FIrewal - DOS ochrana

[Majklik]

Co je na tom špatného? Stejnej business model, jako antivirové firmy - napíšeme a vyputíme pár šikovných virů a chvilku na to i ptřičný antivirus.

Jenže ten fitrující router by musel být nejméně před nejužším mísetm k tobě (aby to omezil tak, aby tím hrdlem k tobě prošlo něco užitečného), což je u tebe obvykle ten policer/shaper u tvého upliknu. A před něj tě asi nedovolí strčit si vlastní krabici, takže žádáš o pomoc uplinka osobně.
Těch technik, co dělat a jak je víc, nic není jendoduchého a hlavně univerzálního.

[rado3105]

Takto nejako zatial vyzeral filter filtrujuci vstup na router....chyba tam nieco alebo sa vam nieco nezda? popripade by ste zmenili alebo je nepotrebne? eth1 je vstup do Internetu...

Kód: Vybrat vše

0   ;;; Drop invalid connections
     chain=input action=drop connection-state=invalid

 1   ;;; Port scanners to list
     chain=input action=add-src-to-address-list protocol=tcp psd=21,3s,3,1
     address-list=port scanners address-list-timeout=2w

 2   ;;; NMAP FIN Stealth scan
     chain=input action=add-src-to-address-list
     tcp-flags=fin,!syn,!rst,!psh,!ack,!urg protocol=tcp
     address-list=port scanners address-list-timeout=2w

 3   ;;; SYN/FIN scan
     chain=input action=add-src-to-address-list tcp-flags=fin,syn protocol=tcp
     address-list=port scanners address-list-timeout=2w

 4   ;;; SYN/RST scan
     chain=input action=add-src-to-address-list tcp-flags=syn,rst protocol=tcp
     address-list=port scanners address-list-timeout=2w

 5   ;;; FIN/PSH/URG scan
     chain=input action=add-src-to-address-list
     tcp-flags=fin,psh,urg,!syn,!rst,!ack protocol=tcp
     address-list=port scanners address-list-timeout=2w

 6   ;;; ALL/ALL scan
     chain=input action=add-src-to-address-list
     tcp-flags=fin,syn,rst,psh,ack,urg protocol=tcp address-list=port scanners
     address-list-timeout=2w

 7   ;;; NMAP NULL scan
     chain=input action=add-src-to-address-list
     tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg protocol=tcp
     address-list=port scanners address-list-timeout=2w

 8   ;;; dropping port scanners
     chain=input action=drop src-address-list=port scanners

 9   ;;; suppress DoS attack
     chain=input action=tarpit protocol=tcp src-address-list=black_list
     connection-limit=3,32

10   ;;; detect DoS
     chain=input act
     address-list=black_list address-list-timeout=1d in-interface=ether1
     connection-limit=10,32

11   ;;; DOS attack protection(50 connections/ip)
     chain=input action=add-src-to-address-list protocol=tcp
     address-list=black_list address-list-timeout=1d connection-limit=50,32

12   ;;; drop ssh brute forcers
     chain=input action=drop protocol=tcp src-address-list=ssh_blacklist
     dst-port=22

13   chain=input action=add-src-to-address-list connection-state=new protocol=tc>
     src-address-list=ssh_stage3 address-list=ssh_blacklist
     address-list-timeout=1w3d dst-port=22

14   chain=input action=add-src-to-address-list connection-state=new protocol
     src-address-list=ssh_stage2 address-list=ssh_stage3
     address-list-timeout=1m dst-port=22

15   chain=input action=add-src-to-address-list connection-state=new protocol
     src-address-list=ssh_stage1 address-list=ssh_stage2
     address-list-timeout=1m dst-port=22

16   chain=input action=add-src-to-address-list connection-state=new protocol
     address-list=ssh_stage1 address-list-timeout=1m dst-port=22

17   ;;; drop ssh brute downstream
     chain=forward action=drop protocol=tcp src-address-list=ssh_blacklist
     dst-port=22

18   ;;; Allow Broadcast Traffic
     chain=input action=accept dst-address-type=broadcast

19   ;;; smtp(e-mail)
     chain=input action=accept protocol=tcp in-interface=ether1 src-port=25

20   ;;; vpn(gre)
     chain=input action=accept protocol=gre in-interface=ether1

21   ;;; ping
     chain=input action=accept protocol=icmp in-interface=ether1

22   ;;; tcp ports
     chain=input action=accept protocol=tcp in-interface=ether1
     dst-port=22,25,53,1723,2000,7780,8291

23   ;;; udp ports
     chain=input action=accept protocol=udp in-interface=ether1 dst-port=53

24   ;;; drop everything else
     chain=input action=drop in-interface=ether1

[hapi]

Co je na tom špatného? Stejnej business model, jako antivirové firmy - napíšeme a vyputíme pár šikovných virů a chvilku na to i ptřičný antivirus.

