OVH Community, your new community space.

Saluti e politiche di firewalling


raffo
02.12.2009, 14.15
Infatti
e.p
02.12.2009, 09.38
Citazione Originariamente Scritto da raffo
Pero almeno secondo quello che ho provato e che provo.. basta limitare una % di banda, cpu, ram, tempo di eseguzione e processi simultanei per ogni utente. Questo quanto basta per non avere sovraccarichi dall'interno e possibili abusi dall'esterno.
Sostengo comunque che limitare ad esempio, 60 connessioni simultanee per ogni IP previene attacchi DDoS.
Magari… come spiegava Morpheus, il problema è anche la saturazione della porta. C'è da dire che quando si supera qualche Gb/s di attacco, è possibile (auspicabile?) che qualcuno in farm decida di tentare di bloccarlo già sui router. Purtroppo alcuni modi, appunto, sono un po' crudi (blackholing dell'IP del destinatario) e risultano comunque in un'interruzione del servizio.

Perchè questo limite?
Considerando che i comuni browser possono aprire anche 30-40 connessioni per pagina e considerando la velocità di trasferimento dei files, oltre 100 connessioni per IP è considerato un forte abuso di banda. Supponendo che gli attaccanti hanno 5 server, aprendo gia 450 connessioni il server, se un piccolo kimsufi, va in load e se non usa alcuna protezione come mod_security, si satura la banda.
Non credo che possa saturarsi la banda aprendo 450 connessioni HTTP; semmai, appunto, una configurazione poco opportuna (Apache con modello prefork, niente limiti) rischia di usare tutta la RAM a disposizionee mandare la macchina in thrashing, la situazione in cui usa lo spazio di swap continuamente.

Certo, se gli attaccanti hanno 10 server e ogni server ha 128 IP, avrai un periodo di abuso un po alto data la configurazione perchè il firewall dovra contare ogni connessione aperta di ogni ip, bloccarla e passare alla seguente per 1280 volte.
In realtà il problema è quante richieste al secondo vengono fatte

Infatti un firewall, per essere precisi, non basterebbe ma bisognerebbe preoccuparsi di tutti i possibili abusi ai demoni/servizi.

Se si usa apache, a mio avviso installa mod_security, mod_evasive, deflate..
Consiglio Nginx..
In questo momento sto usando un vecchio Kimsufi (il più piccolo con 2 GB di RAM) con nginx come front-end, con cache abilitata per alcuni siti. Poi, in altri container virtuali di Solaris, ci sono i back-end; la maggioranza usa Cherokee. Devo ancora testare la resistenza di fronte ad alcuni tentativi di DoS, ma mi sembra che l'insieme della struttura se la cavi bene
raffo
02.12.2009, 05.25
Citazione Originariamente Scritto da morpheus
...
hehhe pero OVH ti da la possibilità di avere 10Gbps su scheda di rete

Il firewall Cisco ASA 5505 mi ha deluso solo per una cosa: ha solo 100mbps port!!
morpheus
02.12.2009, 01.08
Citazione Originariamente Scritto da raffo
Sostengo comunque che limitare ad esempio, 60 connessioni simultanee per ogni IP previene attacchi DDoS.
Vallo a raccontare a chi è stato "omaggiato" con oltre 2 Gbps di DDoS ed ha risolto solo ritirando per oltre una settimana l'announce BGP della sottorete in cui si trovava la vittima

La maggior parte dei DoS a cui ho assistito causava disservizi per saturazione di banda o per starvation della vittima (causato dall'interrupt handler della scheda di rete). In quei casi hai solo due possibilità: filtrare sui router di frontiera le sorgenti dell'attacco se sono in numero limitato o mettere in blackhole la rotta verso la vittima per proteggere il resto della rete.
E indovina un po' cosa tendono a fare gli ISP con maggior frequenza (a parte fottersene, ovviamente )
raffo
02.12.2009, 00.05
Ora non so che tipo di uso è destinato il server, non posso consigliarti qualcosa di preciso.

Pero almeno secondo quello che ho provato e che provo.. basta limitare una % di banda, cpu, ram, tempo di eseguzione e processi simultanei per ogni utente. Questo quanto basta per non avere sovraccarichi dall'interno e possibili abusi dall'esterno.
Sostengo comunque che limitare ad esempio, 60 connessioni simultanee per ogni IP previene attacchi DDoS.

