Zadejte hledaný výraz...

Vlastní ochrana proti DDoS

Vojtěch Hruška
verified
rating uzivatele
14. 7. 2022 20:59:29
Ahoj,
chtěl bych se zeptat, zda-li má někdo zkušenosti s filtrací DDoS na vlastním železe, případně nějakém firewallu co nestojí 20tis. eur. :-) Aktuálně provozujeme stroj (dell, 16GB RAM, 20c/40t, +-2.5Ghz) s 2 nabondovanými 10Gbit přípojkami, na kterém běží pfSense (s extra pluginem Suricata). Zajímá mě, jestli je touto formou možné odfiltrovat i větší útoky (desítky Gbps), nebo mám ten server hodit do elektroodpadu a koupit klasický firewall, nebo využít nějaké cloudové řešení (např. FlowGuard od Comsource). Co se týče toho firewallu, je problém v tom, že bychom chtěli využít té 20Gbit konektivity, ale firewally s 10Gbity nejsou úplně nejlevnější. :')
Děkuji
14. 7. 2022 20:59:29
https://webtrh.cz/diskuse/vlastni-ochrana-proti-ddos#reply1504677
hm
verified
rating uzivatele
(20 hodnocení)
15. 7. 2022 10:18:57
Asi hloupej dotaz zrovna o ochrane pred ddos vim kulove, tak sorry za hijack tematu, ale proc ne veci jako cloudflare? 
15. 7. 2022 10:18:57
https://webtrh.cz/diskuse/vlastni-ochrana-proti-ddos#reply1504676
TomasX
verified
rating uzivatele
(4 hodnocení)
15. 7. 2022 17:19:18
Na to se vykašli. Běžné servery ten provoz neupočítaj, mysli na to, že DDoS útoky se nedělají s velkými pakety, ale obrovským množstvím malých, na 10Gb/s lince můžeš mít běžné switche zahlcené už při několika Gb/s, na běžném hostingu to nevydrží provoz ještě před tebou.
I v našich podmínkách řešíme útoky o síle desítek až stovek Gb/s, oni třeba trvají vteřiny, tak nejsou v hodinových grafech vidět, ale odstaví to infrastrukturu v cestě. Na to se používá unicast a více FW vedle sebe, aby špičky dokázaly odbavit, nasazují se přímo na přípojky co nejblíže k vzniku provozu.
Pokud budeš mít běžné FW jako Aruba, qnap, mikrotik, zpravidla tam při DDoS útoku ani nejsi schopný tolik pravidel na IP adresy zadat a ani nemáš dostatek paměti pro stavová spojení.
Routery mají specializované procesory, které síťový provoz vyhodnocují, běžné servery jsou na to neefektivní a dává dost práce je na vyšší provoz nakonfigurovat.
Využij cloudový, zahlcení 10Gb/s stojí pro útočníka pár dolarů. Buď přes něj táhni provoz pořád nebo si připrav rychlé přepnutí na cloud, který ti to pročistí. Ty si nech pouze stavový FW/server (to je asi jedno), který bude na menší útoky a na malé čistění, routovaní. Určitě servery nepřipojuj přímo na linku.
15. 7. 2022 17:19:18
https://webtrh.cz/diskuse/vlastni-ochrana-proti-ddos#reply1504675
Pavel Janků
verified
rating uzivatele
(93 hodnocení)
15. 7. 2022 22:59:57
Neřešil by to třeba přímo Netgate od pfSense s doinstalováním DPI? 
Official pfSense Hardware, Appliances, and Security Gateways
15. 7. 2022 22:59:57
https://webtrh.cz/diskuse/vlastni-ochrana-proti-ddos#reply1504674
TomasX
verified
rating uzivatele
(4 hodnocení)
15. 7. 2022 23:32:51
netgate to neupočítá, ani nezvládá 20Gb/s normální trafik, natož ho čistit, k tomu ty krabičky nejsou určený.
Z druhý ruky se dá koupit výhodně třeba něco z brocade mlx řady.
Pokud si to chceš stavět sám, opět z druhé ruky se dají dobře koupit technologie od Mellanox, ti mají NPU framework, který umožňuje offloadovat flow pravidla přímo na HW. Mám to na hraní doma a za pár desítek tisíc jsi schopný postavit 56Gb/s síť, to pak zvládá čistit 20Gb/s provoz poměrně obstojně (odhaduji, v práci používáme primárně jako ToR a kvůli SDN se tam offloadují jen některá pravidla).
S koupí něčeho nového do 100k neporadím, o ničem nevím, switching kapacita a schopnost HW akcelerovat DPI na l7 je stěžejní, a takové krabice něco stojí.
15. 7. 2022 23:32:51
https://webtrh.cz/diskuse/vlastni-ochrana-proti-ddos#reply1504673
petrx
verified
rating uzivatele
(8 hodnocení)
3. 8. 2022 18:50:53
Napsal Aleš Jiříček;1648138
Asi hloupej dotaz zrovna o ochrane pred ddos vim kulove, tak sorry za hijack tematu, ale proc ne veci jako cloudflare? 
Také bych doporučil CloudFlare
3. 8. 2022 18:50:53
https://webtrh.cz/diskuse/vlastni-ochrana-proti-ddos#reply1504672
Pro odpověď se přihlašte.
Přihlásit