proste ataki DoS - router 1941

Problemy z zakresu security (VPN, firewall, IDS/IPS itp.)

Moderatorzy: mikrobi, aron, garfield, gangrena, Seba, Wojtachinho

Wiadomość
Autor
and800
member
member
Posty: 47
Rejestracja: 16 maja 2008, 19:43

proste ataki DoS - router 1941

#1

#1 Post autor: and800 » 04 paź 2019, 11:06

dzien dobry

Panowie, czy mozecie mnie nakierowac w jaki sposob (na poziomie routera 1941, a moze postawic jakis oddzielny server ?)
mozna bronic sie przed prostymi atakami DoS ?

teraz co napisze nizej pewnie nie bedzie challangem dla Was, zatem tym bardziej licze ze latwo wskazecie mi rozwiazanie

mam wystawiony port TCP i UDP 25565 (Minecraft) i mlodociani cyberprzestepcy (srednia wieku 13 lat) uzywaja tej strony: https://freeboot.to/booter/stress.php (metoda: "Dominate")

w jaki sposob majac zainstalowany IOS w wersji "securityk9" mozna bronic sie przed takimi atakami ?
zadaje sobie sprawe, ze DoS to temat-rzeka i niedlugo ktos dostanie Nobla za skutecznie przeciwdzialanie, jednak chcialbym abyscie mi podpowiedzieli jaki mechanizm w IOS mozna uzyc ?

RiFF
member
member
Posty: 24
Rejestracja: 29 paź 2015, 11:58

Re: proste ataki DoS - router 1941

#2

#2 Post autor: RiFF » 04 paź 2019, 12:35

Wiem że to niepopularne na tym forum ;) ale sugeruję wymienić tego 'paździerza' na coś taniego co potrafi obsługiwać / budować dynamic list z przychodzącego ruchu i to po prostu dropować. Na tym modelu tego nie uzyskasz , oczywiście możesz sobie postawić jakiś open source IDS / IPS (np. pakiet Security Onion) i przekierować na niego ruch ale chyba szkoda na to zachodu.

lbromirs
CCIE
CCIE
Posty: 4014
Rejestracja: 30 lis 2006, 08:44

Re: proste ataki DoS - router 1941

#3

#3 Post autor: lbromirs » 04 paź 2019, 12:47

RiFF pisze:
04 paź 2019, 12:35
Wiem że to niepopularne na tym forum ;) ale sugeruję wymienić tego 'paździerza' na coś taniego co potrafi obsługiwać / budować dynamic list z przychodzącego ruchu i to po prostu dropować. Na tym modelu tego nie uzyskasz , oczywiście możesz sobie postawić jakiś open source IDS / IPS (np. pakiet Security Onion) i przekierować na niego ruch ale chyba szkoda na to zachodu.
Wstawianie IPSa przed wolumetryczny DDoS to wspaniały pomysł RiFF. Polecam serdecznie, ale jak najdalej od sieci z których miałbym korzystać ;)

