Poskytovatel internetu snad zadne porty blokovat zakaznikum nema.... 😅

    pintero to hej ale robi to vela ISP, sam som mal doma s predchadzajucim ISP ktory blokoval zamerne nejaky port a doma mi nefungovala jedna urcita sluzba...

    sidi tisice klientov a len 3Gbit?

    • sidi replied to this.

      pintero
      kto povedal ze bude nieco blokovat?
      spravna pracka by mala fungovat tak ze zablokuje az ked pride utok a to tym ze odkloni zdrojove ipky z vonku a tym padom to zakaznika minimalne ovplyvni...

      pintero Myšleno blokování inputu. Ne forward. Ale když neblokuješ winbox/ssh a ani neloguješ neúspěšný pokusy o login, tak tam může roky běžet brute force na heslo aniž by si toho někdo všiml.

      pedro4444 Nic nezažil, proto jakékoliv moje návrhy (byť jen oddělit management páteřních prvků do jiné VLANy a zaříznout přístup na vybrané IP) byly smeteny ze stolu, protože to nebylo zadarmo (i čas něco stojí).

      gemb Když to FUPuješ (ale ofiko to popíráš), tak to ve špičce udržíš docela dole 🙂 Ale teď ten datový tok bude asi vyšší, nemám úplně aktuální info. Ale jelikož SNMP jede v defaultu na "public", tak bych se mohl podívat. A pokudvím, tak stále nezměnili hesla, takže bych se mohl teoreticky i nalogovat na libovolný core prvek 🤣

        sidi To ano, nebudeme si klamat ale vela isp osiera rychlost ako sa da...preto sa tomu cudujem, ze mame nieco cez tisicku klientov mix optika/wifi a vecer chodime uz skoro 3Gbit 😃 Co ine ovela vacsie siete maju tiez...asi sme fakt inde. Co sa tyka firewallu ziadny speci stroj na to nemame ale GW mame na supermicro s intel xeon, bolo nam davnejsie vysvetlene, ze radsej menej core a vyssie takty nez vela maly core s malymi taktami ako je napr ccr1036/1072...ale realne ddos sme zatial nemali.

        sidi
        Co ti pomoze pri ddos oddelenue mng? Co mi mali ddos na verejne tak si tam kumuloval traffuc a tym to padlo.... bolo jedno ci je to verejna pre ludi abo len na mng po ohlo az na polhodinu odstavenie urcitych verejnych a orepnut na ine

        • sidi replied to this.

          pedro4444 Tazatel se ptal na ddos + jiné. Tzn nejen DDoS.

          Oddělit management a naprosto ho zaříznout (kromě několika "důvěryhodných" IP) považuji za základní věc - je to relativně jednoduché a udělá to hodně. Navíc to byl spíš příklad toho jak někteří majitelé sítí naprosto dlabou i na základní zabezpečení i když se nejedná o nic nákladného/náročného.

            sidi
            toto je jasne u nas mng nema ani pristup na internet 😃 ani ziadne ap nic nema to dns nic netreba a tym padom bol aj krasny klud ked bol ubnt utok alebo mk...
            ale vravim ddos je uplne iny utok a toto nema ziadny vplyv...

            rado3105

            Spravujeme nekolik desitek FortiGatu - co potrebujes vedet? 🙂

            J.

              Důvod pro DoS či DDoS je zahltit příjemcovu síť. Pokud to dokáže vyřešit nějaké zařízení na této straně, tak to byl útok k ničemu ...

              zero ci ide o vhodne zariadenia na ochranu pred najcastejsimi utokmi na siete ISP, taktiez ako to vyzera s ochranou pred DDOS a DOS utokmi....neviem nikde nejake detailnejsie informacie s porovnanim zohnat o Fortigate...

                rado3105 Kdyz budes mit linku 3G, pouzivat 2G a pujde DDoS 10G, tak ti zadna technologie u tebe nepomuze 😃

                Ta diskuze tady je taková strašně vtipná. Míchá se tu dohromady všechno možné ... zabezpečení sítě, ddos s velkým objemem dat, filtrování forwardu a inputu .... atd. Strašná splácanina.

                Jako základní otázku bych viděl pro jaký druh sítě to má být určené? Ispik má jiné potřeby, škola taky, velké organizace chtějí něco. Fortigate je fajn pro některé účely.

                Pokud se budeme bavit o ddos, tak nejčastější forma ddosu co jsem zažil/zažívám není na ucpání linky objemem (to se Vám může stát u 1G, ale pak už útočník musí platit více), ale na vyčerpání zdrojů hraničních prvků. Pak se dá existovat docela slušně na 10G lince i s obyč linuxem a pomocí XDP si napsat pračku na vstup a pomocí nějakého threshold ji aktivovat. Profesionální řešení to není, ale funkční je maximálně.

                  o měsíc později

                  pgb zaujimave riesenie, viac o tej pracke prosim?

                  • pgb replied to this.

                    rado3105 je to vždy velmi individuální .... zjednodušeně je třeba si napsat filter přesně na míru a nahodit ho na interfacu nejakého stroje co běží "bokem". V reálu se to používá třeba tak, že máte připravený stroj a když je potřeba, tak začnete provoz točit přes jeden jeho interface - data vůbec nepolezou do netfilteru. Jen nastavíte staticky arp, dají se tam dělat i mapy provozu, takže jistá část provozu nemusí být příliš omezena. BFP obsahuje conntrack helper.

                    koukněte třeba na
                    https://duo.com/labs/tech-notes/writing-an-xdp-network-filter-with-ebpf

                      pgb vedel by to niekto urobit za financnu odmenu? kolko by to vyslo?

                      • pgb replied to this.

                        pgb ked mas ale vstup len do 1 GB co vacsina malych isp... tak ti nepomoze nic nech si das na svoju siet cokolvek pretoze ak ten utok bude o hodnote 1 GB zajebe to shaping u tvojho poskytovatela a ty si uz darmo mozes u seba nieco triedit ked bude linka zahadzana 🙂

                        • pgb replied to this.

                          pedro4444 to mělo být asi na rado3105, o 1G lince jsem psal o dva příspěvky výše

                          📡 Telekomunikace.cz