Perchè questo limite?
Considerando che i comuni browser possono aprire anche 30-40 connessioni per pagina e considerando la velocità di trasferimento dei files, oltre 100 connessioni per IP è considerato un forte abuso di banda. Supponendo che gli attaccanti hanno 5 server, aprendo gia 450 connessioni il server, se un piccolo kimsufi, va in load e se non usa alcuna protezione come mod_security, si satura la banda.
50-60 è il valore adatto per prevenire di bloccare i normali utenti e di bloccare tutti gli attaccanti, poichè loro non sanno che c'è questo limite e se si eccede di una sola connessione, il firewall blocca qualsiasi connessione al server.
Questo limite puoi configurarlo su CSF, APF e IPFW..

Certo, se gli attaccanti hanno 10 server e ogni server ha 128 IP, avrai un periodo di abuso un po alto data la configurazione perchè il firewall dovra contare ogni connessione aperta di ogni ip, bloccarla e passare alla seguente per 1280 volte.

Infatti un firewall, per essere precisi, non basterebbe ma bisognerebbe preoccuparsi di tutti i possibili abusi ai demoni/servizi.

Se si usa apache, a mio avviso installa mod_security, mod_evasive, deflate..
Consiglio Nginx..
e.p
01.12.2009, 23.47
Citazione Originariamente Scritto da raffo
Usa un clustering con load balancing allora..
Se messo alle strette, ci penserei; ma non sapendo che tipo di attacco fosse e quanta banda potesse saturare, non vorrei proprio spendere un'enormità per scoprire che può saturare anche 2, 4 o 8 porte… (Il problema diminuirebbe di un fattore 10 con un Kimsufi su porta gigabit, ma per ora tengo il mio vecchio!)

Oppure usa un firewall installando apposito software su una rps ad esempio..
avendo piu server, puoi reindirizzare gli attacchi tutti su un unico server e bloccarli.
O, sapendo che sono attacchi, anche lasciarli morire lì dove sono intercettati
raffo
01.12.2009, 23.00
Usa un clustering con load balancing allora..
Oppure usa un firewall installando apposito software su una rps ad esempio..
avendo piu server, puoi reindirizzare gli attacchi tutti su un unico server e bloccarli.
e.p
01.12.2009, 22.57
Citazione Originariamente Scritto da raffo
Per quanto riguarda gli attachi che si ricevono sui server OVH da parte esterna, si possono bloccare tutti al 90%.
Spesso non c'è neanche bisogno di un firewall hardware, basta configurare l'iptables in modo tale da accettare solamente un determinato numero di richieste per IP.
Purtroppo io, ad esempio, non ho proprio idea di che cosa stesse esattamente succedendo quando ho "subito l'attacco"; so che perdevo alcuni pacchetti in ingresso, cosa giustificabile per la pura e semplice saturazione della porta, ma ho il sospetto che si trattasse di un attacco distribuito. Penso che installerò un software come pmacct, con la funzione di "campionamento", per mantenere una traccia senza riempirmi RAM e disco con il contenuto dei pacchetti ricevuti.

Se pero vuoi avere una rete piu pulita, ovviamente ti serve un firewall hardware cosi da filtrare i pacchetti in entrata e in uscita, cosa che by software non puoi.
In effetti un tecnico dell'assistenza parigina mi ha raccomandato il firewall hardware, ma quando ho osservato che comunque verrebbe saturata la porta del firewall, non ha saputo spiegarmi che vantaggi mi darebbe…
raffo
01.12.2009, 21.23
Dall'inizio del 2010 si dovranno avere i primi risultati, OVH sta studiando dei metodi per evitare e bloccare gli attaccanti che usano server di OVH e quindi che abusano di spam e ddos...

Qui vorro proprio vedere se ci potranno essere sospensioni di servizio in caso in cui un utente di un server preso da noi e ospitato da ovh effetti un penetration test su un altro server.
O se qualche programma di monitoraggio o di newsletters venisse bloccato perchè sospetto...

Qui potrebbero nascere problemi e sopratutto problemi di qualità di servizio.
Ma penso e spero che faranno un buon lavoro e che localizzeranno solamente i pacchetti inutili e non quelli utili. Cisco fa questo.
Mi preoccupo per le newsletters invece.


Per quanto riguarda gli attachi che si ricevono sui server OVH da parte esterna, si possono bloccare tutti al 90%.
Spesso non c'è neanche bisogno di un firewall hardware, basta configurare l'iptables in modo tale da accettare solamente un determinato numero di richieste per IP.

Sicuramente, in questa infrastruttura avrai piu possibilità di bloccare attacchi rispetto ai tuoi DC precedentemente usati.
Usa server con Gigabit connection e configura bene il tuo firewall software, a mio parere dovrai riuscire ad essere "safe" per un bel po.

