Aký profesionálny firewall na sieť?

rado3105

Používate nejaké profesionálne riešenia na sieť, pri trafficu do 1Gbit/s? Základna ochrana pred DDOS + iné?

pavelhais

rado3105 ISP Gateway
DOS a DDOS útoky analyzuje za 0,1s https://www.unitednetworks.cz/sluzby/isp-gateway
https://www.youtube.com/watch?v=nIp74n2zYuo

sidi

Já mám v práci PaloAlto. Ale bez projektových cen to stojí nesmysl.

Poskytovatelé okolo co znám nemají nic, jen mikrotik s pár zablokovanýma portama, žádná ochrana (a to má jeden z nich tok k 3Gbit a tisíce klientů) 🤣

pedro4444

sidi a doteraz nezazil ziadne DDOS utoky?
bo uz si myslim treba nad niecim uvazovat lebo uz som zazil nejaky ten ddos utok na verejny rozsah a pak to ide pekne dole ....

gemb

pintero to hej ale robi to vela ISP, sam som mal doma s predchadzajucim ISP ktory blokoval zamerne nejaky port a doma mi nefungovala jedna urcita sluzba...

sidi tisice klientov a len 3Gbit?

sidi

pintero Myšleno blokování inputu. Ne forward. Ale když neblokuješ winbox/ssh a ani neloguješ neúspěšný pokusy o login, tak tam může roky běžet brute force na heslo aniž by si toho někdo všiml.

pedro4444 Nic nezažil, proto jakékoliv moje návrhy (byť jen oddělit management páteřních prvků do jiné VLANy a zaříznout přístup na vybrané IP) byly smeteny ze stolu, protože to nebylo zadarmo (i čas něco stojí).

gemb Když to FUPuješ (ale ofiko to popíráš), tak to ve špičce udržíš docela dole 🙂 Ale teď ten datový tok bude asi vyšší, nemám úplně aktuální info. Ale jelikož SNMP jede v defaultu na "public", tak bych se mohl podívat. A pokudvím, tak stále nezměnili hesla, takže bych se mohl teoreticky i nalogovat na libovolný core prvek 🤣

pintero

Poskytovatel internetu snad zadne porty blokovat zakaznikum nema.... 😅

pedro4444

pintero
kto povedal ze bude nieco blokovat?
spravna pracka by mala fungovat tak ze zablokuje az ked pride utok a to tym ze odkloni zdrojove ipky z vonku a tym padom to zakaznika minimalne ovplyvni...

gemb

sidi To ano, nebudeme si klamat ale vela isp osiera rychlost ako sa da...preto sa tomu cudujem, ze mame nieco cez tisicku klientov mix optika/wifi a vecer chodime uz skoro 3Gbit 😃 Co ine ovela vacsie siete maju tiez...asi sme fakt inde. Co sa tyka firewallu ziadny speci stroj na to nemame ale GW mame na supermicro s intel xeon, bolo nam davnejsie vysvetlene, ze radsej menej core a vyssie takty nez vela maly core s malymi taktami ako je napr ccr1036/1072...ale realne ddos sme zatial nemali.

pedro4444

sidi
Co ti pomoze pri ddos oddelenue mng? Co mi mali ddos na verejne tak si tam kumuloval traffuc a tym to padlo.... bolo jedno ci je to verejna pre ludi abo len na mng po ohlo az na polhodinu odstavenie urcitych verejnych a orepnut na ine

sidi

pedro4444 Tazatel se ptal na ddos + jiné. Tzn nejen DDoS.

Oddělit management a naprosto ho zaříznout (kromě několika "důvěryhodných" IP) považuji za základní věc - je to relativně jednoduché a udělá to hodně. Navíc to byl spíš příklad toho jak někteří majitelé sítí naprosto dlabou i na základní zabezpečení i když se nejedná o nic nákladného/náročného.

pedro4444

sidi
toto je jasne u nas mng nema ani pristup na internet 😃 ani ziadne ap nic nema to dns nic netreba a tym padom bol aj krasny klud ked bol ubnt utok alebo mk...
ale vravim ddos je uplne iny utok a toto nema ziadny vplyv...

rado3105

nema niekto skusenosti s niecim takymto? https://www.amazon.com/FORTINET-FortiGate-Network-Security-Firewall/dp/B07VYK8T56?th=1

zero

rado3105

Spravujeme nekolik desitek FortiGatu - co potrebujes vedet? 🙂

rado3105

zero ci ide o vhodne zariadenia na ochranu pred najcastejsimi utokmi na siete ISP, taktiez ako to vyzera s ochranou pred DDOS a DOS utokmi....neviem nikde nejake detailnejsie informacie s porovnanim zohnat o Fortigate...

ludvik

Důvod pro DoS či DDoS je zahltit příjemcovu síť. Pokud to dokáže vyřešit nějaké zařízení na této straně, tak to byl útok k ničemu ...

iTomB

rado3105 Kdyz budes mit linku 3G, pouzivat 2G a pujde DDoS 10G, tak ti zadna technologie u tebe nepomuze 😃

pgb

Ta diskuze tady je taková strašně vtipná. Míchá se tu dohromady všechno možné ... zabezpečení sítě, ddos s velkým objemem dat, filtrování forwardu a inputu .... atd. Strašná splácanina.

Jako základní otázku bych viděl pro jaký druh sítě to má být určené? Ispik má jiné potřeby, škola taky, velké organizace chtějí něco. Fortigate je fajn pro některé účely.

Pokud se budeme bavit o ddos, tak nejčastější forma ddosu co jsem zažil/zažívám není na ucpání linky objemem (to se Vám může stát u 1G, ale pak už útočník musí platit více), ale na vyčerpání zdrojů hraničních prvků. Pak se dá existovat docela slušně na 10G lince i s obyč linuxem a pomocí XDP si napsat pračku na vstup a pomocí nějakého threshold ji aktivovat. Profesionální řešení to není, ale funkční je maximálně.

rado3105

pgb zaujimave riesenie, viac o tej pracke prosim?

pedro4444

pgb ked mas ale vstup len do 1 GB co vacsina malych isp... tak ti nepomoze nic nech si das na svoju siet cokolvek pretoze ak ten utok bude o hodnote 1 GB zajebe to shaping u tvojho poskytovatela a ty si uz darmo mozes u seba nieco triedit ked bude linka zahadzana 🙂

pgb

rado3105 je to vždy velmi individuální .... zjednodušeně je třeba si napsat filter přesně na míru a nahodit ho na interfacu nejakého stroje co běží "bokem". V reálu se to používá třeba tak, že máte připravený stroj a když je potřeba, tak začnete provoz točit přes jeden jeho interface - data vůbec nepolezou do netfilteru. Jen nastavíte staticky arp, dají se tam dělat i mapy provozu, takže jistá část provozu nemusí být příliš omezena. BFP obsahuje conntrack helper.

koukněte třeba na
https://duo.com/labs/tech-notes/writing-an-xdp-network-filter-with-ebpf

rado3105

pgb vedel by to niekto urobit za financnu odmenu? kolko by to vyslo?