ptsecurity Nov 15 2016 at 19:03

Атака BlackNurse: Как отключить межсетевой экран с помощью ноутбука и ICMP

3 min

14K

Positive Technologies corporate blogInformation Security*

Comments 14

den_golub Nov 15 2016 at 22:59

Стал замечать, что в последнее время таких статей в интернете все больше, разработчик в погоне за защитой от серьезных атак, забывают о таких с одной стороны незначительных деталях, но все же очень обидных.

vsarakoff Nov 16 2016 at 00:13

Забыли указать, что регистрация не означает того, что вы вышлете ссылку на вебинар после регистрации.

ptsecurity Nov 17 2016 at 19:08

Ссылка на вебинар приходит не сразу после регистрации — она рассылается за час до вебинара.

Вам сегодня (17 ноября) не пришла ссылка?

vsarakoff Nov 18 2016 at 23:21

Мне не пришла ссылка на прошлый вебинар (спам папку разумеется проверил), хотя и подтвердили моё участие. На webinar@ptsecurity.ru меня тоже решили проигнорировать когда я спросил о такой оказии.

milleroff Nov 16 2016 at 01:23

Тоже мне, открыли Америку.
Любой сетевой инженер должен знать что ICMP пакеты типа «unreachable» обрабатываются/генерируются роутером в «software mode». Поэтому на нормальном железе есть настройки где можно задать лимит на количество таких пакетов в секунду, что-бы не нагружать процессор.

iXCray Nov 16 2016 at 01:58

Только вот включение безопасных настроек по умолчанию со всеми лимитами на базе заведомо известных мощностей продукта — в зоне ответственности производителя.

-1

ErshoFF Nov 16 2016 at 12:02

Если следовать такому требованию — то тогда автомобилестроители должны зарезать скорость всех выпускаемых автомобилей до 60 км/ч, а то и ещё меньше.

Однако действительность сложнее…

Tufed Nov 16 2016 at 12:19

Не нужно крайностей, но не допустить выхода из строя автомобиля/мотоцикла ограничивая обороты двигателя — уже есть из коробки у многих умных транспортных средств. А для этого случая отключение оборудования по причине нехватки мощности для обработки пакетов — вполне логически предполагаемое, и защита из коробки должна быть и включена по-умолчанию (с вариантом отключения на свой страх и риск).

ErshoFF Nov 16 2016 at 13:12

На мой взгляд не совсем верные аналогии.
Более правильно будет
обороты двигателя — скорость процессора
скорость автомобиля — скорость на внешних портах.

В каких-то случаях двигателя не хватит для перевозки груза превосходящего расчетный.
Странно то, что расчетный груз может вызывать перегрузку двигателя.

tbp2k5 Nov 17 2016 at 19:10

По-моему проблема в том что «statefull» межсетевые экраны (те которые appliance а не на конечном сервере) в принципе не могут нормально работать: они не знают и не могут знать реального состояния сетевого стека на стороне клиента и/или сервера, их вычислительная мощность на порядок ниже клиент-серверной. Отсюда и растут ноги бесконечных «drop» политик и «експирящиеся» сессии которые приводят к случайно залипающим/отваливающимся коннектам. В смысле отладки — полный кошмар.

navion Nov 16 2016 at 18:15

А по-моему именно ICMP Type 3 на ASA выключен.

navion Nov 16 2016 at 18:49

Хотя нет, транзитные не проходят, а сама отвечает на всё.

DovnerV Nov 17 2016 at 19:10

а можно конкретнее про модели PaloAlto?

qpla Nov 17 2016 at 19:10

Узнать, уязвима ли конкретная система, можно разрешив ICMP на стороне WAN межсетевого экрана и осуществить тест

По умолчанию на Cisco ASA запрещен ICMP протокол.
Нет списка версий прошивок на которых тестировалась данная проблема — проблеме может быть решена несколько релизов назад, а сейчас просто опубликовали.