Computerbeveiliging - Hoe je bad guys buiten de deur houdt

DDOS op site

11-04-2013, 21:21 door MrRight, 16 reacties
Dag security-collega's,

Hoe wapen ik me tegen een DDOS op een website die ik beheer?
Dwz. die ik achter mijn firewall heb draaien.

Wat zijn de mogelijkheden?

Stel dat ik www.security.nl achter mijn firewall heb hangen.
Wat kan ik dan doen tegen een DDOS? Welke hardware/software?
Of moet dit via de provider. Maar als ik zelf een BGP AS beheer?

Wellicht een kort-door-de-bocht-vraag maar....

MrRight.
Reacties (16)
11-04-2013, 21:39 door Ler0y JenKins
http://www.securityweek.com/content/how-defend-against-ddos-attacks

Google is your friend ;)

Sorry, ik ben lui.
11-04-2013, 22:18 door MrRight
@Ler0y

Google? Wat is dat?
Dank voor deze tip!
Dit vat alles samen qua oplossingen. Thanks!
Alle best-practices in een search...

Wow!
Hier kan ik verder mee.
Dank, O grote Ler0y.

Maar op zich: bedankt voor suggestie! Ik zoek naar concrete oplossingen.

En jouw verleden meldt geen positieve feedback:

---knip---
@Ler0y JenKins, toekomstig Malware Analist
We gaan hier niet de kat op het spek binden, doei, zwaai, zwaai.
---einde knip----

@Ler0y JenKins, gone Malware Analist.... (We know your real name)


MrRight.
11-04-2013, 23:13 door attor
Hallo MrRight,

Ik heb eerder een reactie geplaatst helaas is mijn reactie niet meteen zichtbaar omdat ik nog geen account had.

De oplossing die ik ken is het gebruiken van Fortigate. Een Fortigate Firewall beschikt over een zo'n genaamde DOS/DDOS sesnor en hiermee zou je jouw website beschermen.

DDOS sesnor werkt aan de hand van een vergelijk met een threshold waarde (Protocol + aantal pakketten/sec). Bijvoorbeeld als TCP verkeer richting jouw webserver nooit 60 sessies per seconde kunnen zijn dan zet je de sensor op TCP 60.

Er zijn zeker andere Firewalls die ook een oplossing kunnen bieden zoals CheckPoint en PaloAlto. En om eerlijk te zijn deze zijn niet zomaar te implementeren als geen kennis van hebt. Dus google gaat jou niet echt helpen. Dat kan een studie zijn van 3 maanden om 1 van deze producten goed te begrijpen.

Ik raad jou aan om voor jezelf de risico te bepalen aan de hand van kans op aanval en het gevolgen.'Jezelf de volgende vragen stellen; Wat wil je voor zo;n oplossing uiitgeven? en krijg je de waarde van je geld terug na het implementeren van deze oplossing?

Ik hoop dat je hiermee wat kan.

Veel suc6...

attor
12-04-2013, 02:50 door MrRight
Dag Attor,

Hier kan ik zeker wat mee.

M.b.v. Fortigate kan ik dus al iets doen.

De website blijft onbereikbaar. Maar wordt niet verder belast....

Ik weet inderdaad ook dat een DDOS niet eenvoudig af te slaan is.

Toch wil ik graag weten wat de (maximale) mogelijkheden zijn.

Bedankt voor je antwoord!

MrRight.
12-04-2013, 07:48 door BaseMent
Je kunt vrij weinig doen als je geddossed wordt.
Met een goede firewall kan je idd voorkomen dat er allerlei bogus verkeer je server ingedrukt wordt waardoor deze stopt met leven, maar de verbinding naar jouw server is ook een bottleneck. Dat is uiteraard afhankelijk waar jouw server zich bevindt en hoe snel de verbinding is naar jouw server maar als ze je echt te pakken nemen zit de lijn gewoon vol en is het echt over.

Met BGP los je helaas niets op. Je kan verkeer blackholen (mooi woord) maar het probleem wat je op moet lossen zit aan de source ip adres zijde. En aan de source adres zijde kan jij niets beinvloeden, er zijn immers tienduizenden of meer computers die jouw server bestoken. De destination (het adres van jouw server dus) kan je blackholen, maar dan ben jij dus voor niemand meer bereikbaar.

