ชี้ลูกค้าไม่ต้องกังวล สามารถตั้งค่ารับมือได้อย่างไร้ปัญหา
หลังจากที่นักวิจัยด้านความมั่นคงปลอดภัยจากศูนย์ TDC Security Operation Center ออกมาแจ้งเตือนถึงการโจมตี ICMP Flood แบบ Low-rate ชื่อว่า BlackNurse ที่ใช้ ICMP Type 3 Code 3 ซึ่งทำให้อุปกรณ์ Firewall หลายยี่ห้อรับภาระหนักจนไม่สามารถให้บริการได้ โดยใช้แบนด์วิดท์เพียง 15 Mbps เท่านั้น Palo Alto Networks ผู้ให้บริการโซลูชัน Next-generation Firewall ชั้นนำของโลก หนึ่งในผู้ถูกอ้างอิงได้ออกแถลงการณ์และคำแนะนำเกี่ยวกับการโจมตี BlackNurse ดังนี้
อ่านรายละเอียดเกี่ยวกับ BlackNurse ได้ที่ https://www.techtalkthai.com/blacknurse-dos-attack-server-firewalls/
ผลกระทบต่ออุปกรณ์ของ Palo Alto Networks
- อุปกรณ์ NGFW ของ Palo Alto Networks จะดร็อป ICMP Request โดย Default อยู่แล้ว ดังนั้น ถ้าผู้ใช้ไม่ได้ตั้งค่าใน Security Policy ให้ปล่อยผ่าน ICMP ระบบของผู้ใช้จะไม่ได้รับผลกระทบใดๆ ต่อการโจมตีดังกล่าว และไม่จำเป็นต้องดำเนินการแก้ไขใดๆ
- ในกรณีที่ผู้ใช้ตั้งค่า Security Policy ยินยอมให้ ICMP Packet วิ่งผ่าน และตั้งค่าป้องกัน Flooding ตามคู่มือ Best Practices ของ Palo Alto Networks แล้ว ระบบของผู้ใช้จะมั่นคงปลอดภัยต่อการโจมตีแบบ BlackNurse และไม่จำเป็นต้องดำเนินการใดๆ เพิ่มเติม
- ถ้าผู้ใช้ตั้งค่า Security Policy ยินยอมให้ ICMP Packet วิ่งผ่าน แต่ไม่มีการตั้งค่าการป้องกัน Flooding ตามคู่มือ Best Practices แล้ว อุปกรณ์ NGFW ของผู้ใช้จะเกิดเหตุการณ์ CPU และ Memory ถูกใช้งานสูงผิดปกติ ส่งผลให้ Firewall ตอบสนองได้ช้าลง แนะนำให้ปฏิบัติตาม Best Practices ด้านล่าง
คำแนะนำสำหรับป้องกัน BlackNurse
สำหรับผู้ใช้ระบบปฏิบัติการ PAN-OS 7.1
- ตั้งค่า DoS Protection Profile สำหรับป้องกัน Flooding เนื่องจาก Flooding อาจเกิดจากหลายโปรโตคอล ดังนั้นแนะนำว่าควรเปิดใช้งานการป้องกันทุกโปรโตคอล หรืออย่างน้อยต้องเปิดการป้องกัน ICMP Flood และ ICMPv6 Flood ซึ่งเป็นต้นเหตุของการโจมตีแบบ BlackNurse
- ตั้งค่า DoS Protection Rule สำหรับตรวจสอบทราฟฟิคที่วิ่งเข้ามายังอุปกรณ์ Firewall
- Commit การตั้งค่า
สามารถดูรายละเอียดการตั้งค่าทีละสเต็ปได้ที่ Configure DoS Protection Against Flooding of New Sessions
สำหรับผู้ใช้ระบบปฏิบัติการ PAN-OS 6.1 หรือก่อนหน้านั้น ให้ดาวน์โหลด Administrator’s Guide ตามเวอร์ชันที่ตนเองใช้ แล้วดำเนินการตามหัวข้อ “Threat Prevention > About Security Profiles > DoS Protection”
หมายเหตุ ระบบ DoS Protection ของ Palo Alto Networks พร้อมให้บริการบน Firewall ทุกรุ่นโดยไม่จำเป็นต้องซื้อ Software Subscription แต่อย่างใด
สำหรับท่านใดที่พบปัญหาด้านการตั้งค่าหรือตั้งค่าแล้วยังไม่สามารถป้องกัน BlackNurse ได้ สามารถติดต่อทีมวิศวกรของ Palo Alto Networks ประจำประเทศไทยได้โดยตรง
ที่มา: http://researchcenter.paloaltonetworks.com/2016/11/note-customers-regarding-blacknurse-report/