Prevenire le inondazioni Portscan / SYN / UDP in uscita nel datacenter

Question

Prevenire le inondazioni Portscan / SYN / UDP in uscita nel datacenter

#1 da (1 voti)

1

Siamo una società di hosting VPS con server ospitati in un datacenter in Germania. Attualmente stiamo ricevendo più richieste di ritiro perché i clienti sono porte che eseguono la scansione o attaccano i server al di fuori della nostra rete e stiamo cercando un modo per impedirlo, la nostra vecchia DC ha appena bloccato automaticamente gli IP alla loro fine in modo da poter agire ma il nuovo DC non lo fa.

Abbiamo dato un'occhiata alle seguenti opzioni:

Nodewatch, sfortunatamente, funziona solo con OpenVZ e usiamo KVM.
I firewall UTM potrebbero fare il lavoro ma non riesco a trovare ciò che stiamo cercando nei manuali (e non sono sicuro di come si chiama)
Una distribuzione di firewall Linux, la stessa cosa di un firewall hardware. Impossibile trovare la giusta denominazione.

Qual è il modo giusto per prevenire attacchi in uscita poiché la maggior parte dei firewall offre solo protezione per gli attacchi in entrata?

server virtualization kvm firewalls datacenter

posta Hendrico Jansen 13.09.2015 - 10:37

fonte

1 risposta

Leggi altre domande sui tag server virtualization kvm firewalls datacenter

Copia forense, dcfldd Qual è il modo sicuro per scrivere una password di testo in un file?

score 1 · Answer 1

What is the right way to prevent outgoing attacks since most firewalls only offer protection for incoming attacks?

Per rallentare o eliminare il burst del traffico, ho provato diversi moduli in iptables . Il meglio di ciò era il modulo hashlimit . Lo uso in FORWARD chain.

Ad esempio, per evitare burst del traffico SYN TCP in uscita e limitarlo a 60 richieste a minuti, utilizzare:

iptables -I FORWARD -p tcp --syn -s 192.168.1.1/24 -j DROP
iptables -I FORWARD -p tcp --syn -s 192.168.1.1/24 -m state --state NEW -m hashlimit --hashlimit 60/minute --hashlimit-mode srcip --hashlimit-burst 10 --hashlimit-name portscan -j ACCEPT

L'ordine dei comandi è importante. Questo rallenterà le connessioni in uscita pacchetti TCP SYN. Per vedere come funziona hashlimit in azione, esegui:

while sleep 1 ; do cat /proc/net/ipt_hashlimit/tablename; done

L'altro modo è utilizzare tc .

Disclamer: non ho testato il comando esatto sopra ed è solo per un campione.