FIrewal - DOS ochrana

rado3105

1. pravidlo detekuje skenovanie portov - pre tcp (vyuziva PSD funkciu zakomponovanu v linuxackom netfiltri ako prevencia skenovania portov) - pomocou tohto pravidla ochytane pakety su hned zahodene...

2. druhe pravidlo spomaluje skenovacov portov pomocou funkcie tarpit a znizi pocet spojeni detekovanej ip na 3 - ti ktori su odchyteni a oznaceni tretim pravidlom ako black_list

3. pravidlo: oznaci ako black_list ip ktore urobia viac ako 10 spojeni na vas router

add chain=input protocol=tcp psd=21,3s,3,1 action=drop comment="detect and drop port scan connections" disabled=no

add chain=input protocol=tcp connection-limit=3,32 src-address-list=black_list action=tarpit \

comment="suppress DoS attack" disabled=no

add chain=input protocol=tcp connection-limit=10,32 action= add-src-to-address-list \

address-list=black_list address-list-timeout=1d comment="detect DoS attack" disabled=no

Otazka je: Tretie pravidlo da do blacklistu kazdu ip s viac ako 1O spojeniami, cize ak vam router robi dns, tak samozrejme aj toto, popripade este nejaky broadcast a myslim ze sa to da kludne vysplhat na 10 spojeni. Pricom tieto ip automaticky su pomocou druheho pravidla obmedzene na 3 spojenia a su spomalene....

Co si o tom myslite? Ma vyznam to pouzivat alebo nie, je mozne vytvorit viac ako 10 spojeni ak vam router robi aj DNS...a popripade nieco ine? AKo to lepsie zoptimalizovat?

hatatitla

Router nemá čo robiť dns , na všetko ostatné tu máme port knocking .

pepulis

Vyznam to nema. Na inputu si povolim, jen to, co potrebuju a zbytek zakazu. Jednoduche, efektivni a jiz nekolik let bez problemu :-).

rado3105

Vyznam to nema. Na inputu si povolim, jen to, co potrebuju a zbytek zakazu. Jednoduche, efektivni a jiz nekolik let bez problemu :-).

Ano? a kolko portov mas povolenych, myslis ze cez ne sa neda spravit dos utok?

pepulis

Mam tam povolene porty pro icmp, winox, pptp a ntp + nejake privat. ver. IP. Zbytek zakazany, protoze nikdo nema co lezt do routru z venku :-).

rado3105

A myslis ze cez tieto porty sa neda urobit DOS utok?

pepulis

A myslis ze cez tieto porty sa neda urobit DOS utok?

Ano da se udelat utok na icmp flood, jednou mi to generovalo na hranicni router trafik kolem 6 Mbit (coz by nevadilo), ale silene moc paketu (to byl zabijak). Pokud ale nepotrebujes mit otevreny ping z venku, neni duvod to povolovat, ja ho mam povoleny jen z urcitych IP, ze kterych si hlidam sit apod.

hapi

tohle to vůbec nic neřeší. Pošli mi ipčko tvýho routeru a já ti pošlu nějaký udp flood :-). Pak si můžeš blokovat co chceš a jak chceš a nedosahneš ničeho protože ti prostě zaseru konektivitu a routery přetížený bejt vůbec nemusí. A tohle prostě ty sám nejseš schopnej blokovat. Budeš muset požádat o pomoc toho kdo je před tebou a případně že nejseš přímo na nějakýho národního operátora co má bgp tak budeš muset ještě dál a v případě že udp flood pochází ze stovky adres ti nezbejvá než modlit se protože policie je u nás laxní.

rado3105

tohle to vůbec nic neřeší. Pošli mi ipčko tvýho routeru a já ti pošlu nějaký udp flood :-). Pak si můžeš blokovat co chceš a jak chceš a nedosahneš ničeho protože ti prostě zaseru konektivitu a routery přetížený bejt vůbec nemusí. A tohle prostě ty sám nejseš schopnej blokovat. Budeš muset požádat o pomoc toho kdo je před tebou a případně že nejseš přímo na nějakýho národního operátora co má bgp tak budeš muset ještě dál a v případě že udp flood pochází ze stovky adres ti nezbejvá než modlit se protože policie je u nás laxní.

