OVH Community, your new community space.

Incomprensione o truffa?


MnEm0nIc
02.03.2012, 16.16
Citazione Originariamente Scritto da tmit
Ho ben compreso il vostro punto di vista e vi ringrazio per la spiegazione dettagliata
figurati i forum servono per confrontarsi

In ogni caso allora è scorretto dire che sia "migliore" BSD nei confronti di Linux,
in realtà il fatto di essere "migliore" è solo in questo caso un discorso di
semplificazione nella gestione delle ACL e nell'utilizzo intrinseco dei tools
che si hanno a disposizione con entrambi i sistemi.
a parita' di efficacia delle regole, con iptables hai una maggiore complessita' di configurazione e mantenimento, il che e' uno svantaggio, sopratutto quando il mantenimento lo devi fare su varie macchine.
con ruleset abbastanza articolati, con iptables e' piu' complesso arrivare alla stessa efficacia delle regole che con pf.

insomma, con pf puoi raggiungere risultati importanti con uno sforzo inferiore.
per me questo vuol dire essere migliore

Per la cronaca ho avuto a che fare con pf un paio di volte l'anno scorso...
Non c'è realmente un abisso di differenza come semplificazione rispetto ad iptables (IMHO).
io ho passato la configurazione di un firewall di un cliente da iptables a pf riducendo ad un terzo le righe del file di configurazione del firewall...

tmit
02.03.2012, 14.53
Ho ben compreso il vostro punto di vista e vi ringrazio per la spiegazione dettagliata

In ogni caso allora è scorretto dire che sia "migliore" BSD nei confronti di Linux,
in realtà il fatto di essere "migliore" è solo in questo caso un discorso di
semplificazione nella gestione delle ACL e nell'utilizzo intrinseco dei tools
che si hanno a disposizione con entrambi i sistemi.

Per la cronaca ho avuto a che fare con pf un paio di volte l'anno scorso...
Non c'è realmente un abisso di differenza come semplificazione rispetto ad iptables (IMHO).

raffo
02.03.2012, 13.49
Esatto, PF è più semplice da usare se vuoi configurare un firewall professionale, iptables è molto complesso se si vogliono configurare delle regole avanzate.

MnEm0nIc
02.03.2012, 13.44
mi inserisco e ti esprimo la mia opinione:
con iptables fai le stesse cose che con pf, ma le fai in modo piu' complesso.

giusto qualche esempio:
  • la sintassi di pf e' molto leggibile contrariamente a quella di iptables
  • pf ha un file di configurazione, mentre con iptables o usi iptables-save ed iptables-restore oppure ti fai lo script bash che esegue i comandi iptables
  • con pf/altq fai QoS senza impazzire col mangling e i pool di tc
  • possibilita' di fare ridondanza col protocollo CARP
  • iptables ha una complessa struttura basata sulle chain che va rispettata, cosa che in pf e' totalmente assente
  • con pf puoi modificare al volo le regole, mentre con iptables devi cancellare e rifare la regola
  • con pf crei in modo molto semplice regole di nat o redirect


ciao ciao

raffo
02.03.2012, 13.21
Linux è una scelta altrettanto valida, sono io che so gestire meglio il traffic shaping su BSD invece di linux perchè PF ha moltissime opzioni in parte già pronte all'uso tra cui i ruleset optimization in cui si puo scegliere la reattività del sistema e quindi avere meno code in memoria per le nuove connessioni. Spesso i server sotto attacco vanno offline prima che la porta ethernet si saturi perchè il sistema operativo lascia in memoria anche le connessioni chiuse per un periodo di tempo senza scartarle e quindi le nuove connessioni si sommano alle precedenti provocando il denial of service. Ecco perchè una configurazione senza una buona gestione del timing e di ottimizzazione delle connessioni lascia che il server va offline dopo un po che l'attacco è iniziato (con le stesse connessioni aperte senza aumentare) perchè in parte alcune le accumula. ALTQ gestisce molto bene il QoS della rete dando delle priorità, ad esempio agli ACKs.

