Vlákno názorů k článku Za hranice síťařského desatera od Lenin POWER! - Clanek je uplne mimo. Tohleto psal nekdo bez...
-
Clanek je uplne mimo. Tohleto psal nekdo bez praktickych zkusenosti co si precetl nejake best praktiky a ted machruje.
Stavovy firewall na border routeru. Uh. To snizi propustnost tak 10x a navic se to velmi snadno DOSi.
Blokujeme zlou IP - no to jiste. Na jednu utocici IP adresu zvysoka dlabeme ta nebude ani videt na grafech trafiku.
Nainstalujeme si nejakou sracku do BGP aby nekdo jiny rozhodoval o tom co blokujeme. No to urcite. Kdo bude platit penale ze SLA kdyz to zablokuje neco co nema?
Blokovat nekoho kdo skenuje. Neskenuji nahodou lidi z cizich decoy adres, jelikoz to nmap umi?
A spousta praktickych nemyslu. Cely je to vycteny z knizek. Je to dobry abyjste na VS dostali zkousku ze siti.
Reverse path filter - to je taky uplne k nicemu pokud mate vice nez 1 uplink.
NEUDELALI JSTE NA MNE ZADNY DOJEM.
-
Desetník (neregistrovaný)
> Stavovy firewall na border routeru. Uh. To snizi propustnost tak 10x a navic se to velmi snadno DOSi.
No jasně, protože firewall dělá víc věcí, než jen hází pakety z rozhraní na rozhraní. Ale proto taky musíš mít firewall jehož propustnost >= kapacitě linky.
> Blokujeme zlou IP - no to jiste. Na jednu utocici IP adresu zvysoka dlabeme ta nebude ani videt na grafech trafiku.
Samozřejmě, že pokud s někým nechceme komunikovat, tak ho musíme zablokovat. Mimochodem, ve statistikách vidět půjde, směrovače v NetFlow to zachytí. A jaká je tedy Leninova best-practice při blokaci?
> Nainstalujeme si nejakou sracku do BGP aby nekdo jiny rozhodoval o tom co blokujeme. No to urcite. Kdo bude platit penale ze SLA kdyz to zablokuje neco co nema?
Komu to právo blokace dáš, ten ho bude mít. Když ho nebudeš chtít někomu ze svého týmu předat, tak ho nepředáš. Co tohle je za argument?
> Blokovat nekoho kdo skenuje. Neskenuji nahodou lidi z cizich decoy adres, jelikoz to nmap umi?
Skenování je jedním z projevů některých malware. Když PC uředníka sítě Tvé firmy bude skenovat, tak to bude divné, ne?
D.
-
Sten (neregistrovaný)
Lenine, tohle není návod pro ISP ;-)
Stavovy firewall na border routeru. Uh. To snizi propustnost tak 10x a navic se to velmi snadno DOSi.
DoSí to celkem nesnadno, pokud je to dobře nastavené, Linux na Atomu (!) zvládne i milion paketů za sekundu a milion najednou aktivních spojení, FreeBSD je ještě výkonnější. Ve firmě je to nutnost, navíc vyžadovaná příslušnými certifikáty.
Blokujeme zlou IP - no to jiste. Na jednu utocici IP adresu zvysoka dlabeme ta nebude ani videt na grafech trafiku.
Takhle se dá blokovat celý rozsah, ne jen jedna IP. I když použitelnost mi taky přijde dost k ničemu.
Nainstalujeme si nejakou sracku do BGP aby nekdo jiny rozhodoval o tom co blokujeme. No to urcite. Kdo bude platit penale ze SLA kdyz to zablokuje neco co nema?
Komu ta práva dáš, ten je bude mít ;-) Jinak tohle je spíš článek pro správce sítí ve firmách, tam se žádné SLA řešit nebude, maximálně tak dostane příkaz daný rozsah opět povolit.
Blokovat nekoho kdo skenuje. Neskenuji nahodou lidi z cizich decoy adres, jelikoz to nmap umi?
Ne, nmap to sice umí, ale těžko pak bude dostávat odpovědi. Navíc se tím dá udělat early warning system pro různý malware ve vnitřní síti — jde totiž o typický příznak většiny virů.
Reverse path filter - to je taky uplne k nicemu pokud mate vice nez 1 uplink.
Není, pokud to umíš nastavit ;-)
Prostě jsi tu na nikoho neudělal žádný dojem.
-
Sten (neregistrovaný)
Deska stála 180 USD, Intel Atom Dual-Core. Milion pps se stavovým firewallem zvládala. Milion spojení jsem našel na Googlu, že by netfilter měl dát taky, ale tolik jsem nikdy nepotřeboval.
S výkonnějším hardwarem zvládá linuxový netfilter i výrazně více.
-
cmon (neregistrovaný)
Taky si myslim. Sitovy provoz neni vubec nijak extremne narocny, vzdyt jsou to vsechno operace v pameti a CPU.
Samozrejme, pokud jsou firewall pravidla sprasena jak noc, tak to je pak jista degradace urcite mozna, ale ja osobne sem zatim nikdy nemel zadne vykonostni problemy s filtrovanim jakehokoliv traffiku a to i na uplne smesnych hardwarech, pred 10 lety.
-
Sten (neregistrovaný)
GLAN síťovky používají DMA a během jednoho interruptu přenesou třeba i desítky paketů.
Na operační paměť to moc náročné není, ty pakety tam zůstávají jen zlomky sekundy a při 1,5 GBps (1 Mpps při maximálním využití MTU) to i při obří latenci 10 ms dělá 15 MB.
Nejnáročnější na provoz jsou komplexní firewall a velké routovací tabulky (třeba získané z BGP). Pokud má ten počítač pár statických rout a čtyři pravidla ve firewallu (pro stateful firewall dostačující), bez větších problémů zvládá i takovéhle toky.
-
Ivan (neregistrovaný)
Problemy s mnozstvim rout se resi dvema zpusoby. Bud to mate HW akcelerovane a pouzivate asociativni pamet (Cisco Juniper). Anebo ulozite IP hlavicku(a rozhodnuti) do hash tabulky a vyhodnoceni pravidel se provadi pouze jednou pro kazde TCP spojeni(pokud to jde) - takhle to dela Linux.
Proto sitari koukaji na SW krabicky skrz prsty - HW akcelerovane reseni je mnohem snaz predvidatelne a skutecny ISP business se na tom dela snaz.
-
Miroslav (neregistrovaný)
DoSí to celkem nesnadno, pokud je to dobře nastavené, Linux na Atomu (!) zvládne i milion paketů za sekundu a milion najednou aktivních spojení, FreeBSD je ještě výkonnější. Ve firmě je to nutnost, navíc vyžadovaná příslušnými certifikáty.
1M paketu/s = standardni velikost paketu 1500b x 1M = 1,5Tb/s - zajimava sirka pasma, takove rozhrani ma urcite kazda embedded deska s Atomem, chci ji videt
1M aktivnich spojeni - protokol TCP/IPv4 ma 64k portu, nevim, jak muzes navat 1M spojeni
ČLÁNKY DO MAILU