Jenže ten fitrující router by musel být nejméně před nejužším mísetm k tobě (aby to omezil tak, aby tím hrdlem k tobě prošlo něco užitečného), což je u tebe obvykle ten policer/shaper u tvého upliknu. A před něj tě asi nedovolí strčit si vlastní krabici, takže žádáš o pomoc uplinka osobně.
Těch technik, co dělat a jak je víc, nic není jendoduchého a hlavně univerzálního.

mě je to úplně jasný. Spíš sem to myslel hodit router do housingu kde dávaji 10Gbit a prohnat to nim a pak až na uplinka ke mě kde už je drhlo o poznání menší.

[Majklik]

Prvně ještě k první odpovědi. Také souhlas, že dělat dneska DNS forwarder z ROSu pro klienty je nerozum. DNSSEC se šíří a jak strčím do cesty Mikrotik, tak je to v háji. To je lepší, když už pro klienty dělám rekurzivní resolver, který jim propaguji, že si ho mají nastavit do komplů, tak vzít na to malej linux, do něj bind nebo unbound a nastavit ho jako (validující) DNSSEC resolver.
Protože kdo používá nějaké DNSSEC validátory v prohlížeci (naštestí celkem málo, ale CZ.NIC propaguje zuřivě), tak to pak řve, že je všechno blbě nebo nezabezpečeno. A pokud používá i DANE, tak s tím se to často celé nějak podovně sesype (imho chyba na straně DANE validátorů, jak nejede DNSSEC vrstva OK, už nemají se o nic snažit dál).

Spíš sem to myslel hodit router do housingu kde dávaji 10Gbit a prohnat to nim a pak až na uplinka ke mě kde už je drhlo o poznání menší.

Znám pár ISPíků, co fungují tak, že mají koupenu koneklivitu i s bloky IP v housingu, tam mají strčen 1U placku jako router a tunelem to odtamtud posílají do své sítě, kdy od uplinku v cílovém městě využívají jen jednu IP pro tunel do housingu. Pokud v housingu mám gigabit a víc, do své sítě pár set Mbps tunelem, pak co píšeš je pro ně ideál, pokud to ta placka ustojí, dokáži zaházet bordel, tak celkem vydrží.
Ale ber klasického ISP - mám konektivitu jen přímo od svého uplinka i s pár Céčky z jeho AS, teď přijde flood... To chceš začít hledat hausing, kam dám placku, ukecávat uplinka, ať u sebe rovnou mé IPčka pošle tunelem do toho hausingu, tam si to profiltruji a pošlu zpět? To ti poděkuje, bordel sítí mu půjde cca 2x, užitečný provoz i 3x. To už raději říci, ať to filtruje sám nebo filtrašku si přineseš k němu.
Kdo je velký s vlástním AS, kde se dá snadno obrátit tok na cílové IP pomocí BGP, tak pro toho jsou zmíněné fitrační služby na vyžádání, ať nemusím filtrovat vše sám a držet na to železo. Ale je pravfa, že ty se hodí hlavně pro service providery, než klasického ISP. Řada jich umí až L7 filtraci, takže spojení propouští k tobě až když dojde k ověření, že spojení se navauje obousměrně a ne jen třeba flood SYNCů atd...

[rubaspavel]

Dovolím si obnovit téma. Lze tedy nějak řešit DOS a DDOS ochranu na mikrotiku? Mám ho jako HW firewall na lince 30/30Mbit. Našel jsem proti DDOS toto:

Kód: Vybrat vše

/ip firewall filter add chain=forward connection-state=new action=jump jump-target=detect-ddos
/ip firewall filter add chain=detect-ddos dst-limit=32,32,src-and-dst-addresses/10s action=return
/ip firewall filter add chain=detect-ddos action=add-dst-to-address-list address-list=ddosed address-list-timeout=10m
/ip firewall filter add chain=detect-ddos action=add-src-to-address-list address-list=ddoser address-list-timeout=10m
/ip firewall filter add chain=forward connection-state=new src-address-list=ddoser dst-address-list=ddosed action=drop

Na kolik to bude spolehlivé?