Questo è uno dei motivi perchè preferisco BSD, sono sicuro che anche su linux si puo definire tutto ciò tramite gli appositi moduli nel kernel per iptables.


tmit
02.03.2012, 11.15
Raffo perchè reputi che Linux non sia all'altezza di BSD sotto questi aspetti?

raffo
01.03.2012, 23.46
un migliaio di connessioni non sono un problema, 80mbps se non sono sufficienti 100mbps passi a 1Gbps, il firewall cisco ha dei limiti anche lui, il bit rate se vedi non va oltre i 450mbps, ci sono poi anche altri limiti di nuove connessioni e connessioni totali.
BSD va solo saputo configurare

mmorselli
01.03.2012, 23.35
Citazione Originariamente Scritto da raffo
Un migliaio di connessioni si potevano gestire benissimo senza firewall cisco, BSD poteva fare al caso tuo.
Si Raffo, ma stiamo parlando col senno di poi, non col senno di chi ha qualcosa in produzione e che ha bisogno prima di tutto di rimanere online, poi di fare delle valutazioni in base alla natura e all'entità degli attacchi che eventualmente subisce. Dal momento che non c'era particolare necessità di puntare al risparmio, perchè affidarsi ad una soluzione software quando un pezzo hardware sarebbe lì a fare il suo mestiere? BSD non è una scelta indolore. Oltretutto, da quanto ho capito, OVH mi avrebbe sbattuto fuori comunque no?

raffo
01.03.2012, 21.31
Un migliaio di connessioni si potevano gestire benissimo senza firewall cisco, BSD poteva fare al caso tuo.

mmorselli
01.03.2012, 17.06
Gli attacchi che ho subito sono stati di diversa natura, da un semplice SYN, bloccato con una riga di iptables, a DDoS HTTP, flood UDP sulla 25... un po' di tutto. Mai più di un migliaio di IP, da quello che sono riuscito a vedere dalla mia posizione "non molto privilegiata". Verissimo il discorso che sei protetto fino al punto in cui chi ti attacca è disposto a spendere, ma vale anche il contrario. Tutto quello che serve è un fornitore di servizi reattivo.

raffo
01.03.2012, 05.10
Gli Anonymous sono tanti, è un movimento politico non c'entra niente. Ho visto ragazzini avere decine di pc che inviavano il ping aprendo infinite finestre prompot cmd su windows giusto per il sentirsi coinvolti da un movimento contro le istituzioni governative o grandi società...
Ma ti dirò ho visto anche persone avere game server in cui venivano attaccati da circa 64.000 IP provenienti da tutto il mondo. Esistono le botnet e chi le crea infettando pc altru con virus nascosti nei tools e programmini che girano in rete, si affittano in base al tempo e alla quantità di IP. Prima o poi potresti essere colpito da qualcosa di piu potente dagli attacchi precedenti semplicemente perchè chi vuole farti tacere è disposto a pagare di più.

Se vuoi approfondire contattami farò un test. (senza botnet, da singolo ip, senza attaccare, giusto analisi)

mmorselli
01.03.2012, 04.50
Citazione Originariamente Scritto da raffo
È normale che ovh non puo garantirti il numero di pacchetti al secondo che puo supportare 1Gbps o 10Gbps reali, spenderebbe migliardi di euro solo in routers e switch. Qualsiasi altra società non potrà aiutarti a meno che non ti mette a disposizione un cluster o un cloud di firewall con geo dns con supporto waf.
Sarà... Ma nel momento in cui OVH mi ha (tardivamente) informato che la macchina non me l'avrebbe più riattivata, dato che non era mia intenzione chiudere bottega, ho individuato un nuovo provider, ho attivato un server, mi è stato messo in sicurezza da loro e non ho più avuto problemi. Avendo preso una macchina di fascia abbastanza alta più o meno i soldi sono stati gli stessi (OVH, da cui ancora mi servo, è molto conveniente ma nella fascia medio-bassa). Non è che tutti gli attacchi vengono dagli Anonymous e richiedono tecnologie stellari per essere affrontati.

raffo
01.03.2012, 04.19
In effetti OVH pone dei limiti per ogni server, anche se offre 100mbps o 1Gbps, ci sono dei limiti che sono in base al numero di nuove connessioni al secondo e ai pacchetti secondo. La banda è un'altra cosa e non viene limitata. 1Gbps è 1Gbps.

Un attacco a un singolo server può minacciare la rete di OVH recando danno allo switch e router dell'armadio che ospita il server.. Se il flood era di 20.000 nuove connessioni al secondo sicuramente lo switch avrà avuto dei danni e quindi anche i server che si collegano, non avendo possibilità di usare la loro rete al 100%.

