IPTables / Serversicherheit

    Einen schönen guten Abend Netcup.


    Ich verwende auf meinen Rechnern / Servern eigens geschriebene Shell-Scripte die Iptables steuern, damit kann ich mich effektiv gegen Angriffe wie "DDoS" schützen.


    Wie bekannt ermöglicht Netcup dem Kunden eine Firewall einzustellen.


    Allerdings ist für einen zuverlässigen Schutz eine dynamische Firewall vonnöten, oder?


    Wie sieht das Sicherheitskonzept von Netcup aus?


    Ich, als Kunde, habe nicht die Möglichkeit meinen Server gegen solche Angriffe zu schützen, wenn also ein DDoS Angriff auf meinen Server erfolgt kann ich kaum etwas dagegen machen.


    Der V-Server bzw. das Host System könnte ausfallen gar beschädigt werden und mir wären die Hände gebunden.


    Kann es dann für mich zu rechtlichen Konsequenzen kommen?


    Ich kann jediglich die Dienste, die ich selbst betreibe, sichern!


    Es ist ein Gedanke der mir soeben in den Kopf schoss.


    Beste Grüße! =)

    gegen einen DDoS kannst du so oder so nichts machen ;)
    Wenn die Netzwerkbandbreite erstmal die Anbindung des Servers übersteigt, bringt dir ein IP-Tables auf dem Server nichts mehr.

    Es gibt mehr als die Art von dDoS.
    Zum Beispiel ein SYN-Flood, um konkret einen zu nennen. Und da bringt eine Firewall viel.
    DoS steht eig. nur für Dienstausfall. Der Grund dafür kann eine Lahmgelegte Anbindung, ein gecrashter Router oder ein Kernel- oder anderer Software-Zusammenbruch sein. Und das d eben für ein Netzwerk von Angreifern.
    Ist wie der Begriff "Trojaner". Die meisten verstehen ein Backdoor darunter, aber ein Trojaner ist nur als nützlich getarnte Malware im Allgemeinen. Es gibt Backdoors, die keine Trojaner sind, es gibt Trojaner, die keine Backdoors sind.

    Mein Server:
    v(olks)Server 1. Serie: 2,5GHz, 1024MB RAM, 1024MB Swap, 2x60GB-Raid1-HDD, Traffic-Flat
    Node:
    78.46.117.9x | hos-tr2.ex3k4.rz7.hetzner.de

    glaube mir ich weiß was ein DDoS ist.


    Falls dein Synflood nicht die Netzwerkbandbreite übersteigt, dann kannst du in der Firewall eine max. Anzahl an Connections pro Sekunde einstellen, das sollte wenigstens einen Schutz bieten.

    Wenn Du davon etwas wüsstest würdest Du wohl kaum generel sagen das man dagegen nichts machen kann ;).


    Wenn eine DDoS erfolgt sollten schon alle angreifenden IP Adressen gesperrt werden.


    Und am besten der Server für die Zeit in der die DDoS erfolgt abgeriegelt werden.


    Etwas dagegen zu machen ist mir als Administrator wegen der mangelnden Erreichbarkeit, während der DDoS-Attacke, nicht möglich.


    Viele benutzen auch einen DDoS-Angriff um die Erreichbarkeit für alle ausser ihm selbst zu beenden und dabei in aller Ruhe in den Server einzutringen.


    In meinen Augen macht eine Firewall gegen DDoS schon so einigen Sinn!


    Und wie schon von meinem Vorrednern gesagt können damit einige Formen der DDoS sehr wohl abgewehrt werden.

    Zitat von ice-breaker;13133

    Falls dein Synflood nicht die Netzwerkbandbreite übersteigt, dann kannst du in der Firewall eine max. Anzahl an Connections pro Sekunde einstellen, das sollte wenigstens einen Schutz bieten.


