Firewall Mitigazione DDoS

Ddavix_art · 28 gen 2021

Salve,

sono in cerca di un firewall per la protezione soprattutto da attacchi ddos per una futura rete aziendale. Non ho tempo di spiegare i vari motivi per la quale sto cercando questa cosa ma ovviamente se lo chiedo vuol dire che ne ho esigenza. Ho cercato un po’ su internet ed ho trovato solo ed esclusivamente post inglesi, non è quello il problema il problema è che sono post vecchissimi dove fanno vedere hardware vecchi.

Volevo consigliato da voi un hardware firewall da collegare in cascata al router per mitigare attacchi ddos sia di tipo layer 4 ma anche 7.

Se avete altri consigli in alternativa ad un hardware scrivere pure accetto ogni tipo di consiglio basta che sia utile ahaha

[cancellato] · 28 gen 2021

davix_art

Oggi un attacco DDoS può essere così pesante che non te la cavi con un semplice firewall - ci si deve affidare a strutture che hanno la capacità di gestirlo. Anche per questo motivo sempre più siti sono dietro sistemi come Cloudflare & C.

Attacchi più limitati richiedono comunque un sistema con sufficiente capacità di elaborazione da non essere sopraffatto, dipende di cosa stiamo parlando. A layer 7 puoi aver bisogno di ulteriori sistemi come un WAF (Web Application Firewall), che però sono più specifici.

Ffracarza · 28 gen 2021

davix_art Se non hai budget per andare sui classici Cisco, Arista, Juniper ecc io consiglio VyOS su una piattaforma normale x86 tipo Supermicro. Poi chiaramente dipende dalle necessità, avete transito su più ISP o siete semplicemente con una connessione business senza BGP?

HHeavy · 28 gen 2021

Con un firewall non mitighi niente imho, la soluzione piu sicura e funzionale è aderire ad un servizio che ti pulisca il traffico, come Cloudflare o compagnia bella, ma non so se facciano delle sorte di VPN dove instradare il traffico e farselo pulire. Se ti spoofano l'ip e ti arriva il traffico di mezzo mondo, la soluzione migliore per interrompere l'attacco con il firewall, è spegnerlo, detto ciò, se vuoi destreggiarti, ci sono tanti router che permettono configurazioni manuali come Cisco o Juniper, o anche Mikrotik (tipo un 1036 o un 1072 cosi hai anche CPU) ma li gestisci piu a livello software e ti devi configurare tutte le regole a manina una per una

[cancellato] · 28 gen 2021

davix_art Confermo anch'io le risposte date dai "colleghi"... Una volta che un DDoS ti arriva al router, soprattutto se parliamo di attacchi volumetrici, non c'è più nulla che tu possa fare, il problema va filtrato a monte.
Le strategie sono diverse a seconda se siete AS o meno; avendo i propri range di indirizzi è possibile usare le mitigazioni "in cloud" che annunciano al vostro posto i range e vi consegnano il traffico ripulito via GRE terminato sul border router del vostro upstream.

Se invece siete normali clienti di un provider più grosso (con al più qualche IP allocato), facile che abbiano già in campo soluzioni di mitigazione.

Layer7 dipende da quale servizio è esposto, qualcosa è fattibile già con soluzioni quasi free tipo nginx con moduli appositi.

Servono però maggiori dettagli sulla tua situazione, sugli attacchi che avete subito, e qual è il budget che volete dedicare al progetto.

Heavy Non ho esperienza diretta, ma per quanto ho visto non andrei mai mai e poi mai a mitigare attacchi volumetrici con un router software based. Per WAN sub-gigabit forse ancora può andare, ma bisogna prendere il modello più grosso che hanno, e in caso di SYN flood o simili sciopa comunque.

DDark-Vex · 28 gen 2021

Concordo con quanto già detto sopra riguardo "all'utilità" del firewall contro la capacità che hanno al giorno d'oggi gli attacchi DDoS. Proverei a contattare il provider che avete attualmente in azienda per verificare se offre un servizio anti-DDoS.. tipo Fastweb con i contratti per medie-grandi imprese lo offre, mi pare utilizzino apparati Arbor Networks

[cancellato] · 28 gen 2021

Dark-Vex Arbor è stata comprata da Netscout. Altri nomi noti nel settore sono sicuramente Radware, F5, Akamai (solo Cloud).
Ma è un settore delicato, dato il costo che hanno queste soluzioni sono decisamente rivolte alle big corporate, che per implementarle e progettarle si rivolgono ai VAR o system integrator, difficilmente si chiede consiglio su un forum generico.

gandalf2016 · 28 gen 2021

Dark-Vex sì,Fastweb usa Arbor.
Concordo con quanto detto da tutti sicuramente un firewall per una azienda è necessario ...ma è poi il provider che deve fare la vera protezione DDoS.

