TTT 2022 Reinforce

Palo Alto Networks ออกคำแนะนำกรณี BlackNurse Attack

November 23, 2016 Network Security, Palo Alto Networks, Products, Security

palo_alto_logo_2

ชี้ลูกค้าไม่ต้องกังวล สามารถตั้งค่ารับมือได้อย่างไร้ปัญหา

หลังจากที่นักวิจัยด้านความมั่นคงปลอดภัยจากศูนย์ TDC Security Operation Center ออกมาแจ้งเตือนถึงการโจมตี ICMP Flood แบบ Low-rate ชื่อว่า BlackNurse ที่ใช้ ICMP Type 3 Code 3 ซึ่งทำให้อุปกรณ์ Firewall หลายยี่ห้อรับภาระหนักจนไม่สามารถให้บริการได้ โดยใช้แบนด์วิดท์เพียง 15 Mbps เท่านั้น Palo Alto Networks ผู้ให้บริการโซลูชัน Next-generation Firewall ชั้นนำของโลก หนึ่งในผู้ถูกอ้างอิงได้ออกแถลงการณ์และคำแนะนำเกี่ยวกับการโจมตี BlackNurse ดังนี้

อ่านรายละเอียดเกี่ยวกับ BlackNurse ได้ที่ https://www.techtalkthai.com/blacknurse-dos-attack-server-firewalls/

palo_alto_pa-7080_appliance

ผลกระทบต่ออุปกรณ์ของ Palo Alto Networks

  1. อุปกรณ์ NGFW ของ Palo Alto Networks จะดร็อป ICMP Request โดย Default อยู่แล้ว ดังนั้น ถ้าผู้ใช้ไม่ได้ตั้งค่าใน Security Policy ให้ปล่อยผ่าน ICMP ระบบของผู้ใช้จะไม่ได้รับผลกระทบใดๆ ต่อการโจมตีดังกล่าว และไม่จำเป็นต้องดำเนินการแก้ไขใดๆ
  2. ในกรณีที่ผู้ใช้ตั้งค่า Security Policy ยินยอมให้ ICMP Packet วิ่งผ่าน และตั้งค่าป้องกัน Flooding ตามคู่มือ Best Practices ของ Palo Alto Networks แล้ว ระบบของผู้ใช้จะมั่นคงปลอดภัยต่อการโจมตีแบบ BlackNurse และไม่จำเป็นต้องดำเนินการใดๆ เพิ่มเติม
  3. ถ้าผู้ใช้ตั้งค่า Security Policy ยินยอมให้ ICMP Packet วิ่งผ่าน แต่ไม่มีการตั้งค่าการป้องกัน Flooding ตามคู่มือ Best Practices แล้ว อุปกรณ์ NGFW ของผู้ใช้จะเกิดเหตุการณ์ CPU และ Memory ถูกใช้งานสูงผิดปกติ ส่งผลให้ Firewall ตอบสนองได้ช้าลง แนะนำให้ปฏิบัติตาม Best Practices ด้านล่าง

คำแนะนำสำหรับป้องกัน BlackNurse

สำหรับผู้ใช้ระบบปฏิบัติการ PAN-OS 7.1

  • ตั้งค่า DoS Protection Profile สำหรับป้องกัน Flooding เนื่องจาก Flooding อาจเกิดจากหลายโปรโตคอล ดังนั้นแนะนำว่าควรเปิดใช้งานการป้องกันทุกโปรโตคอล หรืออย่างน้อยต้องเปิดการป้องกัน ICMP Flood และ ICMPv6 Flood ซึ่งเป็นต้นเหตุของการโจมตีแบบ BlackNurse
  • ตั้งค่า DoS Protection Rule สำหรับตรวจสอบทราฟฟิคที่วิ่งเข้ามายังอุปกรณ์ Firewall
  • Commit การตั้งค่า

สามารถดูรายละเอียดการตั้งค่าทีละสเต็ปได้ที่ Configure DoS Protection Against Flooding of New Sessions

สำหรับผู้ใช้ระบบปฏิบัติการ PAN-OS 6.1 หรือก่อนหน้านั้น ให้ดาวน์โหลด Administrator’s Guide ตามเวอร์ชันที่ตนเองใช้ แล้วดำเนินการตามหัวข้อ “Threat Prevention > About Security Profiles > DoS Protection”

หมายเหตุ ระบบ DoS Protection ของ Palo Alto Networks พร้อมให้บริการบน Firewall ทุกรุ่นโดยไม่จำเป็นต้องซื้อ Software Subscription แต่อย่างใด

สำหรับท่านใดที่พบปัญหาด้านการตั้งค่าหรือตั้งค่าแล้วยังไม่สามารถป้องกัน BlackNurse ได้ สามารถติดต่อทีมวิศวกรของ Palo Alto Networks ประจำประเทศไทยได้โดยตรง

ที่มา: http://researchcenter.paloaltonetworks.com/2016/11/note-customers-regarding-blacknurse-report/

Tags


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Red x Blue Pill 2022 โดย 2600 Thailand เปิดให้ซื้อบัตรเข้าร่วมงานแล้ว

2600 Thailand ประกาศจัดงานสัมมนาแบบพบหน้า Red x Blue Pill 2022 ซึ่งเป็นงานสัมมนาที่ได้รับการกล่าวขานว่า “เจาะลึก” ด้าน Computer Security ที่สุดในประเทศไทย โดยรวบรวมเนื้อหาทั้งด้าน …

[Guest Post] มหาวิทยาลัยสุโขทัยธรรมาธิราชเลือก AWS เป็นผู้ให้บริการระบบคลาวด์เชิงกลยุทธ์ มุ่งสู่การเป็นมหาวิทยาลัยดิจิทัล

หนึ่งในมหาวิทยาลัยเปิดชั้นนําของประเทศไทย ให้บริการด้านการศึกษาแบบออนไลน์แก่ผู้เรียน 200,000 คน ในช่วงเวลา 2 ปี ใน 64 ประเทศด้วย AWS

ติดต่อโฆษณา info@techtalkthai.com

©2019 สงวนลิขสิทธิ์โดย TechTalkThai - กรุงเทพมหานคร, ประเทศไทย | ©2019 TechTalkThai, All rights reserved. - Bangkok, Thailand