Proteção Apache DDoS no roteador (pFsense) [duplicado]

3

Em breve, vou alterar minha infraestrutura quando comprar um novo servidor. Vou substituir meu roteador D-Link DIR-655 por um roteador pFsense (e provavelmente usar o 655 como um AP) usando meu hardware de servidor antigo (Intel Atom 330, 1 GB de RAM, Intel Pro Server MT Dual Gigabit nic). Meu novo servidor será baseado no SandyBridge e executará o Apache + Samba.

Agora, enquanto estou configurando essa nova infraestrutura em casa, quero experimentar a proteção contra DDoS, sei que há alguns módulos e coisas para o apache que me permitem fazer isso, mas como vou ter um roteador baseado em BSD, a melhor solução parece colocar algo já no roteador, colocando menos pressão sobre o hardware de rede por trás do roteador.

Então, basicamente, com essas informações básicas, gostaria de perguntar como eu configuraria essa configuração e seria a melhor solução?

É inteligente configurar a proteção contra DDoS no pFsense ou isso deve ser feito pelo servidor da web? Alguém poderia pensar que é melhor abandonar os pacotes o mais cedo possível.

Embora eu provavelmente não esteja sujeito a um ataque DDoS, é melhor estar seguro, então desculpe.

Edit: Eu entendo que meus servidores provavelmente não serão capazes de lidar com um sério ataque DDoS, mas maximizando a proteção para que minha infraestrutura possa lidar com ataques um pouco maiores, então sem proteção eu provavelmente seria capaz de parar alguns script-kiddies com "bot-nets" menores de derrubar o servidor. Então, o que eu quero fazer é ter uma proteção tão boa quanto possível do software.

Mesmo que não seja relacionado a software, o fato de eu estar usando apenas o Intel Pro Server deve aumentar minhas chances, já que eles consomem menos energia da CPU do que as médias reais dos sistemas Realtek que você veria nos sistemas comprometidos. Eu não quero que alguém seja capaz de derrubar o meu sistema só porque não está configurado corretamente. Mas como mencionei anteriormente, eu provavelmente nunca estarei sujeito a tal ataque e isso é principalmente porque eu quero experimentar minhas opções.

    
por Hultner 11.04.2011 / 11:12

5 respostas

6

Você realmente não se protege do DDOS do seu lado. Você identifica o tráfego e coordena com seu ISP para bloqueá-lo antes que ele chegue ao seu link. Se você tiver que bloqueá-lo ao seu lado, você já perdeu a batalha porque seus tubos já estão entupidos (os pacotes devem alcançar seu FW antes de serem descartados).

Os que conseguem suportar o DDOS dessa forma são realmente pessoas grandes como a amazon que possuem conexões gigantescas e uma infraestrutura de nuvem elástica para acomodar as solicitações (e o fazem enquanto coordenam com seus vários ISPs para bloquear o tráfego como eu disse acima).

    
por 14.04.2011 / 14:30
2

Nem o pFsense nem o Apache são realmente a ferramenta certa para a mitigação eficaz de DDoS. Eu vejo pelos seus comentários que você tem um grande cachimbo. Esse limite de + taxa é uma estratégia bastante eficaz. Eu sugiro olhar para uma ferramenta comercial como o Toplayer ( link ). Eu gostaria que houvesse algo na arena de código aberto, mas agora eu não acho que há nada disponível.

    
por 17.04.2011 / 23:28
0

Bem, depende do que você está tentando se proteger. Você não será capaz de impedir qualquer tipo de ataque DDoS grande com o PFSense em sua conexão doméstica. Sua conexão doméstica simplesmente não tem largura de banda suficiente para resistir a ela. Seria muito fácil saturar toda a sua conexão, e nesse ponto não importa qual roteador você tem.

O que você provavelmente pode fazer é configurar o PFsense para limitar as conexões de limite à porta 80 por IP remoto. Isso ajudaria com certos tipos de ataques, embora não seja nem um pouco abrangente.

    
por 12.04.2011 / 03:49
0

No PF-Sense, você deve definir o limite e de conexões por Ip, mas é apenas uma pequena rocha na rota. Existe um exemplo com o PF

    
por 14.04.2011 / 21:40
0

para responder a sua pergunta (pfsense ou apache), vou apenas ignorar todas as outras respostas certas (que você não deve tentar bloquear um DDoS na sua rede final, mas no seu backbone ISP).

Supondo que você esteja preocupado com a inundação de SYN (o DDoS tem muitas variantes e assumindo que todas elas tornariam essa resposta longa e subjetiva).

Eu ficaria preocupado em bloqueá-lo no meu pfsense. Isso é porque no seu apache deamon, mesmo se você pode ter proteção DDoS (novamente, eu não estou entrando na pergunta se você deve ou não, mas tem alguns módulos - você também pode investigar mod_evasive, e em caso de exploits, mod_security - para tentar se defender contra ele), isso acontecerá em um nível mais alto que no pfsense. para tentar simplificar: Com o apache isso acontece no nível do "socket" e não no nível do "pacote" como o pfsense é capaz de fazer. Essa diferença é realmente importante se pensarmos em desempenho. Uma combinação entre as duas soluções (pfsense + mod_ *) é também uma boa opção para dar vida extra ao seu servidor.

    
por 20.04.2011 / 01:24