Verder zal geen enkele provider met jou BGP gaan praten als je één koppeling hebt naar het internet, of als je geen diepgaande kennis hebt van BGP. Met een provider ga je alleen een default route ontvangen en dat is tamelijk zinloos. Daarbij wil jij niet de hele internet routeringstabel voor je kiezen krijgen. Weet dat je daarvoor echt een router nodig hebt die BGP kan praten. MAar ik weet natuurlijk niet wat je nu hebt staan. Daarbij zal je voor 99% zeker een private AS nummer krijgen, wat opgaat in het AS van jouw provider.
12-04-2013, 08:52 door S.lenders
Cloudflare is mooi om je website te beschermen tegen DDoS.
Het is een gratis dienst die wordt aangesproken ipv je website direct. Hun filteren dan eventueel malicious verkeer.
12-04-2013, 10:12 door attor
Hallo MrRight,

Mijn vervaring is dat de sesnor van Fortigate zowel Dos als DDos aanvallen vermijd. Hij doet niets anders dan het verkeer naar de webserver beperken, zodat de webserver beschikbaar blijft voor normaal verkeer en DDos verkeer en wat er op lijkt blokkeren aan de hand van threshold die wij instellen. Dus dat moet eerst bepaald worden aan de hand van logs analyse en openstaande sessie analyse om te bepalen wat voor aanval het is.

STAP 1: blokkeer ICMP verkeer richting de webserver.

STAP 2: Dos sesnor instellen voor tcp 80 en/of TCP 443 met x aantaal pakketten/sec

STAP 3: Dos sesnor instellen voor UDP 53 (DNS) om Amplification Attack te mijden.

Door bovenstaande stappen uit te voeren is de webserver helemaal veilig. Maar de firewall kan nog aangevallen worden en daar mee zou de webserver niet meer bereikbaar zijn.

Daarom moeten wij nog een webserver hebben ergens in een andere datacenter en die ook beveiligd is door middel van een firewall en een load balancer die het verkeer netjes verdeeld tussen beide webserver.

Ik hoop dat je hiermee wat kan.

MVG,

attor
12-04-2013, 13:52 door Anoniem
"Wat kan ik dan doen tegen een DDOS? Welke hardware/software? "

Om wat voor omgeving gaat het ? Zoek je gratis tools, heb je budget voor DDoS protectie ?
12-04-2013, 15:18 door Anoniem
Je kunt je niet tegen ddos beveiligen, ja misschien op een kleinschalige maar niet een TCP/UDP aanval op random poorten die afkomstig is van 500k geinfecteerde machines en snelle servers.

Wij leven niet meer in 1995 dat er ICMP "PING" aanvallen worden uitgevoerd
12-04-2013, 15:53 door attor
Door Anoniem: Je kunt je niet tegen ddos beveiligen, ja misschien op een kleinschalige maar niet een TCP/UDP aanval op random poorten die afkomstig is van 500k geinfecteerde machines en snelle servers.

Wij leven niet meer in 1995 dat er ICMP "PING" aanvallen worden uitgevoerd

Ik ben niet echt met jou eens. Je kunt heel veel doen tegen DoS of DDoS. Zowel op jouw firewall als jouw port security. Ik heb weleens meegemaakt dat een geïnfecteerde pc met malware bepaalde frames stuurde waardoor wij een broadcast storm kregen.

Ik ben wel mee eens met eerste Analyse van de issue en daarna kosten en baten analyse veel eerdere uitgevoerd dienen te worden en daarna pas naar een oplossing zoeken.

MVG,

attor
12-04-2013, 16:06 door attor
8 van de 10 keer heb je UDP verkeer niet nodig voor een webserver. Deze kan je blokkeren. Ik zeg ook niet dat je met mij advies 100% veilig bent tegen een DoS attack. Ook jouw woning, hoe veilig het ook is (Alarm systeem, CCTV, inbraak ramen en deuren) 100% veilig is het niet. Indat geval zeggen wij toch ook niet omdat ze toch in mijn huis kunnen inbreken, dan laat ik de deuren open en iedereen mag alles meenemen.

Perfecte security bestaat niet. Een goede Security is een balans tussen security usability.