Aj ked zablokujem UDP na inpute?

hapi

je to jedno, UDP k tobě dopluje tak či tak. Ty ho akorát dropneš na inputě k lokálním procesům routeru, nic víc.

rado3105

Ako najefektivnejsie riesit podobne situacie? drop? reject? tarpit?

myghael

Nijak. UDP flood prostě ucpe tvou linku, takže na routeru můžeš dělat co chceš.

majklik

Jedno z možných řešení je, pokud jsem rozumný subjekt s vlasntím AS (ať už ISP, hosting, velká firma), tak celý tok předaným některému ze specializovanoých filtrovacích subjektů. V podstatě se přehodí, že moje IPčka začne propagovat daný subjekt, který stáhne celý tok na sebe, obvykle mají přímé tlusté linky do řady peeringových centrer nebo jsou v řadě hostingách, takže chytí na sebe ten tok co nejblíže zdroje. Já mu řeknu co chci propustit, on to prožene svojí farmou filtrovacích strojů a co zbyde, tak tunelem mi pošle k životu. Až událost pomine, vrátí se routing zpět a dotyčnému subjektu předám klíčky k novému Ferrari. :-)

Tady je přehled pár podobných služebníků, ale dle titulků jich tam i hodně velkých chybí: http://www.net-security.org/secworld.php?id=13446

dalibortoman

Aj ked zablokujem UDP na inpute?

to je stejne ucinne jako kdyz pred privalovou vlnou zastavis v sachte u domu privod vody :-)

hapi

Jedno z možných řešení je, pokud jsem rozumný subjekt s vlasntím AS (ať už ISP, hosting, velká firma), tak celý tok předaným některému ze specializovanoých filtrovacích subjektů. V podstatě se přehodí, že moje IPčka začne propagovat daný subjekt, který stáhne celý tok na sebe, obvykle mají přímé tlusté linky do řady peeringových centrer nebo jsou v řadě hostingách, takže chytí na sebe ten tok co nejblíže zdroje. Já mu řeknu co chci propustit, on to prožene svojí farmou filtrovacích strojů a co zbyde, tak tunelem mi pošle k životu. Až událost pomine, vrátí se routing zpět a dotyčnému subjektu předám klíčky k novému Ferrari. :-)

Tady je přehled pár podobných služebníků, ale dle titulků jich tam i hodně velkých chybí: :-D

řešení by bylo vzít třeba nějakej router, posadit ho na třeba 10Gbit lajnu aby pro mě filtroval a v případě průseru bych mohl zasáhnout ale co jsem na posledy viděl tak to šlo z tisíců adres tak i tohle by byl docela problém.

majklik

Co je na tom špatného? Stejnej business model, jako antivirové firmy - napíšeme a vyputíme pár šikovných virů a chvilku na to i ptřičný antivirus. :-)

Jenže ten fitrující router by musel být nejméně před nejužším mísetm k tobě (aby to omezil tak, aby tím hrdlem k tobě prošlo něco užitečného), což je u tebe obvykle ten policer/shaper u tvého upliknu. A před něj tě asi nedovolí strčit si vlastní krabici, takže žádáš o pomoc uplinka osobně. :-)

Těch technik, co dělat a jak je víc, nic není jendoduchého a hlavně univerzálního.

rado3105

Takto nejako zatial vyzeral filter filtrujuci vstup na router....chyba tam nieco alebo sa vam nieco nezda? popripade by ste zmenili alebo je nepotrebne? eth1 je vstup do Internetu...

