Метод защиты Palo Alto Networks от BlackNurse
Метод защиты Palo Alto Networks от BlackNurse
Пару лет назад исследователи из Дании при разработке решения по борьбе с разного вида атаками обнаружили определенную уязвимость...
Техническая
Задать вопрос специалисту -> Info@linkas.ru
Пару лет назад исследователи из Дании при разработке решения по борьбе с разного вида атаками обнаружили определенную уязвимость...
Наша компания специализируется на оказании профессиональных услуг по обеспечению информационной безопасности - мелкого, среднего и крупного бизнеса. Мы предлагаем современные и надежные ИТ-решения, которые позволяют осуществлять управление доступом к сети Интернет и осуществлять защиту сети от внешних угроз. Портфель компетенций включает в себя внедрение, настройку и последующую поддержку следующих направлений: 1. Сетевые системы контроля доступа - межсетевые экраны Firewall и системы обнаружения/предотвращения вторжений (IPS/IDS):
2. Безопасность данных (Data Secreсy) - сетевые системы защиты данных, в том числе на уровне конечных устройств:
3. Контроль доступности данных:
Только сейчас - Бесплатная диагностика, расчёт сметы, техническая поддержка, гарантия - 2 месяца! Почта для вопросов и заявок - info@lincas.ru, sales@lincas.ru Горячая линия - Москва, Санкт-Петербург: +7 (499) 703-43-50, +7 (812) 309-84-39 |
Пару лет назад исследователи из Дании при разработке решения по борьбе с разного вида атаками обнаружили определенную уязвимость, связанную с ICMP-пакетами. Они заметили, что небольшой трафик, передаваемый по сети, а также сравнительно маленькое количество передаваемых пакетов, способны значительно снизить скорость сетевого подключения.
Одно устройство при помощи сообщений ICMP 3-го типа «порт недоступен» способно загрузить процессор межсетевого экрана, который, в общем-то, умирает. Атака обладает мощностью до 180 Мбит/с.
BlackNurse может остановить работу множества межсетевых экранов, среди них – некоторые модели Palo Alto. Исключением является те МСЭ, которые работают посредством iptables.
Метод защиты межсетевого экрана Palo Alto Networks
Для примера будет рассмотрена Palo Alto Zyxel NWA3560-N. Для начала, необходимо проверить уязвимость данного устройства к BlackNurse.
Необходимо разрешить использование ICMP на стороне WAN, в дальнейшем – провести тестирование Hping3 (сканирование портов), при этом пытаясь подключиться к сети.
Сделать это можно при помощи следующих команд:
- hping3 -1 -C 3 -K 3 -i u20
- hping3 -1 -C 3 -K 3 --flood
Дополнительно к общему исследованию проблемы, было приведено правило для системы обнаружения вторжений:
alert icmp $EXTERNAL_NET any -> $HOME_NET any (msg:"TDC-SOC – Possible BlackNurseattack from external source "; itype:3; icode:3; detection_filter:track by_dst, count 250, seconds 1; reference:url, soc.tdc.dk/blacknurse/blacknurse.pdf; metadata:TDC-SOC-CERT,18032016; priority:3; sid:88000012; rev:1;) alert icmp $HOME_NET any -> $EXTERNAL_NET any (msg:"TDC-SOC –Possible BlackNurse attack from internal source"; itype:3; icode:3; detection_filter:track by_dst, count 250, seconds 1; reference:url, soc.tdc.dk/blacknurse/blacknurse.pdf; metadata:TDC-SOC-CERT,18032016; priority:3; sid:88000013; rev:1;)
Плюс к этому, одной из значимых рекомендаций по защите Palo Alto, можно назвать ограничение списка доверенных доменов, от которых можно получать ICMP-пакеты. Со стороны глобальной сети разумным будет полное отключение 3-его кода.