Ddavix_art · 28 gen 2021

Grazie a tutti per le risposte, dato che mi avete incasino un po’ le idee. Cosa mi consigliate effettivamente? Cloudflare già lo conosco e utilizzerò quello non ci ho pensato (solo per lato web). Invece per il resto? A quanto ho capito non mi consigliate gli hardware firewall. Io vorrei evitare di usare vpn.

HHeavy · 28 gen 2021

davix_art è molto difficile consigliare un apparato preciso, ci sono da capire innanzitutto un po' di cose

in questa azienda che connettività avete?
siete LIR o avete AS number e quindi annunciate i vostri IP?

Ddavix_art · 28 gen 2021

Temporaneamente Installeremo la FTTC ma entro fine 2021 inizio 2022 avremo la FTTH, la seconda domanda scusa per l’ignoranza ma non so cosa sia e non risponderti.

HHeavy · 28 gen 2021

davix_art allora posso dirti che quasi sicuramente il filtraggio antiddos lo farà il provider. Un attacco ddos in generale comunque non è mai destinato a un singolo IP ma a classi intere perché lo scopo è mettere in ginocchio il provider, io ti consiglio di dotarti di un buon firewall di una qualsiasi marca e non preoccuparti dei ddos, tanto come ti ripeto, se subisci un ddos l'unica cosa che puoi fare di reale è staccare la linea e aspettare termini, se non siete una azienda che annuncia i propri IP e che quindi ha BGP ecc ecc, una protezione antiddos su una linea fttc o su una ftth da 1 Gbps la trovo una cosa eccessiva, soprattutto per i costi in hardware necessari per mitigare un attacco ddos che ti flooda 1 gigabit di banda

Ddavix_art · 28 gen 2021

Heavy che firewall mi consigli?

Ffrancescofdd5 · 28 gen 2021

Anche un firewall palo alto non è niente male

HHeavy · 28 gen 2021

davix_art Anche un WatchGuard se vuoi la semplicità di configurazione e gestione, perché no. Senno vai sui classici Cisco o Juniper, modelli esatti non te ne saprei dire, dipende il tipo di azienda, quanti apparati di rete saranno connessi ecc

BrianFurious · 28 gen 2021

Heavy Ho usato watchguard in passato, non è male, solo che nemmeno la GUI non è tanto intuitiva

[cancellato] · 28 gen 2021

davix_art Impossibile darti consigli senza sapere com'è fatta la rete, quanto traffico fate e di che tipo, che funzioni di protezione vi servono e soprattutto quale budget avete.

È come se chiedessi "ciao sono Mario, per i futuri giri che voglio fare, che macchina mi consigliate?"... Puoi avere bisogno di un pick-up, puoi volere un'auto elettrica o una Panda a metano, senza vincoli ogni risposta è contemporaneamente corretta ed errata allo stesso tempo.

[cancellato] · 28 gen 2021

davix_art Fatti un contratto Enterpirse con Fastweb, hanno un ottimo noc e ti proteggono da tutti i tipi di attacco sia per la parte web, che per la parte non web es Vpn.
Poi a valle un firewall devi metterlo per proteggerti da attacchi mirati.

Questo a grandi linee, ma se non sei esperto, mi affiderei ad una azienda grossa, che fa questo di mestiere, non gli smanettini del negozio di pc.

Matteo_Mabesolani · 28 gen 2021

davix_art Volevo consigliato da voi un hardware firewall da collegare in cascata al router per mitigare attacchi ddos sia di tipo layer 4 ma anche 7.

Io mi trovo molto bene con i FortiGate, ti consiglio di andare con quelli: molto configurabili e anche intuitivi. Chiaro che se vuoi fare una configurazione sopraffina devi esserne capace.

Altrimenti Cisco ASA + Modulo Firepower per arrivare al livello 7, occhio che devi avere una VM per fare girare la Management, altrimenti ci fai poco.

Che rete è? Quanti client?

x_term · 28 gen 2021

Anche Sophos direi, dipende sempre dalla dimensione della rete poi per quale hardware.