Fin qui supposizioni.
Di certo si puo dire che un attacco non si assorbe con un solo server o un solo firewall.
Bisogna usare applicazioni basate WAF (web application firewall), ad esempio usando dei server DNS in cloud che supportano il waf è possibile dirottare attacchi a livello DNS o basati su domini.
Con 300€ si prendevano 3 server da 1Gbps da mettere come frontend nei domini ospitati. Cosi l'attacco era distribuito ai 3 server. Oppure senza spendere tutti questi soldi si poteva usare i miniCloud e dei geodns waf in modo da garantire la visualizzazione dei siti e servizi a determinati paesi/città e farli connettere su determinati server mentre il resto del mondo su altrettanti, in modo da rendere sempre piu complicato l'attacco di massa. Sicuramente avresti speso molto di meno e avresti avuto piu tempo per analizzare l'attacco e tracciarlo.

È normale che ovh non puo garantirti il numero di pacchetti al secondo che puo supportare 1Gbps o 10Gbps reali, spenderebbe migliardi di euro solo in routers e switch. Qualsiasi altra società non potrà aiutarti a meno che non ti mette a disposizione un cluster o un cloud di firewall con geo dns con supporto waf.

In oltre, OVH limita le connessioni UDP quindi dovresti essere in parte già protetto, il problema è il numero massimo di nuove connessioni al secondo e i pacchetti al secondo detti pps.

mmorselli
28.02.2012, 01.03
Aggiungo, per correttezza e completezza d'informazione, che contrariamente a quanto mi era stato detto all'inizio, sono riuscito ad ottenere il rimborso. Ho appena ricevuto via email la nota di credito.

mmorselli
27.02.2012, 22.42
Citazione Originariamente Scritto da mac
@mmorselli: per curiosità, se lo puoi dire anche senza essere super preciso, che tipo di servizio offrivi con quel server?
Annunci per escort. Ci sono ben due sentenze della Suprema Corte di Cassazione che ne definiscono l'assoluta legalità e legittimità.

Ci fosse comunque stato un mancato gradimento da parte di OVH per il tipo di servizio offerto non avrebbero dovuto far altro che informarci con chiarezza e trasparenza. Non ho comunque mai avuto segnalazioni in tal senso.

mmorselli
27.02.2012, 22.33
Citazione Originariamente Scritto da Luca Pierino
Sei un utente professionale il modo per far valere i tuoi diritti e ottenere un supporto al pari delle tue aspettative non è di certo aprire un post su un forum.
Questo non è UN forum, è IL forum OVH, dove gli utenti OVH comunicano con gli altri utenti OVH. Questo è il senso di un forum, anche quando si fanno domande rivolte ad OVH è sempre per condividerle con gli altri utenti. Esperienze positive o negative vengono condivise a beneficio di vecchi e nuovi clienti.

Le comunicazioni private, seppure con difficoltà estreme che ho qui riportato, hanno preso la loro strada, parallela.

ps. Rimango dell'idea che per mandare in produzione un server dalle caratteristiche hi-end come il tuo, il servizio firewall era doveroso aspettarlo e configurarlo, a maggior ragione sapendo di essere sotto attacco.
Dimentichi però che dopo 3 giorni questo firewall ancora non era montato. Un servizio hi-end che mi rimane down (oltre) 3 giorni perchè il provider non conclude una fornitura e non fornisce spiegazioni a riguardo non è ammissibile. Qui non parliamo di un nuovo servizio, ma di un servizio che da 8 mesi era in produzione sulle loro macchine. Nel momento in cui è stato chiaro che non mi avrebbero mai riattivato la macchina ho individuato con urgenza un nuovo provider, il quale, di domenica, in chat, a mezzanotte, ha raccolto il mio ordine, mi ha preparato un server, me lo ha messo in sicurezza dagli attacchi, di cui era stato informato, e me lo ha consegnato, in 3 ore. 30 minuti dopo ero di nuovo online, ed era il tipo di servizio che avrei sperato di ottenere nel momento che mi è andata down la VPS.

mac
27.02.2012, 22.26
@mmorselli: per curiosità, se lo puoi dire anche senza essere super preciso, che tipo di servizio offrivi con quel server?

Luca Pierino
27.02.2012, 21.34
Non prenderla come una critica, una semplice osservazione.

Sei un utente professionale il modo per far valere i tuoi diritti e ottenere un supporto al pari delle tue aspettative non è di certo aprire un post su un forum.

Dato che sei qua prova a contattare in privato torpado o qualcun'altro dello staff spiegando per bene come sono andate le cose, ti ripeto sono qua per aiutarti fa parte del loro lavoro.

ps. Rimango dell'idea che per mandare in produzione un server dalle caratteristiche hi-end come il tuo, il servizio firewall era doveroso aspettarlo e configurarlo, a maggior ragione sapendo di essere sotto attacco.