MVG,

attor
12-04-2013, 19:02 door Anoniem
Door attor:

Ik ben niet echt met jou eens. Je kunt heel veel doen tegen DoS of DDoS. Zowel op jouw firewall als jouw port security. Ik heb weleens meegemaakt dat een geïnfecteerde pc met malware bepaalde frames stuurde waardoor wij een broadcast storm kregen.

Ik ben wel mee eens met eerste Analyse van de issue en daarna kosten en baten analyse veel eerdere uitgevoerd dienen te worden en daarna pas naar een oplossing zoeken.

MVG,

attor

het gaat om de hoeveelheid data die je verstuurd krijgt. Ik heb het niet over de request's die ze verzoeken aan de server.

Stel er komen 10.000 man plotseling je huis binnenstormen, dan passen ze niet door je deur en raakt het verstopt. onstopbare dDoS kan je hiermee vergelijken. slowloris, httpflood en overige DoS kan je makkelijk detecteren en blokkeren maar 20Gb p/sec over je internet verbinding niet. Niemand kan mij dit wijsmaken
13-04-2013, 19:27 door Anoniem
Door Anoniem:
Door attor:

Ik ben niet echt met jou eens. Je kunt heel veel doen tegen DoS of DDoS. Zowel op jouw firewall als jouw port security. Ik heb weleens meegemaakt dat een geïnfecteerde pc met malware bepaalde frames stuurde waardoor wij een broadcast storm kregen.

Ik ben wel mee eens met eerste Analyse van de issue en daarna kosten en baten analyse veel eerdere uitgevoerd dienen te worden en daarna pas naar een oplossing zoeken.

MVG,

attor

het gaat om de hoeveelheid data die je verstuurd krijgt. Ik heb het niet over de request's die ze verzoeken aan de server.

Stel er komen 10.000 man plotseling je huis binnenstormen, dan passen ze niet door je deur en raakt het verstopt. onstopbare dDoS kan je hiermee vergelijken. slowloris, httpflood en overige DoS kan je makkelijk detecteren en blokkeren maar 20Gb p/sec over je internet verbinding niet. Niemand kan mij dit wijsmaken

Wijsmaken ?

Als je 80G,100G of 1+Tb verbindingen hebt, kun je echt wel 20G detecteren en blokkeren.
Nee, het zijn niet de kleine partijen of de enterprises die dat hebben liggen, maar er zijn genoeg partijen die inderdaad 20G kunnen behappen. Op 1 Tb is het maar 2%.

Niet iedere site heeft het risicoprofiel, en voldoende budget, maar hosten in/achter een partij die tientallen of meer Gbit DDos kan absorberen is mogelijk.
13-04-2013, 19:35 door MrRight
Goededag,

Dank voor alle reacties hieromtrent!

Ik ga verder met de tips en trics.

Ik weeg de pro's en cons af.

Thanks!

MrRight
13-04-2013, 19:35 door MrRight
Goededag,

Dank voor alle reacties hieromtrent!

Ik ga verder met de tips en trics.

Ik weeg de pro's en cons af.

Thanks!

MrRight
14-04-2013, 00:31 door attor
Door Anoniem:
Door attor:

Ik ben niet echt met jou eens. Je kunt heel veel doen tegen DoS of DDoS. Zowel op jouw firewall als jouw port security. Ik heb weleens meegemaakt dat een geïnfecteerde pc met malware bepaalde frames stuurde waardoor wij een broadcast storm kregen.

Ik ben wel mee eens met eerste Analyse van de issue en daarna kosten en baten analyse veel eerdere uitgevoerd dienen te worden en daarna pas naar een oplossing zoeken.

MVG,

attor

het gaat om de hoeveelheid data die je verstuurd krijgt. Ik heb het niet over de request's die ze verzoeken aan de server.

Stel er komen 10.000 man plotseling je huis binnenstormen, dan passen ze niet door je deur en raakt het verstopt. onstopbare dDoS kan je hiermee vergelijken. slowloris, httpflood en overige DoS kan je makkelijk detecteren en blokkeren maar 20Gb p/sec over je internet verbinding niet. Niemand kan mij dit wijsmaken

Ik ben met jou eens. Echter om hele throughput en bandbreedte van jouw internet lijn in beslag te nemen moet een attacker veet meer moeite doen en veel grotere DDoS organiseren.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.