lbromirs
CCIE
CCIE
Posty: 4014
Rejestracja: 30 lis 2006, 08:44

Re: proste ataki DoS - router 1941

#4

#4 Post autor: lbromirs » 04 paź 2019, 12:52

and800 pisze:
04 paź 2019, 11:06
Panowie, czy mozecie mnie nakierowac w jaki sposob (na poziomie routera 1941, a moze postawic jakis oddzielny server ?)
mozna bronic sie przed prostymi atakami DoS ?
Przed atakiem wolumetrycznym się nie obronisz na żadnym urządzeniu. Potrzebujesz pomocy ze strony operatora który dostarcza Ci łącze (bo zakładam, że nie masz serwera i routera w jakiejś kolokacji? wtedy to dostawca kolokacji być może ma jakąś usługę anty-DDoS).
and800 pisze:
04 paź 2019, 11:06
mam wystawiony port TCP i UDP 25565 (Minecraft) i mlodociani cyberprzestepcy (srednia wieku 13 lat) uzywaja tej strony: https://freeboot.to/booter/stress.php (metoda: "Dominate")
Jedyne realne rozwiązanie to obsługiwanie ruchu do tego portu tylko z zaufanych hostów (znanych IP). Tak czy inaczej, każdy kto zna Twój publiczny IP będzie w stanie zalać Ci łącze ruchem do tego IP i spowodować problem z usługą.
and800 pisze:
04 paź 2019, 11:06
w jaki sposob majac zainstalowany IOS w wersji "securityk9" mozna bronic sie przed takimi atakami ?
zadaje sobie sprawe, ze DoS to temat-rzeka i niedlugo ktos dostanie Nobla za skutecznie przeciwdzialanie, jednak chcialbym abyscie mi podpowiedzieli jaki mechanizm w IOS mozna uzyc ?
Możesz (od biedy) skonfigurować sobie ZBFW tak, żeby ograniczać ilość sesji przychodzących do tego portu per źródłowy IP. Ale to tylko pół-środek. Można też skonfigurować politykę QoS na wejściu z internetu, która będzie dla tego konkretnego portu odpowiednio ustawiała qos-group albo np. znaczniki DSCP. Potem na wyjściu w stronę serwera możesz zrobić na podstawie tej qos-group lub znacznika DSCP dużo kolejek (np. 16k) i w każdej ustawić bardzo krótki limit pakietów. Takie rozwiązanie zakłada jednak, że a) router przeżyje przychodzący ruch i b) ruchu DDoS będzie na tyle nie dużo, że normalny ruch też bez problemu przepcha się przez wejście.

Nie wstawiaj IDSa/IPSa pomiędzy siebie a internet dla ochrony przed takim przypadkiem, bo prosisz się o w ogóle odcięcie od internetu przez przeciążenie tego pudełka.

and800
member
member
Posty: 47
Rejestracja: 16 maja 2008, 19:43

Re: proste ataki DoS - router 1941

#5

#5 Post autor: and800 » 04 paź 2019, 13:26

lbromirs pisze:
04 paź 2019, 12:52

....
Możesz (od biedy) skonfigurować sobie ZBFW tak, żeby ograniczać ilość sesji przychodzących do tego portu per źródłowy IP. Ale to tylko pół-środek.
a czy moglbys prosze, jesli to mozliwe, napisac mi prosta konfiguracje ogranicznia ilosci sesji przychodzacych per zrodlowy IP ?
mam juz skonfigurowany zone-base-fw
lbromirs pisze:
04 paź 2019, 12:52
...
Można też skonfigurować politykę QoS na wejściu z internetu, która będzie dla tego konkretnego portu odpowiednio ustawiała qos-group albo np. znaczniki DSCP. Potem na wyjściu w stronę serwera możesz zrobić na podstawie tej qos-group lub znacznika DSCP dużo kolejek (np. 16k) i w każdej ustawić bardzo krótki limit pakietów.
podobnie jak wyzej...
moglbys prosze wskazac prosta konfiguracje qos-group ze znacznikami DSCP ?

lbromirs
CCIE
CCIE
Posty: 4014
Rejestracja: 30 lis 2006, 08:44

Re: proste ataki DoS - router 1941

#6

#6 Post autor: lbromirs » 04 paź 2019, 13:42

Nie mam nic pod ręką. Zacznij czytać i kombinować używając tych linków:

https://www.cisco.com/c/en/us/td/docs/i ... ookie.html
https://www.cisco.com/c/en/us/td/docs/i ... prevn.html
https://www.cisco.com/c/en/us/td/docs/i ... g-aic.html

Ponieważ jak rozumiem robisz NAT, każdy rodzaj ochrony routera będzie równocześnie mechanizmem ochrony usługi - router robiąć NAT musi i tak logicznie obsłużyć połączenie via ZBFW. Nawet limity ogólne będą zatem dotyczyć konkretnych funkcji ochronnych.

