Poskytovatel internetu snad zadne porty blokovat zakaznikum nema....
Aký profesionálny firewall na sieť?
- Upraveno
pintero
kto povedal ze bude nieco blokovat?
spravna pracka by mala fungovat tak ze zablokuje az ked pride utok a to tym ze odkloni zdrojove ipky z vonku a tym padom to zakaznika minimalne ovplyvni...
pintero Myšleno blokování inputu. Ne forward. Ale když neblokuješ winbox/ssh a ani neloguješ neúspěšný pokusy o login, tak tam může roky běžet brute force na heslo aniž by si toho někdo všiml.
pedro4444 Nic nezažil, proto jakékoliv moje návrhy (byť jen oddělit management páteřních prvků do jiné VLANy a zaříznout přístup na vybrané IP) byly smeteny ze stolu, protože to nebylo zadarmo (i čas něco stojí).
gemb Když to FUPuješ (ale ofiko to popíráš), tak to ve špičce udržíš docela dole Ale teď ten datový tok bude asi vyšší, nemám úplně aktuální info. Ale jelikož SNMP jede v defaultu na "public", tak bych se mohl podívat. A pokudvím, tak stále nezměnili hesla, takže bych se mohl teoreticky i nalogovat na libovolný core prvek
sidi To ano, nebudeme si klamat ale vela isp osiera rychlost ako sa da...preto sa tomu cudujem, ze mame nieco cez tisicku klientov mix optika/wifi a vecer chodime uz skoro 3Gbit Co ine ovela vacsie siete maju tiez...asi sme fakt inde. Co sa tyka firewallu ziadny speci stroj na to nemame ale GW mame na supermicro s intel xeon, bolo nam davnejsie vysvetlene, ze radsej menej core a vyssie takty nez vela maly core s malymi taktami ako je napr ccr1036/1072...ale realne ddos sme zatial nemali.
rado3105 ISP Gateway
DOS a DDOS útoky analyzuje za 0,1s https://www.unitednetworks.cz/sluzby/isp-gateway
https://www.youtube.com/watch?v=nIp74n2zYuo
sidi
Co ti pomoze pri ddos oddelenue mng? Co mi mali ddos na verejne tak si tam kumuloval traffuc a tym to padlo.... bolo jedno ci je to verejna pre ludi abo len na mng po ohlo az na polhodinu odstavenie urcitych verejnych a orepnut na ine
pedro4444 Tazatel se ptal na ddos + jiné. Tzn nejen DDoS.
Oddělit management a naprosto ho zaříznout (kromě několika "důvěryhodných" IP) považuji za základní věc - je to relativně jednoduché a udělá to hodně. Navíc to byl spíš příklad toho jak někteří majitelé sítí naprosto dlabou i na základní zabezpečení i když se nejedná o nic nákladného/náročného.
sidi
toto je jasne u nas mng nema ani pristup na internet ani ziadne ap nic nema to dns nic netreba a tym padom bol aj krasny klud ked bol ubnt utok alebo mk...
ale vravim ddos je uplne iny utok a toto nema ziadny vplyv...
nema niekto skusenosti s niecim takymto? https://www.amazon.com/FORTINET-FortiGate-Network-Security-Firewall/dp/B07VYK8T56?th=1
Důvod pro DoS či DDoS je zahltit příjemcovu síť. Pokud to dokáže vyřešit nějaké zařízení na této straně, tak to byl útok k ničemu ...
- Upraveno
Ta diskuze tady je taková strašně vtipná. Míchá se tu dohromady všechno možné ... zabezpečení sítě, ddos s velkým objemem dat, filtrování forwardu a inputu .... atd. Strašná splácanina.
Jako základní otázku bych viděl pro jaký druh sítě to má být určené? Ispik má jiné potřeby, škola taky, velké organizace chtějí něco. Fortigate je fajn pro některé účely.
Pokud se budeme bavit o ddos, tak nejčastější forma ddosu co jsem zažil/zažívám není na ucpání linky objemem (to se Vám může stát u 1G, ale pak už útočník musí platit více), ale na vyčerpání zdrojů hraničních prvků. Pak se dá existovat docela slušně na 10G lince i s obyč linuxem a pomocí XDP si napsat pračku na vstup a pomocí nějakého threshold ji aktivovat. Profesionální řešení to není, ale funkční je maximálně.
rado3105 je to vždy velmi individuální .... zjednodušeně je třeba si napsat filter přesně na míru a nahodit ho na interfacu nejakého stroje co běží "bokem". V reálu se to používá třeba tak, že máte připravený stroj a když je potřeba, tak začnete provoz točit přes jeden jeho interface - data vůbec nepolezou do netfilteru. Jen nastavíte staticky arp, dají se tam dělat i mapy provozu, takže jistá část provozu nemusí být příliš omezena. BFP obsahuje conntrack helper.
koukněte třeba na
https://duo.com/labs/tech-notes/writing-an-xdp-network-filter-with-ebpf
- Upraveno
pgb ked mas ale vstup len do 1 GB co vacsina malych isp... tak ti nepomoze nic nech si das na svoju siet cokolvek pretoze ak ten utok bude o hodnote 1 GB zajebe to shaping u tvojho poskytovatela a ty si uz darmo mozes u seba nieco triedit ked bude linka zahadzana