Sperren des Zugriffs auf *zip and *mov Domains mit SonicWall Firewalls​

Seit kurzem besteht die  Möglichkeit, Domains mit der Top Level Domain „zip“ oder auch „mov“ zu registrieren.

Hacker bauen jetzt mit ein paar Tricks URLs, die so aussehen, als ob man auf eine Webseite umgeleitet wird, von der man eine zip oder mov Datei herunterladen kann. Tatasächlich landet man auf einer Malware Site. Für den normalen User ist das nur schwer oder gar nicht zu erkennen. Hier ein Beispiel:

https://github.com∕kubernetes∕kubernetes∕archive∕refs∕tags∕@v1271.zip

 

Daher ist es zur Zeit empfohlen, diese Domains einfach zu blocken. Das lässt sich auf der SonicWall mit Bordmitteln wie folgt einrichten

Zunächst müssen wir 2 FQDN Adressobjekte in der Zone WAN anlegen, die wir in einer Gruppe zusammen fassen:

Dann erstellen wir eine Regel, die den Zugriff von LAN auf WAN auf diese Domains blockt:

Nun wird der Zugriff auf alles mit der Endung *.zip / *.mov geblockt von WAN nach LAN. Wenn es weitere interne Zonen gibt, von denen aus der Zugriff geblockt werden soll, dann muß die Regel auf diese Zonen auch angewandt werden

Wenn in der Zukunft auf diesen Domains jemals etwas Sinnvolles gehosted werden sollte, muß natürlich die Regel angepasst werden. Aber als erste Hilfe kann das gute Dienste leisten.

Martin Schmitz 01.06.2023