Proxy i ochrona usługi przed atakami DDoS


(mikajlo) #1

Witam,
pytanie kierowane (wydaje mi się) przede wszystkim do administratorów sieci/usług we 'własnym ekosystemie', ale zostawiam dyskusję otwartą..

W jaki sposób można chronić usługi wystawione 'na świat' przed atakami wykorzystującymi serwery proxy ? Chciałbym dowiedzieć się od Was jakiś konkretnych rozwiązań, ponieważ niedługo będę musiał coś podobnego przeprowadzić i co 'gorsza' będę za to odpowiedzialny..

Pozdrawiam,

Michał

ps. Temat ochrony usług/serwera jest o wiele szerszy, dlatego można się też wypowiadać nie tylko w kontekście proxy, ale głównie tego dot. ten wątek..


(Jack_Daniels) #2

Zawsze pierwsza ochrona jest firewall to ochroni przez standardowymi atakami, przed ddosem to raczej marne szanse, chyba ze masz infrastrukturę która potrafi znieść “nagłe zainteresowanie” na poziomie 30-50 Gbps :slight_smile: U mnie dobrze radzi sobie Fortigate, pewnie podobny efekt można uzyskać programowo za pomocą iptables


(Drobok) #3

Problemem nie jest obsługa tylko przepustowość sieci na świat, więc mając “własny ekosystem” nie masz szans się wybronić, chyba że ten ekosystem kosztuje krocie :wink: Reasumując albo korzystasz z usług porządnego datacenter, albo usługi typu cloudfire. Bo cie scriptkidy zjedzą :wink:


(mikajlo) #4

@drobok - może mi się tylko wydaje, ale chyba za dużo ‘dramatyzmu’ w Twoich słowach… ja chcę wystawić usługę opartą o stronę WWW. Szkoda czasu scriptkiderów… :> Poza tym nie chce mi się wierzyć, że do takiego czegoś potrzeba bawić się od razu  datacenter lub inne cloudfire…

@Jack_Daniels - czyli mam rozumieć, że również masz powystawiane jakieś usługi i Fortigate (jakieś konkretne ustawienia? Blacklisty czy cuś?) daje radę sieć ‘w całości’ ?


(Jack_Daniels) #5

Na zewnątrz mam tylko Kilka VPN i internet, wszystkie usługi firmowe mam w Wanie. Nie ma Blacklisty, można ją zrobić, ale patrząc po logach to bym spędzał sporo czasu na dodawaniu adresów . Większość To roboty które szukają i się dobijają, w Fortigate wystawiona mam konkretną usługę jak http, https pop itp. Jak chcesz blokować adresy to zacznij od Tora, to najczęściej  z tych ip są próby włamania. 


(mikajlo) #6

@Jack_Daniels - dzięki za wypowiedź :slight_smile: Tego Tora też muszę wziąć pod uwagę… ciekawe tylko czy jest jakaś ‘fajna’ metoda wykrycia takiego ruchu… A Fortigate ma takie opcje, które umożliwiają mu wykrycie ruchu z sieci Tor ?


(Jack_Daniels) #7

Blokujesz po ip, adresy nod exit sa dostępne w necie. Trzeba poszperać https://www.dan.me.uk/torlist/?exit

Tworzysz grupę i wrzucasz tam te z których połączenie będzie odrzucane.


(mikajlo) #8

@Jack_Daniels - jak lista jest dostępna to pasuje. Dzięki! .)


(tylko_prawda) #9

@Jack_Daniels: Na zablokowaniu Tora ucierpią użytkownicy…


(Jack_Daniels) #10

To prawda, jeżeli nie masz odgórnie narzuconych zasad bezpieczeństwa, to lawirujesz między wygodą użytkowników, a bezpieczeństwem. 

Wtedy podejmujesz działania według własnego uznania podnosząc  konsekwencję, setki telefonów od użytkowników, albo mniejszy poziom zabezpieczeń i tłumaczenie się w razie wpadki.