SonicWALL vydal seznam doporučení v knowledgebase SonicWALLu k preventivnímu nastavení ochrany před kryptovacími softwary:
https://support.sonicwall.com/sonicwall-e-class-nsa-series/kb/sw12434
Upozornění
Před neuváženou aktivací uvedených voleb napřed vezměte v potaz jejich případné důsledky. Na některé z nich pro jistotu explicitně upozorňujeme:
- Omezením signatur 5 a 7 můžete omezit některý legitimní nebo tolerovaný software (Skype, uživatelem otevírané IPsec VPN apod.) a je tedy zapotřebí zavést odpovídající výjimky (dle portů, zdrojů, destinací apod.); namísto AppControl se v takovém případě nabízejí spíš AppRules
- Nasazení klientského DPI-SSL není otázkou kliknutí ale spíše hlubšího návrhu vč. následujících bodů:
- Zvážení distribuce certifikační autority SonicWALLu uživatelům pomocí GPO (který podepisuje certifikáty pro komunikaci mezi firewallem a uživatelem).
- Stanovení výjimek pro senzitivní weby (bankovnictví, Windows updates apod.).
- Stanovení výjimek pro subnety, ve kterých se vyskytují nekorporátní zařízení (mobilní zařízení, návštěvy apod.).
- Konzultace právních aspektů a eventuálně vytvoření příslušných směrnic (vstup do šifrované komunikace).
- DPI-SSL na některých unitách podléhá samostatnému licencování (nebo explicitní aktivaci).
- Pokud používáte ve vaší infrastruktuře Email Security Appliance (ideálně s předplatným TotalSecure), nelimitujte SMTP komunikaci na firewallu (např. MS-Office dokumenty s makry); případný nežádoucí obsah detekujte a filtrujte teprve na ESA, abyste o těchto e-mailech měli relevantní notifikace