Software e hardware Appliance DDOS e firewalls [duplicado]

1

Eu rodei vários servidores Ubuntu (virtualizados) e instalei o fail2ban para mitigação de DDOS. Para um firewall, cada servidor tem iptables.

Estou avaliando minhas opções de segurança e queria saber como o fail2ban o protege contra ataques de DDOS em vez de um dispositivo de hardware dedicado? E, é um firewall de hardware que irá lhe fornecer melhor / mais proteção do que o iptables (ou é apenas mais alto na pilha)?

    
por Trent Scott 08.12.2011 / 03:05

2 respostas

3

Acho que você está ouvindo muita conversa de marketing.

Não há diferença real entre o que você chama de firewall de hardware e software. Ambos são movidos por software.

O chamado firewall de hardware também é um computador, mas sem algumas interfaces periféricas como USB ou SATA. Alguns deles até executam Linux e IPTables sob o capô, mas fornecem uma boa interface web. Outros fornecem seu próprio sistema operacional que, na minha opinião, pode ter menos recursos e não ser mais testado do que o iptables.

Então, há algum bom motivo para comprar um "firewall de hardware"? bem talvez. Geralmente eles são bem suportados e fornecem uma interface de usuário muito polida e um bom suporte. Eles também parecem muito elegantes no seu rack. No entanto, agora existem distribuições linux / freebsd realmente refinadas que fornecem a mesma coisa e você pode executá-las em um computador normal ou em um hardware personalizado. por exemplo. Untangle, Astaro, Monowall, pfSense etc, eu não vejo uma vantagem tão grande.

Agora, quando se trata de um anexo de DDoS, não há absolutamente nenhuma maneira de protegê-lo. Se você pudesse evitar que esses pacotes fossem enviados na fonte, essa seria a resposta, mas você não pode.

Há alguns anos, lembro-me de um caso em que uma grande empresa causou um tumulto no mundo da TI e, em alguns dias, seu site foi invadido por um ataque DDoS. No final, eles tiveram que abandonar seu nome de domínio principal e mudá-lo para outro nome. Mesmo eles não podiam fazer muito com o grande orçamento de TI.

    
por 08.12.2011 / 04:08
4

Se for um ataque real de DDoS, nada na sua rede local irá pará-lo. Você precisará da cooperação do seu provedor de upstream. No momento em que os pacotes estão sendo descartados no seu final, eles ainda estarão entupindo o seu cachimbo.

Existem muitos motivos para usar um firewall de hardware contra os de software (recursos, facilidade de gerenciamento, ponto central de criação de log, etc.), mas no que se refere ao DDoS, eles não são adequados para um ataque real de qualquer tamanho.

    
por 08.12.2011 / 03:34