Io ricevo attacchi ogni 15min in media, ho solo una grande lista di IP bloccati da parte di server di altri DC e molti di OVH.

Se pero vuoi avere una rete piu pulita, ovviamente ti serve un firewall hardware cosi da filtrare i pacchetti in entrata e in uscita, cosa che by software non puoi.

RAFFAELE
e.p
01.12.2009, 20.25
Citazione Originariamente Scritto da albert
Ciao E.P.,

non eri dietro firewall hardware e/o software?
No, assolutamente. Avevo la macchina nuda e cruda, e non avevo nemmeno tool installati per campionare i pacchetti e capire esattamente di che cosa si trattasse. C'è da dire che non ho trovato nulla nei log e che non c'era alcun traffico in uscita, quindi suppongo che fossero tentativi di connessione rivolti a porte chiuse, nulla che potesse dar luogo ad amplificazioni.

Beh qualche decina di Gbyte al mese mi sono piu che sufficienti.
Anche nel mio caso: ho scelto l'opzione Traffic e ci sto molto, molto comodo.

Sul mio attuale data-center gli attacchi sono all'ordine del giorno, HELO, webscan, ssh e tentavi vari di accesso. Per ora riesco a controllarli. Per ora.
Del resto per circa 50 euro al mese non si puo chiedere la luna. Qualche tempo fa ero su un data-center londinese, 390£ al mese e nessun problema (ovviamente).
Del resto, o li si filtrano a monte, o si configura con attenzione il sistema… suppongo che i londinesi te li filtrassero

Passato su Berlino mi si crasha uno dei 2 dischi raid, i"tecnici" nonostante i miei avvisi non hanno fatto nulla e dopo circa una settimana dopo infiniti reboot e resync e' crashato anche il secondo hd .... che dio li abbia in gloria (tecnici e dati).
Anch'io avevo sentito cose del genere su di un grosso fornitore di macchine dedicate in Germania. Molto triste.

Sul server attuale (sempre in francia) tranne un alimentatore saltato, mai nessun problema ma assistenza italiana manco a parlarne.

Speriamo bene su OVH, manterro' attivi i server attuali ed aggiungo questo su OVH.
Sulle questioni hardware ti converrà comunque conversare con i tecnici in Francia (in inglese), spesso; a me è già capitato che dei ticket aperti in italiano ricevessero risposta in inglese.

In bocca al lupo!
albert
01.12.2009, 15.55
Ciao E.P.,

non eri dietro firewall hardware e/o software?

Beh qualche decina di Gbyte al mese mi sono piu che sufficienti.

Sul mio attuale data-center gli attacchi sono all'ordine del giorno, HELO, webscan, ssh e tentavi vari di accesso. Per ora riesco a controllarli. Per ora.

Del resto per circa 50 euro al mese non si puo chiedere la luna. Qualche tempo fa ero su un data-center londinese, 390£ al mese e nessun problema (ovviamente).

Passato su Berlino mi si crasha uno dei 2 dischi raid, i"tecnici" nonostante i miei avvisi non hanno fatto nulla e dopo circa una settimana dopo infiniti reboot e resync e' crashato anche il secondo hd .... che dio li abbia in gloria (tecnici e dati).

Sul server attuale (sempre in francia) tranne un alimentatore saltato, mai nessun problema ma assistenza italiana manco a parlarne.

Speriamo bene su OVH, manterro' attivi i server attuali ed aggiungo questo su OVH.

Albert
e.p
01.12.2009, 15.21
Citazione Originariamente Scritto da albert
La domanda sorge spontanea ... si puo sapere che tipo di blocco e/o regole di filtering sono state adottate da OVH?
La mia esperienza personale: a me non è mai stato filtrato nulla. Una volta ho subito un attacco (pacchetti in ingresso a 100 Mbps pieni) ma comunque non è intervenuto nessun meccanismo di OVH.

A seconda del tipo di offerta che sottoscrivi, può venirti diminuita la banda disponibile quando superi una certa soglia, ma anche questo non l'ho mai sperimentato.

Ciao!
albert
01.12.2009, 11.46
Salve a tutti,

mi sono appena registrato in questo forum in quanto ho intenzione di noleggiare un server dedicato della classe Kimsufi.

Leggendo qua e la' nel forum c'era un post che parlava delle politiche di firewalling della OVH. Ora, comprendo e condivido il fatto che si debba filtrare il traffico in entrata ma da quello che ho intuito, leggendo il forum, c'e' qualcosa che non va o che comunque crea problemi a qualche utente.

La domanda sorge spontanea ... si puo sapere che tipo di blocco e/o regole di filtering sono state adottate da OVH?