FIrewal - DOS ochrana

[rado3105]

1. pravidlo detekuje skenovanie portov - pre tcp (vyuziva PSD funkciu zakomponovanu v linuxackom netfiltri ako prevencia skenovania portov) - pomocou tohto pravidla ochytane pakety su hned zahodene...
2. druhe pravidlo spomaluje skenovacov portov pomocou funkcie tarpit a znizi pocet spojeni detekovanej ip na 3 - ti ktori su odchyteni a oznaceni tretim pravidlom ako black_list
3. pravidlo: oznaci ako black_list ip ktore urobia viac ako 10 spojeni na vas router

add chain=input protocol=tcp psd=21,3s,3,1 action=drop comment="detect and drop port scan connections" disabled=no
add chain=input protocol=tcp connection-limit=3,32 src-address-list=black_list action=tarpit \
comment="suppress DoS attack" disabled=no
add chain=input protocol=tcp connection-limit=10,32 action= add-src-to-address-list \
address-list=black_list address-list-timeout=1d comment="detect DoS attack" disabled=no

Otazka je: Tretie pravidlo da do blacklistu kazdu ip s viac ako 1O spojeniami, cize ak vam router robi dns, tak samozrejme aj toto, popripade este nejaky broadcast a myslim ze sa to da kludne vysplhat na 10 spojeni. Pricom tieto ip automaticky su pomocou druheho pravidla obmedzene na 3 spojenia a su spomalene....
Co si o tom myslite? Ma vyznam to pouzivat alebo nie, je mozne vytvorit viac ako 10 spojeni ak vam router robi aj DNS...a popripade nieco ine? AKo to lepsie zoptimalizovat?

[Hatatitla]

Router nemá čo robiť dns , na všetko ostatné tu máme port knocking .

[pepulis]

Vyznam to nema. Na inputu si povolim, jen to, co potrebuju a zbytek zakazu. Jednoduche, efektivni a jiz nekolik let bez problemu .

[rado3105]

Vyznam to nema. Na inputu si povolim, jen to, co potrebuju a zbytek zakazu. Jednoduche, efektivni a jiz nekolik let bez problemu .

Ano? a kolko portov mas povolenych, myslis ze cez ne sa neda spravit dos utok?

[pepulis]

Mam tam povolene porty pro icmp, winox, pptp a ntp + nejake privat. ver. IP. Zbytek zakazany, protoze nikdo nema co lezt do routru z venku .

[rado3105]

A myslis ze cez tieto porty sa neda urobit DOS utok?

[pepulis]

A myslis ze cez tieto porty sa neda urobit DOS utok?

Ano da se udelat utok na icmp flood, jednou mi to generovalo na hranicni router trafik kolem 6 Mbit (coz by nevadilo), ale silene moc paketu (to byl zabijak). Pokud ale nepotrebujes mit otevreny ping z venku, neni duvod to povolovat, ja ho mam povoleny jen z urcitych IP, ze kterych si hlidam sit apod.

[hapi]

tohle to vůbec nic neřeší. Pošli mi ipčko tvýho routeru a já ti pošlu nějaký udp flood . Pak si můžeš blokovat co chceš a jak chceš a nedosahneš ničeho protože ti prostě zaseru konektivitu a routery přetížený bejt vůbec nemusí. A tohle prostě ty sám nejseš schopnej blokovat. Budeš muset požádat o pomoc toho kdo je před tebou a případně že nejseš přímo na nějakýho národního operátora co má bgp tak budeš muset ještě dál a v případě že udp flood pochází ze stovky adres ti nezbejvá než modlit se protože policie je u nás laxní.

[rado3105]

tohle to vůbec nic neřeší. Pošli mi ipčko tvýho routeru a já ti pošlu nějaký udp flood . Pak si můžeš blokovat co chceš a jak chceš a nedosahneš ničeho protože ti prostě zaseru konektivitu a routery přetížený bejt vůbec nemusí. A tohle prostě ty sám nejseš schopnej blokovat. Budeš muset požádat o pomoc toho kdo je před tebou a případně že nejseš přímo na nějakýho národního operátora co má bgp tak budeš muset ještě dál a v případě že udp flood pochází ze stovky adres ti nezbejvá než modlit se protože policie je u nás laxní.

Aj ked zablokujem UDP na inpute?

[hapi]

je to jedno, UDP k tobě dopluje tak či tak. Ty ho akorát dropneš na inputě k lokálním procesům routeru, nic víc.

[rado3105]

Ako najefektivnejsie riesit podobne situacie? drop? reject? tarpit?

[Myghael]

Nijak. UDP flood prostě ucpe tvou linku, takže na routeru můžeš dělat co chceš.

[Majklik]

Jedno z možných řešení je, pokud jsem rozumný subjekt s vlasntím AS (ať už ISP, hosting, velká firma), tak celý tok předaným některému ze specializovanoých filtrovacích subjektů. V podstatě se přehodí, že moje IPčka začne propagovat daný subjekt, který stáhne celý tok na sebe, obvykle mají přímé tlusté linky do řady peeringových centrer nebo jsou v řadě hostingách, takže chytí na sebe ten tok co nejblíže zdroje. Já mu řeknu co chci propustit, on to prožene svojí farmou filtrovacích strojů a co zbyde, tak tunelem mi pošle k životu. Až událost pomine, vrátí se routing zpět a dotyčnému subjektu předám klíčky k novému Ferrari.
Tady je přehled pár podobných služebníků, ale dle titulků jich tam i hodně velkých chybí: http://www.net-security.org/secworld.php?id=13446

[Dalibor Toman]

Aj ked zablokujem UDP na inpute?

to je stejne ucinne jako kdyz pred privalovou vlnou zastavis v sachte u domu privod vody

[hapi]

Jedno z možných řešení je, pokud jsem rozumný subjekt s vlasntím AS (ať už ISP, hosting, velká firma), tak celý tok předaným některému ze specializovanoých filtrovacích subjektů. V podstatě se přehodí, že moje IPčka začne propagovat daný subjekt, který stáhne celý tok na sebe, obvykle mají přímé tlusté linky do řady peeringových centrer nebo jsou v řadě hostingách, takže chytí na sebe ten tok co nejblíže zdroje. Já mu řeknu co chci propustit, on to prožene svojí farmou filtrovacích strojů a co zbyde, tak tunelem mi pošle k životu. Až událost pomine, vrátí se routing zpět a dotyčnému subjektu předám klíčky k novému Ferrari.
Tady je přehled pár podobných služebníků, ale dle titulků jich tam i hodně velkých chybí: http://www.net-security.org/secworld.php?id=13446

jasně no, to je takový, hele pustíme mu tam nějakej udp flood a on si nás najme na filtrování, tak budou nějaký prachy

řešení by bylo vzít třeba nějakej router, posadit ho na třeba 10Gbit lajnu aby pro mě filtroval a v případě průseru bych mohl zasáhnout ale co jsem na posledy viděl tak to šlo z tisíců adres tak i tohle by byl docela problém.