Vlastní ochrana proti DDoS

14. 7. 2022 20:59:29

Ahoj,

chtěl bych se zeptat, zda-li má někdo zkušenosti s filtrací DDoS na vlastním železe, případně nějakém firewallu co nestojí 20tis. eur. :-) Aktuálně provozujeme stroj (dell, 16GB RAM, 20c/40t, +-2.5Ghz) s 2 nabondovanými 10Gbit přípojkami, na kterém běží pfSense (s extra pluginem Suricata). Zajímá mě, jestli je touto formou možné odfiltrovat i větší útoky (desítky Gbps), nebo mám ten server hodit do elektroodpadu a koupit klasický firewall, nebo využít nějaké cloudové řešení (např. FlowGuard od Comsource). Co se týče toho firewallu, je problém v tom, že bychom chtěli využít té 20Gbit konektivity, ale firewally s 10Gbity nejsou úplně nejlevnější. :')

Děkuji

14. 7. 2022 20:59:29

https://webtrh.cz/diskuse/vlastni-ochrana-proti-ddos/#reply1504677

(20 hodnocení)

15. 7. 2022 10:18:57

Asi hloupej dotaz zrovna o ochrane pred ddos vim kulove, tak sorry za hijack tematu, ale proc ne veci jako cloudflare?

15. 7. 2022 10:18:57

https://webtrh.cz/diskuse/vlastni-ochrana-proti-ddos/#reply1504676

TomasX

(4 hodnocení)

15. 7. 2022 17:19:18

Na to se vykašli. Běžné servery ten provoz neupočítaj, mysli na to, že DDoS útoky se nedělají s velkými pakety, ale obrovským množstvím malých, na 10Gb/s lince můžeš mít běžné switche zahlcené už při několika Gb/s, na běžném hostingu to nevydrží provoz ještě před tebou.

I v našich podmínkách řešíme útoky o síle desítek až stovek Gb/s, oni třeba trvají vteřiny, tak nejsou v hodinových grafech vidět, ale odstaví to infrastrukturu v cestě. Na to se používá unicast a více FW vedle sebe, aby špičky dokázaly odbavit, nasazují se přímo na přípojky co nejblíže k vzniku provozu.

Pokud budeš mít běžné FW jako Aruba, qnap, mikrotik, zpravidla tam při DDoS útoku ani nejsi schopný tolik pravidel na IP adresy zadat a ani nemáš dostatek paměti pro stavová spojení.

Routery mají specializované procesory, které síťový provoz vyhodnocují, běžné servery jsou na to neefektivní a dává dost práce je na vyšší provoz nakonfigurovat.

Využij cloudový, zahlcení 10Gb/s stojí pro útočníka pár dolarů. Buď přes něj táhni provoz pořád nebo si připrav rychlé přepnutí na cloud, který ti to pročistí. Ty si nech pouze stavový FW/server (to je asi jedno), který bude na menší útoky a na malé čistění, routovaní. Určitě servery nepřipojuj přímo na linku.

15. 7. 2022 17:19:18

https://webtrh.cz/diskuse/vlastni-ochrana-proti-ddos/#reply1504675

Pavel Janků

(93 hodnocení)

15. 7. 2022 22:59:57

Neřešil by to třeba přímo Netgate od pfSense s doinstalováním DPI?

Official pfSense Hardware, Appliances, and Security Gateways

15. 7. 2022 22:59:57

https://webtrh.cz/diskuse/vlastni-ochrana-proti-ddos/#reply1504674

TomasX

(4 hodnocení)

15. 7. 2022 23:32:51

netgate to neupočítá, ani nezvládá 20Gb/s normální trafik, natož ho čistit, k tomu ty krabičky nejsou určený.

Z druhý ruky se dá koupit výhodně třeba něco z brocade mlx řady.

Pokud si to chceš stavět sám, opět z druhé ruky se dají dobře koupit technologie od Mellanox, ti mají NPU framework, který umožňuje offloadovat flow pravidla přímo na HW. Mám to na hraní doma a za pár desítek tisíc jsi schopný postavit 56Gb/s síť, to pak zvládá čistit 20Gb/s provoz poměrně obstojně (odhaduji, v práci používáme primárně jako ToR a kvůli SDN se tam offloadují jen některá pravidla).

S koupí něčeho nového do 100k neporadím, o ničem nevím, switching kapacita a schopnost HW akcelerovat DPI na l7 je stěžejní, a takové krabice něco stojí.

15. 7. 2022 23:32:51

https://webtrh.cz/diskuse/vlastni-ochrana-proti-ddos/#reply1504673

petrx

(8 hodnocení)

3. 8. 2022 18:50:53