IBM Flashsystem

Palo Alto Networks ออกคำแนะนำกรณี BlackNurse Attack

palo_alto_logo_2

ชี้ลูกค้าไม่ต้องกังวล สามารถตั้งค่ารับมือได้อย่างไร้ปัญหา

หลังจากที่นักวิจัยด้านความมั่นคงปลอดภัยจากศูนย์ TDC Security Operation Center ออกมาแจ้งเตือนถึงการโจมตี ICMP Flood แบบ Low-rate ชื่อว่า BlackNurse ที่ใช้ ICMP Type 3 Code 3 ซึ่งทำให้อุปกรณ์ Firewall หลายยี่ห้อรับภาระหนักจนไม่สามารถให้บริการได้ โดยใช้แบนด์วิดท์เพียง 15 Mbps เท่านั้น Palo Alto Networks ผู้ให้บริการโซลูชัน Next-generation Firewall ชั้นนำของโลก หนึ่งในผู้ถูกอ้างอิงได้ออกแถลงการณ์และคำแนะนำเกี่ยวกับการโจมตี BlackNurse ดังนี้

อ่านรายละเอียดเกี่ยวกับ BlackNurse ได้ที่ https://www.techtalkthai.com/blacknurse-dos-attack-server-firewalls/

palo_alto_pa-7080_appliance

ผลกระทบต่ออุปกรณ์ของ Palo Alto Networks

  1. อุปกรณ์ NGFW ของ Palo Alto Networks จะดร็อป ICMP Request โดย Default อยู่แล้ว ดังนั้น ถ้าผู้ใช้ไม่ได้ตั้งค่าใน Security Policy ให้ปล่อยผ่าน ICMP ระบบของผู้ใช้จะไม่ได้รับผลกระทบใดๆ ต่อการโจมตีดังกล่าว และไม่จำเป็นต้องดำเนินการแก้ไขใดๆ
  2. ในกรณีที่ผู้ใช้ตั้งค่า Security Policy ยินยอมให้ ICMP Packet วิ่งผ่าน และตั้งค่าป้องกัน Flooding ตามคู่มือ Best Practices ของ Palo Alto Networks แล้ว ระบบของผู้ใช้จะมั่นคงปลอดภัยต่อการโจมตีแบบ BlackNurse และไม่จำเป็นต้องดำเนินการใดๆ เพิ่มเติม
  3. ถ้าผู้ใช้ตั้งค่า Security Policy ยินยอมให้ ICMP Packet วิ่งผ่าน แต่ไม่มีการตั้งค่าการป้องกัน Flooding ตามคู่มือ Best Practices แล้ว อุปกรณ์ NGFW ของผู้ใช้จะเกิดเหตุการณ์ CPU และ Memory ถูกใช้งานสูงผิดปกติ ส่งผลให้ Firewall ตอบสนองได้ช้าลง แนะนำให้ปฏิบัติตาม Best Practices ด้านล่าง

คำแนะนำสำหรับป้องกัน BlackNurse

สำหรับผู้ใช้ระบบปฏิบัติการ PAN-OS 7.1

  • ตั้งค่า DoS Protection Profile สำหรับป้องกัน Flooding เนื่องจาก Flooding อาจเกิดจากหลายโปรโตคอล ดังนั้นแนะนำว่าควรเปิดใช้งานการป้องกันทุกโปรโตคอล หรืออย่างน้อยต้องเปิดการป้องกัน ICMP Flood และ ICMPv6 Flood ซึ่งเป็นต้นเหตุของการโจมตีแบบ BlackNurse
  • ตั้งค่า DoS Protection Rule สำหรับตรวจสอบทราฟฟิคที่วิ่งเข้ามายังอุปกรณ์ Firewall
  • Commit การตั้งค่า

สามารถดูรายละเอียดการตั้งค่าทีละสเต็ปได้ที่ Configure DoS Protection Against Flooding of New Sessions

สำหรับผู้ใช้ระบบปฏิบัติการ PAN-OS 6.1 หรือก่อนหน้านั้น ให้ดาวน์โหลด Administrator’s Guide ตามเวอร์ชันที่ตนเองใช้ แล้วดำเนินการตามหัวข้อ “Threat Prevention > About Security Profiles > DoS Protection”

หมายเหตุ ระบบ DoS Protection ของ Palo Alto Networks พร้อมให้บริการบน Firewall ทุกรุ่นโดยไม่จำเป็นต้องซื้อ Software Subscription แต่อย่างใด

สำหรับท่านใดที่พบปัญหาด้านการตั้งค่าหรือตั้งค่าแล้วยังไม่สามารถป้องกัน BlackNurse ได้ สามารถติดต่อทีมวิศวกรของ Palo Alto Networks ประจำประเทศไทยได้โดยตรง

ที่มา: http://researchcenter.paloaltonetworks.com/2016/11/note-customers-regarding-blacknurse-report/

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Gigamon เปิดตัว AI Traffic Intelligence ตรวจจับ Shadow AI พร้อม Copilot ช่วยจัดการระบบ

Gigamon เปิดตัว AI Traffic Intelligence ที่มองเห็นการใช้งาน GenAI และ LLM จาก 17 engines ชั้นนำ พร้อม GigaVUE-FM …

HPE เปิดตัวโซลูชัน AI Factory ใหม่ร่วมกับ NVIDIA Blackwell รองรับองค์กรทุกขนาด

HPE ประกาศเปิดตัวโซลูชัน AI Factory ชุดใหม่ที่ใช้ NVIDIA Blackwell GPUs พร้อม HPE Private Cloud AI รุ่นใหม่ และ …