Vlastní ochrana proti DDoS

Ahoj, chtěl bych se zeptat, zda-li má někdo zkušenosti s filtrací DDoS na vlastním železe, případně nějakém firewallu co nestojí 20tis. eur. :-) Aktuálně provozujeme stroj (dell, 16GB RAM, 20c/40t, +-2.5Ghz) s 2 nabondovanými 10Gbit přípojkami, na kterém běží pfSense (s extra pluginem Suricata). Zajímá mě, jestli je touto formou možné odfiltrovat i větší útoky (desítky Gbps), nebo mám ten server hodit do elektroodpadu a koupit klasický firewall, nebo využít nějaké cloudové řešení (např. FlowGuard od Comsource). Co se týče toho firewallu, je problém v tom, že bychom chtěli využít té 20Gbit konektivity, ale firewally s 10Gbity nejsou úplně nejlevnější. :') Děkuji

Asi hloupej dotaz zrovna o ochrane pred ddos vim kulove, tak sorry za hijack tematu, ale proc ne veci jako cloudflare? 

Na to se vykašli. Běžné servery ten provoz neupočítaj, mysli na to, že DDoS útoky se nedělají s velkými pakety, ale obrovským množstvím malých, na 10Gb/s lince můžeš mít běžné switche zahlcené už při několika Gb/s, na běžném hostingu to nevydrží provoz ještě před tebou.I v našich podmínkách řešíme útoky o síle desítek až stovek Gb/s, oni třeba trvají vteřiny, tak nejsou v hodinových grafech vidět, ale odstaví to infrastrukturu v cestě. Na to se používá unicast a více FW vedle sebe, aby špičky dokázaly odbavit, nasazují se přímo na přípojky co nejblíže k vzniku provozu.Pokud budeš mít běžné FW jako Aruba, qnap, mikrotik, zpravidla tam při DDoS útoku ani nejsi schopný tolik pravidel na IP adresy zadat a ani nemáš dostatek paměti pro stavová spojení.Routery mají specializované procesory, které síťový provoz vyhodnocují, běžné servery jsou na to neefektivní a dává dost práce je na vyšší provoz nakonfigurovat.Využij cloudový, zahlcení 10Gb/s stojí pro útočníka pár dolarů. Buď přes něj táhni provoz pořád nebo si připrav rychlé přepnutí na cloud, který ti to pročistí. Ty si nech pouze stavový FW/server (to je asi jedno), který bude na menší útoky a na malé čistění, routovaní. Určitě servery nepřipojuj přímo na linku.

Neřešil by to třeba přímo Netgate od pfSense s doinstalováním DPI?  Official pfSense Hardware, Appliances, and Security Gateways

netgate to neupočítá, ani nezvládá 20Gb/s normální trafik, natož ho čistit, k tomu ty krabičky nejsou určený.Z druhý ruky se dá koupit výhodně třeba něco z brocade mlx řady.Pokud si to chceš stavět sám, opět z druhé ruky se dají dobře koupit technologie od Mellanox, ti mají NPU framework, který umožňuje offloadovat flow pravidla přímo na HW. Mám to na hraní doma a za pár desítek tisíc jsi schopný postavit 56Gb/s síť, to pak zvládá čistit 20Gb/s provoz poměrně obstojně (odhaduji, v práci používáme primárně jako ToR a kvůli SDN se tam offloadují jen některá pravidla).S koupí něčeho nového do 100k neporadím, o ničem nevím, switching kapacita a schopnost HW akcelerovat DPI na l7 je stěžejní, a takové krabice něco stojí.

Napsal Aleš Jiříček;1648138

Asi hloupej dotaz zrovna o ochrane pred ddos vim kulove, tak sorry za hijack tematu, ale proc ne veci jako cloudflare? 

Také bych doporučil CloudFlare