Adesso c'è solo da raccattare i cocci ... che hai pagato.

mmorselli
27.02.2012, 20.49
Citazione Originariamente Scritto da Luca Pierino
@mmorselli, credo che in fase di attivazione ti sia arrivata una mail.
Ma soprattutto se ancora non avevi il firewall perchè hai annunciato i servizi sulla nuova macchina ?
E' spiegato sopra. La mancanza del firewall non si evinceva, dato che non era normale che non ci fosse. Avevo un servizio importante down, compro un server, appena mi arriva l'avviso che è attivo giro i DNS. Ribadisco nuovamente che la presenza di un firewall non protegge assolutamente la rete di OVH, che se mai dovrebbe spiegare da cosa esattamente dovrebbe essere protetta (un DDoS verso una macchina non crea problemi alla rete, ma alla macchina, per OVH è solo traffico entrante, come quello legittimo). Il firewall serve a proteggere me, il mio servizio, quando attivarlo e configurarlo dovrebbe essere a mia discrezione.

E cosa strana è che OVH ti abbia consegnato prima il server del firewall.
Sarà anche strano, ma è così che è andata, e OVH non ha mai dato una vera spiegazione sul perchè dopo due giorni dalla consegna della macchina questo firewall ancora latitasse, e nessuno fosse in grado di spiegare il perchè non veniva installato. Io so solo che lo avevo pagato, subito.

A mio avviso ricevere un DOS è sintomo di attività poco pulite
Di sicuro è poco pulita l'attività di chi lo lancia, non certo di chi lo riceve. Un DDoS viene spesso fatto con l'intento di ricattare in seguito il ricevente, se questo non si dimostra in grado di proteggersi. Per subire un attacco non conta che l'attività sia lecita o meno, conta che sia lucrativa. Io mi occupo solo di cose legali e opero con partita IVA Italiana. Per me legale = pulito.

se poi così non fosse OVH ha un servizio clienti eccellente, spiega per bene il problema contattandoli in privato.
Ovviamente sono stati fatti tantissimi tentativi di contatto in privato, ho ticket che hanno accumulato una trentina di richieste, e mai risposte significative. Ho fatto anche decine di tentativi al telefono, ma mi è sempre stato risposto che non erano in grado di darmi nessuna informazione ma solo di passare la mia richiesta al servizio tecnico, la quale veniva regolarmente ignorata o comunque non esaudita. La mia idea di servizio clienti eccellente è un po' diversa, probabilmente.

Luca Pierino
27.02.2012, 20.12
@mmorselli, credo che in fase di attivazione ti sia arrivata una mail.

Ma soprattutto se ancora non avevi il firewall perchè hai annunciato i servizi sulla nuova macchina ?

E cosa strana è che OVH ti abbia consegnato prima il server del firewall.

A mio avviso ricevere un DOS è sintomo di attività poco pulite, se poi così non fosse OVH ha un servizio clienti eccellente, spiega per bene il problema contattandoli in privato. Le piazzate di questo tipo non aiutano !


Ciao ciao Luca

fulvio
19.02.2012, 10.51
Si, in effetti se il tuo traffico da contratto era 100Mbit eri ancora "in regola" con un entrata di 80Mbit..
ma comunque il firewall cosa avrebbe potuto fare? gli 80Mbit di dos sarebbero arrivati in ogni caso no?

Quindi vuol dire che se uno ha le capacita di fare un dos da 80Mbit puo potenzialmente tirare giu nel giro di 2 giorni qualunque server ovh da 300 euro o meno e far rimettere al cliente i soldi del server?

Quello di chiudere il server lo posso anche capire, ma tenersi i soldi è decisamente ingiusto, colpa diretta alla fine non ne avevi

mmorselli
13.02.2012, 17.42
Che poi, vorrei aggiungere... ma a che si deve questa policy? Di quale sicurezza stiamo parlando di preciso?

Se io pago per 100Mbit e per un tetto di traffico mensile, che importa se ricevo 80Mbit che mi rendono indisponibile il mio server dedicato?

Quali gravissime implicazioni di sicurezza comportanto, per OVH, al punto di riprendersi il server e tenersi i soldi pagati, 2 giorni in cui il mio dedicato riceve 80Mbit di pacchetti tutti uguali?

E' una cosa che davvero non riesco a capire. Ha un senso quando gli attacchi partono dall'interno della macchina, perchè questa potrebbe andare a dar fastidio ad altre macchine della rete interna, e potrebbe far ricadere una parte della responsabilità su OVH, ma un attacco dall'esterno... è tutto traffico in fondo, che il mio server può o non può reggere, ma sono affari miei, o almeno dovrebbero.