0 ;;; Drop invalid connections

chain=input action=drop connection-state=invalid

1 ;;; Port scanners to list

chain=input action=add-src-to-address-list protocol=tcp psd=21,3s,3,1

address-list=port scanners address-list-timeout=2w

2 ;;; NMAP FIN Stealth scan

chain=input action=add-src-to-address-list

tcp-flags=fin,!syn,!rst,!psh,!ack,!urg protocol=tcp

address-list=port scanners address-list-timeout=2w

3 ;;; SYN/FIN scan

chain=input action=add-src-to-address-list tcp-flags=fin,syn protocol=tcp

address-list=port scanners address-list-timeout=2w

4 ;;; SYN/RST scan

chain=input action=add-src-to-address-list tcp-flags=syn,rst protocol=tcp

address-list=port scanners address-list-timeout=2w

5 ;;; FIN/PSH/URG scan

chain=input action=add-src-to-address-list

tcp-flags=fin,psh,urg,!syn,!rst,!ack protocol=tcp

address-list=port scanners address-list-timeout=2w

6 ;;; ALL/ALL scan

chain=input action=add-src-to-address-list

tcp-flags=fin,syn,rst,psh,ack,urg protocol=tcp address-list=port scanners

address-list-timeout=2w

7 ;;; NMAP NULL scan

chain=input action=add-src-to-address-list

tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg protocol=tcp

address-list=port scanners address-list-timeout=2w

8 ;;; dropping port scanners

chain=input action=drop src-address-list=port scanners

9 ;;; suppress DoS attack

chain=input action=tarpit protocol=tcp src-address-list=black_list

connection-limit=3,32

10 ;;; detect DoS

chain=input act

address-list=black_list address-list-timeout=1d in-interface=ether1

connection-limit=10,32

11 ;;; DOS attack protection(50 connections/ip)

chain=input action=add-src-to-address-list protocol=tcp

address-list=black_list address-list-timeout=1d connection-limit=50,32

12 ;;; drop ssh brute forcers

chain=input action=drop protocol=tcp src-address-list=ssh_blacklist

dst-port=22

13 chain=input action=add-src-to-address-list connection-state=new protocol=tc>

src-address-list=ssh_stage3 address-list=ssh_blacklist

address-list-timeout=1w3d dst-port=22

14 chain=input action=add-src-to-address-list connection-state=new protocol

src-address-list=ssh_stage2 address-list=ssh_stage3

address-list-timeout=1m dst-port=22

15 chain=input action=add-src-to-address-list connection-state=new protocol

src-address-list=ssh_stage1 address-list=ssh_stage2

address-list-timeout=1m dst-port=22

16 chain=input action=add-src-to-address-list connection-state=new protocol

address-list=ssh_stage1 address-list-timeout=1m dst-port=22

17 ;;; drop ssh brute downstream

chain=forward action=drop protocol=tcp src-address-list=ssh_blacklist

dst-port=22

18 ;;; Allow Broadcast Traffic

chain=input action=accept dst-address-type=broadcast

19 ;;; smtp(e-mail)

chain=input action=accept protocol=tcp in-interface=ether1 src-port=25

20 ;;; vpn(gre)

chain=input action=accept protocol=gre in-interface=ether1

21 ;;; ping

chain=input action=accept protocol=icmp in-interface=ether1

22 ;;; tcp ports

chain=input action=accept protocol=tcp in-interface=ether1

dst-port=22,25,53,1723,2000,7780,8291

23 ;;; udp ports

chain=input action=accept protocol=udp in-interface=ether1 dst-port=53

24 ;;; drop everything else

chain=input action=drop in-interface=ether1

hapi

Co je na tom špatného? Stejnej business model, jako antivirové firmy - napíšeme a vyputíme pár šikovných virů a chvilku na to i ptřičný antivirus. :-)

