Breaking News

Palo Alto Networks ออกคำแนะนำกรณี BlackNurse Attack

palo_alto_logo_2

ชี้ลูกค้าไม่ต้องกังวล สามารถตั้งค่ารับมือได้อย่างไร้ปัญหา

หลังจากที่นักวิจัยด้านความมั่นคงปลอดภัยจากศูนย์ TDC Security Operation Center ออกมาแจ้งเตือนถึงการโจมตี ICMP Flood แบบ Low-rate ชื่อว่า BlackNurse ที่ใช้ ICMP Type 3 Code 3 ซึ่งทำให้อุปกรณ์ Firewall หลายยี่ห้อรับภาระหนักจนไม่สามารถให้บริการได้ โดยใช้แบนด์วิดท์เพียง 15 Mbps เท่านั้น Palo Alto Networks ผู้ให้บริการโซลูชัน Next-generation Firewall ชั้นนำของโลก หนึ่งในผู้ถูกอ้างอิงได้ออกแถลงการณ์และคำแนะนำเกี่ยวกับการโจมตี BlackNurse ดังนี้

อ่านรายละเอียดเกี่ยวกับ BlackNurse ได้ที่ https://www.techtalkthai.com/blacknurse-dos-attack-server-firewalls/

palo_alto_pa-7080_appliance

ผลกระทบต่ออุปกรณ์ของ Palo Alto Networks

  1. อุปกรณ์ NGFW ของ Palo Alto Networks จะดร็อป ICMP Request โดย Default อยู่แล้ว ดังนั้น ถ้าผู้ใช้ไม่ได้ตั้งค่าใน Security Policy ให้ปล่อยผ่าน ICMP ระบบของผู้ใช้จะไม่ได้รับผลกระทบใดๆ ต่อการโจมตีดังกล่าว และไม่จำเป็นต้องดำเนินการแก้ไขใดๆ
  2. ในกรณีที่ผู้ใช้ตั้งค่า Security Policy ยินยอมให้ ICMP Packet วิ่งผ่าน และตั้งค่าป้องกัน Flooding ตามคู่มือ Best Practices ของ Palo Alto Networks แล้ว ระบบของผู้ใช้จะมั่นคงปลอดภัยต่อการโจมตีแบบ BlackNurse และไม่จำเป็นต้องดำเนินการใดๆ เพิ่มเติม
  3. ถ้าผู้ใช้ตั้งค่า Security Policy ยินยอมให้ ICMP Packet วิ่งผ่าน แต่ไม่มีการตั้งค่าการป้องกัน Flooding ตามคู่มือ Best Practices แล้ว อุปกรณ์ NGFW ของผู้ใช้จะเกิดเหตุการณ์ CPU และ Memory ถูกใช้งานสูงผิดปกติ ส่งผลให้ Firewall ตอบสนองได้ช้าลง แนะนำให้ปฏิบัติตาม Best Practices ด้านล่าง

คำแนะนำสำหรับป้องกัน BlackNurse

สำหรับผู้ใช้ระบบปฏิบัติการ PAN-OS 7.1

  • ตั้งค่า DoS Protection Profile สำหรับป้องกัน Flooding เนื่องจาก Flooding อาจเกิดจากหลายโปรโตคอล ดังนั้นแนะนำว่าควรเปิดใช้งานการป้องกันทุกโปรโตคอล หรืออย่างน้อยต้องเปิดการป้องกัน ICMP Flood และ ICMPv6 Flood ซึ่งเป็นต้นเหตุของการโจมตีแบบ BlackNurse
  • ตั้งค่า DoS Protection Rule สำหรับตรวจสอบทราฟฟิคที่วิ่งเข้ามายังอุปกรณ์ Firewall
  • Commit การตั้งค่า

สามารถดูรายละเอียดการตั้งค่าทีละสเต็ปได้ที่ Configure DoS Protection Against Flooding of New Sessions

สำหรับผู้ใช้ระบบปฏิบัติการ PAN-OS 6.1 หรือก่อนหน้านั้น ให้ดาวน์โหลด Administrator’s Guide ตามเวอร์ชันที่ตนเองใช้ แล้วดำเนินการตามหัวข้อ “Threat Prevention > About Security Profiles > DoS Protection”

หมายเหตุ ระบบ DoS Protection ของ Palo Alto Networks พร้อมให้บริการบน Firewall ทุกรุ่นโดยไม่จำเป็นต้องซื้อ Software Subscription แต่อย่างใด

สำหรับท่านใดที่พบปัญหาด้านการตั้งค่าหรือตั้งค่าแล้วยังไม่สามารถป้องกัน BlackNurse ได้ สามารถติดต่อทีมวิศวกรของ Palo Alto Networks ประจำประเทศไทยได้โดยตรง

ที่มา: http://researchcenter.paloaltonetworks.com/2016/11/note-customers-regarding-blacknurse-report/



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Palo Alto Networks อัปเดตความสามารถให้ Prisma เน้น Security สำหรับ DevOps โดยเฉพาะ

Palo Alto Networks ได้ประกาศเพิ่มความสามารถหลายประการให้แก่ Cloud Native Security Platform (Prisma) ของตน ที่ตอบโจทย์ทีม DevOps ขององค์กรโดยเฉพาะ

ใช้ Smartphone หรือ Tablet ทำงานจากที่บ้านแทน PC ทำอย่างไรได้บ้าง?

ในภาวะที่หลายๆ ธุรกิจกำลังพิจารณาหาทางออกในการใช้นโยบาย Work from Home ให้ได้อย่างมีประสิทธิภาพโดยที่พนักงานยังคงทำงานได้เต็มที่เสมือนมาทำงานที่ออฟฟิศอยู่ และเกิดการสั่งซื้อ PC/Notebook เพิ่มท่ามกลางภาวะที่ผู้ผลิตยังไม่สามารถเดินกำลังการผลิตได้ดีนักจนบางแบรนด์สินค้าเริ่มขาด Stock กันไปแล้ว ทางเลือกหนึ่งนอกเหนือจากการให้พนักงานทำงานผ่าน Notebook ที่สามารถพกพาไปทำงานที่บ้านนั้น ก็คือการใช้ Smartphone หรือ Tablet ทำงานแทน Notebook อย่างเต็มที่ 100% ไปเลยนั่นเอง ในบทความนี้เราจะพาไปพิจารณาทางเลือกแต่ละทางที่เป็นไปได้กันครับ