Pomyśl też o CoPP i skróceniu domyślnych timeoutów dla NAT - zalanie routera ruchem może spowodować wyczepanie się bardzo szybko pamięci na trzymanie poszczególnych stanów.

and800
member
member
Posty: 47
Rejestracja: 16 maja 2008, 19:43

Re: proste ataki DoS - router 1941

#7

#7 Post autor: and800 » 04 paź 2019, 14:27

Ibromirs
bardzo dziekuje za linki.
dwa z nich juz wczesniej przejrzalem i nawet staralem sie zaimplementowac. jednak chyba moj IOS (securityk9) jest zubozony. czesc komend nie wystepuje w moim IOS-ie
np:

Kod: Zaznacz cały

Router(config-profile)# tcp syn-flood rate per-destination 400
i kilka innych podobnych :-)
tak czy siak ciesze sie ze przekazujesz to z czym sie spotkalem

dodatkowo, piszesz o NAT-cie
oczywscie mam zaimplementowane. jednak nie do konca rozumiem
lbromirs pisze:
04 paź 2019, 13:42
...robiąć NAT musi i tak logicznie obsłużyć połączenie via ZBFW. Nawet limity ogólne będą zatem dotyczyć konkretnych funkcji ochronnych.
czy to oznacza, ze NAT mozna dodatkowo sparametryzowac ?


i jeszcze jedno: czy mozesz rozwinac (tzn podac jakis przyklad, manual):
lbromirs pisze:
04 paź 2019, 13:42
Pomyśl też o CoPP i skróceniu domyślnych timeoutów dla NAT - zalanie routera ruchem może spowodować wyczepanie się bardzo szybko pamięci na trzymanie poszczególnych stanów.

RiFF
member
member
Posty: 24
Rejestracja: 29 paź 2015, 11:58

Re: proste ataki DoS - router 1941

#8

#8 Post autor: RiFF » 07 paź 2019, 12:33

Tak jak napisałem wcześniej sugerowanie czegokolwiek innego tutaj jest niepopularne i zdawałem sobie sprawę że zaraz dostanę za to po głowie. Nigdzie nie napisałem ze taki IPS na wolumetryczny DDoS to wspaniały pomysł więc proszę nie nadinterpretowywać mojej wypowiedzi . Czasem tak półśrodek może wystarczyć , nie wiemy jak duży ruch jest generowany przy tym DoS - należałoby to zweryfikować . I jasne jest że w miarę sensownym rozwiązaniem byłoby wykupienie ochrony DDoS u operatora ( przy założeniu że zakładający wątek chce ponosić jakiekolwiek dodatkowe koszty )

lbromirs
CCIE
CCIE
Posty: 4014
Rejestracja: 30 lis 2006, 08:44

Re: proste ataki DoS - router 1941

#9

#9 Post autor: lbromirs » 07 paź 2019, 16:30

RiFF pisze:
07 paź 2019, 12:33
Tak jak napisałem wcześniej sugerowanie czegokolwiek innego tutaj jest niepopularne
Nie jest. Kocham open source. W szczególności BSD.
RiFF pisze:
07 paź 2019, 12:33
i zdawałem sobie sprawę że zaraz dostanę za to po głowie.
Nie dostałeś. Zwróciłem uwagę, że stawianie IPSa na drodze DDoSa jest bez sensu technologicznie, a nie że coś źle napisałeś.
RiFF pisze:
07 paź 2019, 12:33
Nigdzie nie napisałem ze taki IPS na wolumetryczny DDoS to wspaniały pomysł więc proszę nie nadinterpretowywać mojej wypowiedzi.
Ależ napisałeś:
RiFF pisze:
04 paź 2019, 12:35
[...] Na tym modelu tego nie uzyskasz , oczywiście możesz sobie postawić jakiś open source IDS / IPS (np. pakiet Security Onion) i przekierować na niego ruch ale chyba szkoda na to zachodu.
Po co sugerować rozwiązanie, skoro jednocześnie milcząco zakładasz, że go nie wykorzystasz?
RiFF pisze:
04 paź 2019, 12:35
Czasem tak półśrodek może wystarczyć , nie wiemy jak duży ruch jest generowany przy tym DoS - należałoby to zweryfikować.
No właśnie. Weryfikowanie "skali DDoSa" za pomocą IPSa to kolejny przykład tego, czego się po prostu nie robi.

ODPOWIEDZ