Proxy i ochrona usługi przed atakami DDoS

Witam,
pytanie kierowane (wydaje mi się) przede wszystkim do administratorów sieci/usług we ‘własnym ekosystemie’, ale zostawiam dyskusję otwartą…

W jaki sposób można chronić usługi wystawione ‘na świat’ przed atakami wykorzystującymi serwery proxy ? Chciałbym dowiedzieć się od Was jakiś konkretnych rozwiązań, ponieważ niedługo będę musiał coś podobnego przeprowadzić i co ‘gorsza’ będę za to odpowiedzialny…

Pozdrawiam,

Michał

ps. Temat ochrony usług/serwera jest o wiele szerszy, dlatego można się też wypowiadać nie tylko w kontekście proxy, ale głównie tego dot. ten wątek…

Zawsze pierwsza ochrona jest firewall to ochroni przez standardowymi atakami, przed ddosem to raczej marne szanse, chyba ze masz infrastrukturę która potrafi znieść “nagłe zainteresowanie” na poziomie 30-50 Gbps :slight_smile: U mnie dobrze radzi sobie Fortigate, pewnie podobny efekt można uzyskać programowo za pomocą iptables

Problemem nie jest obsługa tylko przepustowość sieci na świat, więc mając “własny ekosystem” nie masz szans się wybronić, chyba że ten ekosystem kosztuje krocie :wink: Reasumując albo korzystasz z usług porządnego datacenter, albo usługi typu cloudfire. Bo cie scriptkidy zjedzą :wink:

@drobok - może mi się tylko wydaje, ale chyba za dużo ‘dramatyzmu’ w Twoich słowach… ja chcę wystawić usługę opartą o stronę WWW. Szkoda czasu scriptkiderów… :> Poza tym nie chce mi się wierzyć, że do takiego czegoś potrzeba bawić się od razu  datacenter lub inne cloudfire…

@Jack_Daniels - czyli mam rozumieć, że również masz powystawiane jakieś usługi i Fortigate (jakieś konkretne ustawienia? Blacklisty czy cuś?) daje radę sieć ‘w całości’ ?

Na zewnątrz mam tylko Kilka VPN i internet, wszystkie usługi firmowe mam w Wanie. Nie ma Blacklisty, można ją zrobić, ale patrząc po logach to bym spędzał sporo czasu na dodawaniu adresów . Większość To roboty które szukają i się dobijają, w Fortigate wystawiona mam konkretną usługę jak http, https pop itp. Jak chcesz blokować adresy to zacznij od Tora, to najczęściej  z tych ip są próby włamania. 

@Jack_Daniels - dzięki za wypowiedź :slight_smile: Tego Tora też muszę wziąć pod uwagę… ciekawe tylko czy jest jakaś ‘fajna’ metoda wykrycia takiego ruchu… A Fortigate ma takie opcje, które umożliwiają mu wykrycie ruchu z sieci Tor ?

Blokujesz po ip, adresy nod exit sa dostępne w necie. Trzeba poszperać https://www.dan.me.uk/torlist/?exit

Tworzysz grupę i wrzucasz tam te z których połączenie będzie odrzucane.

@Jack_Daniels - jak lista jest dostępna to pasuje. Dzięki! .)

@Jack_Daniels: Na zablokowaniu Tora ucierpią użytkownicy…

To prawda, jeżeli nie masz odgórnie narzuconych zasad bezpieczeństwa, to lawirujesz między wygodą użytkowników, a bezpieczeństwem. 

Wtedy podejmujesz działania według własnego uznania podnosząc  konsekwencję, setki telefonów od użytkowników, albo mniejszy poziom zabezpieczeń i tłumaczenie się w razie wpadki.