Non mi pare cosa così grave da giustificare sospensione del server e mancato rimborso, per 2 giorni di normale traffico entrante sopra la media.

mmorselli
13.02.2012, 17.10
Che non c'era il firewall io me ne sono accorto dopo aver girato il DNS, io ho comprato una macchina con Firewall e lo davo per scontato. I tentativi di contattarvi per sapere se e come stavate portando a termine l'installazione sono stati vani. Chi ha avuto il piacere di contattare l'assistenza OVH sa quanto bisogna insistere per avere una risposta significativa. Nel frattempo le lancette dell'orologio giravano e io ero nell'impossibilità di fare nulla.

Questi due giorni per me sono stati un inferno di telefonate ad operatori che rispondevano con frasi di convenienza, impedendomi di poter prendere qualsiasi decisione. "mi spiace, non so dirle, passeremo la chiamata, le faremo sapere...."

Se avessi avuto una qualsiasi informazione utile da parte vostra avrei fatto sicuramente qualsiasi cosa, in accordo con voi, per ridurre il problema, ma ho trovato il solito muro di gomma.

Oltretutto un attacco da 80Mbit su UDP della durata di 2 giorni lo può subire chiunque, e mi sembra che se per voi questa è ragione sufficiente per sequestrare una macchina pagata 300 euro due giorni prima, non siete in buona fede.

Considerato che da parte di OVH c'è stata una sicura mancanza, sia a livello di comunicazione, sia a livello tecnico, dovreste quantomeno rimborsami quanto pagato e non consegnato. Che motivo c'è di rivalersi in modo così antipatico verso il cliente? Non mi date quello che ho pagato e vi tenete i soldi solo perchè potete farlo? Perchè voi siete un'azienda da milioni e io solo un cliente? Questa è la vostra etica?

Il rimborso per un server + firewall pagato e non utilizzato mi sembrerebbe il minimo. Poi le dinamiche sul chi ha sbagliato e come, le vedremo. E le giudica anche chi legge.

dprima
13.02.2012, 16.27
Premesso che l'assistenza Le ha semplicemente fatto presente che il suo VPS era sotto attacco

e che, a differenza di quanto è possibile fare con un server dedicato,
con un VPS non è possibile richiedere l'installazione di un FIREWALL hardware
con cui fronteggiare un simile attacco

mi permetto pertanto di sottolineare che la decisione di ordinare un server dedicato + Firewall
è evidente che sia stata solo sua

Fatte queste premesse, Le faccio inoltre presente che se ha deciso di mettere in produzione i suoi "SERVIZI"
anche senza avere ancora a disposizione il FIREWALL...è stata sempre e comunque una sua scelta

ed è altresì evidente che non è stata di sicuro una mossa vincente

lo conferma il fatto che anche questa macchina ha subito un attacco,
attacco che è durato fin troppo tempo minacciando nuovamente la sicurezza della nostra rete.

mmorselli
13.02.2012, 13.52
Antefatto: ho un sito su una VPS che Giovedì subisce un attacco DDoS (meno di 100Mbit di traffico). Chiamo l'assistenza e mi dice che con la VPS non posso fronteggiare un simile attacco e che devo comprare un server dedicato con Firewall. La VPS viene disattivata.

Venerdì alle 6 del mattino ordino un OVH SSD + Firewall, totale dell'operazione 300 euro.

Il server viene installato, lo metto online, trasferisco il sito, ma mi accorgo che non hanno installato il firewall. Le ripetute richieste sul perchè manchi ottengono sempre la stessa risposta "lo stiamo installando, ma non sappiamo dire quanto tempo ci vuole".

Il server, chiaramente, nel frattempo viene attaccato, e OVH invece che installare il firewall che ho comprato e pagato, disattiva prima l'ip della macchina, e poi me la mette in modalità recovery.

Domenica sera, all'ennesimo tentativo di capire perchè la mia macchina fosse in recovery (dal giorno prima) e perchè non installassero il firewall, mi viene detto che la macchina è stata disattivata completamente perchè è rimasta sotto attacco troppo tempo, e che i soldi spesi non mi verranno rimborsati.


Quindi:

- vengo attaccato
- mi dicono loro di comprare una macchina da 300 euro per evitarlo
- la compro
- me la attivano, ma senza la protezione che loro stessi mi consigliavano
- dopo due giorni me la disattivano e si tengono i 300 euro.

Vorrei un parere su questa cosa. A me pare follia pura.


L'attacco proveniva oltretutto dall'esterno, non si può certo imputare ad una mia negligenza.