Adobe Flash Mayhem.xml

Importeer de ruleset in uw configuratie via Policy > Rule Sets:

  1. Log in op McAfee Web Gateway en klik op Policy
  2. Ga naar het tabblad Rulesets en klik op Add, Rule Set From Library
  3. Klik op Import From File en selecteer het .xml bestand uit de download
  4. Klik op Auto-Solve Conflicts en kies voor Solve By Referring To Existing Objects
  5. Klik op OK
  6. Verplaats met de pijltjes boven het linkerpaneel de Prevent Adobe Flash Mayhem en plaats de nieuwe Rule Set boven Gateway Anti-Malware
  7. Pas de Rule Set zodanig aan dat ermee getest kan worden voordat u deze activeert voor alle gebruikers
  8. Klik op Save Changes.

 ***UPDATE 3-feb*** Blokkeer tenslotte ook poort 1935 naar het internet om Flash volledig uit te bannen (op basis van Flash Video Won’t Stream (RTMP))

Adobe Flash blokkeren met Fortinet Fortigate

Lees op de site van Fortinet wat u kunt doen als een Fortigate user.