Jenže ten fitrující router by musel být nejméně před nejužším mísetm k tobě (aby to omezil tak, aby tím hrdlem k tobě prošlo něco užitečného), což je u tebe obvykle ten policer/shaper u tvého upliknu. A před něj tě asi nedovolí strčit si vlastní krabici, takže žádáš o pomoc uplinka osobně. :-)

Těch technik, co dělat a jak je víc, nic není jendoduchého a hlavně univerzálního.

mě je to úplně jasný. Spíš sem to myslel hodit router do housingu kde dávaji 10Gbit a prohnat to nim a pak až na uplinka ke mě kde už je drhlo o poznání menší.

majklik

Prvně ještě k první odpovědi. Také souhlas, že dělat dneska DNS forwarder z ROSu pro klienty je nerozum. DNSSEC se šíří a jak strčím do cesty Mikrotik, tak je to v háji. To je lepší, když už pro klienty dělám rekurzivní resolver, který jim propaguji, že si ho mají nastavit do komplů, tak vzít na to malej linux, do něj bind nebo unbound a nastavit ho jako (validující) DNSSEC resolver.

Protože kdo používá nějaké DNSSEC validátory v prohlížeci (naštestí celkem málo, ale CZ.NIC propaguje zuřivě), tak to pak řve, že je všechno blbě nebo nezabezpečeno. A pokud používá i DANE, tak s tím se to často celé nějak podovně sesype (imho chyba na straně DANE validátorů, jak nejede DNSSEC vrstva OK, už nemají se o nic snažit dál).

Spíš sem to myslel hodit router do housingu kde dávaji 10Gbit a prohnat to nim a pak až na uplinka ke mě kde už je drhlo o poznání menší.

Znám pár ISPíků, co fungují tak, že mají koupenu koneklivitu i s bloky IP v housingu, tam mají strčen 1U placku jako router a tunelem to odtamtud posílají do své sítě, kdy od uplinku v cílovém městě využívají jen jednu IP pro tunel do housingu. Pokud v housingu mám gigabit a víc, do své sítě pár set Mbps tunelem, pak co píšeš je pro ně ideál, pokud to ta placka ustojí, dokáži zaházet bordel, tak celkem vydrží.

Ale ber klasického ISP - mám konektivitu jen přímo od svého uplinka i s pár Céčky z jeho AS, teď přijde flood... To chceš začít hledat hausing, kam dám placku, ukecávat uplinka, ať u sebe rovnou mé IPčka pošle tunelem do toho hausingu, tam si to profiltruji a pošlu zpět? To ti poděkuje, bordel sítí mu půjde cca 2x, užitečný provoz i 3x. To už raději říci, ať to filtruje sám nebo filtrašku si přineseš k němu.

Kdo je velký s vlástním AS, kde se dá snadno obrátit tok na cílové IP pomocí BGP, tak pro toho jsou zmíněné fitrační služby na vyžádání, ať nemusím filtrovat vše sám a držet na to železo. Ale je pravfa, že ty se hodí hlavně pro service providery, než klasického ISP. Řada jich umí až L7 filtraci, takže spojení propouští k tobě až když dojde k ověření, že spojení se navauje obousměrně a ne jen třeba flood SYNCů atd...

rubaspavel

Dovolím si obnovit téma. Lze tedy nějak řešit DOS a DDOS ochranu na mikrotiku? Mám ho jako HW firewall na lince 30/30Mbit. Našel jsem proti DDOS toto:/ip firewall filter add chain=forward connection-state=new action=jump jump-target=detect-ddos

/ip firewall filter add chain=detect-ddos dst-limit=32,32,src-and-dst-addresses/10s action=return

/ip firewall filter add chain=detect-ddos action=add-dst-to-address-list address-list=ddosed address-list-timeout=10m

/ip firewall filter add chain=detect-ddos action=add-src-to-address-list address-list=ddoser address-list-timeout=10m

/ip firewall filter add chain=forward connection-state=new src-address-list=ddoser dst-address-list=ddosed action=drop

Na kolik to bude spolehlivé?

Další stránka »