    Jetzt bin ich seit mehr als einem Jahr bei Netcup und entdecke dieses Feature in der Firewall erst durch deinen Beitrag :eek:
    Danke für den Hinweis, das habe ich gestern am Testsystem gleich ausprobiert, feine Sache :)



    MfG Christian

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

    Ich stand mit einem Bekannten vor einigen Wochen vor dem Problem, dass ein riesiges Botnetz mit mehreren hundert Mbit einen DDoS ausführte, und da kannst du mit einer Softwarefirewall nichts machen.
    Gegen einen "Kinder-DDoS" mit wenigen Mbit auf den HTTP-Port kannst du etwas unternehmen, aber wenn ein DDoS kommt, dann kommt er gleich richtig ;)

    Das ist schon klar, ist aber immerhin ein minimaler Schutz gegen die 0815 Kiddies, die glauben sie sind die großen Cracker, weil sie eine Software gefunden haben :D



    MfG Christian

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

    neija gut, dann haben wir verschiedene Auffassungen von DDoS.
    Die 2MBit sind nen Witz und würde ich nie im Leben als DDoS bezeichnen. Das sind ja nur "eine Hand voll" Rechner.

    Zitat

    Jetzt bin ich seit mehr als einem Jahr bei Netcup und entdecke dieses Feature in der Firewall erst durch deinen Beitrag :eek:
    Danke für den Hinweis, das habe ich gestern am Testsystem gleich ausprobiert, feine Sache


    Ah, ist aber auch echt gut versteckt xD


    Wie muss die Policy gesetzt werden?
    Ich gehe mal von
    tcp/udp, any, any, any, any, drop, limit, [Zahl]
    aus? Oder accept?


    EDIT: Noch eine Frage:
    Gilt die Beschränkung pro IP oder global?

    Mein Server:
    v(olks)Server 1. Serie: 2,5GHz, 1024MB RAM, 1024MB Swap, 2x60GB-Raid1-HDD, Traffic-Flat
    Node:
    78.46.117.9x | hos-tr2.ex3k4.rz7.hetzner.de

    Sollte passen, Artimis. Ob pro IP oder global weiß ich gerade nicht, ich hatte gestern nur auf einem Server "ab" laufen lassen ;)
    Eine vollständige Doku zur VCP Firewall wäre echt praktisch *sigh*



    MfG Christian

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

    Hast du die Policy momentan im Betrieb? Was hälst du für einen realistischen Wert? 10 pro IP?


    Was wird denn überhaupt limitiert? Die Packete ja wohl kaum. Aber wie sieht das mit UDP aus? Kann man da von einer hergestellten Verbindung sprechen? Jedenfalls ist UDP unerheblich für die Vorbeugung gegen z.B. SYN-Floods...


    Nachtrag: Eben mal ausprobiert:
    alle Adressen, alle Ports an alle Adapter, alle Ports, DROP, Limit: 10/s => Server praktisch offline. Kein SSH, kein HTTP...

    Mein Server:
    v(olks)Server 1. Serie: 2,5GHz, 1024MB RAM, 1024MB Swap, 2x60GB-Raid1-HDD, Traffic-Flat
    Node:
    78.46.117.9x | hos-tr2.ex3k4.rz7.hetzner.de

    Ich habs wie gesagt nur kurz am Testsystem ausprobiert, mein Produktivsystem kann und will ich damit nicht lahm legen. Ich habe gestern nur mit TCP-Port 80 rumgespielt. Vielleicht werden doch die Pakete blockiert, weil bei dir gleich alles offline ist?



    MfG Christian

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

    Naja, aber das bringt ja dann nur im Falle des Apachen etwas. Mein Server hat, um beim bereits angesprochenem SYN-Floog zu bleiben, noch ein paar mehr TCP-Ports offen, die genutzt werden können. Oder hat cband nichts mit Apache zu tun?
    Das mit cband werde ich mir wohl auf jeden Fall ansehen, sobald ich mal wieder ne ruhige Minute habe ;)
    Aber die Firewalllösung wäre natürlich am schönsten.

    Mein Server:
    v(olks)Server 1. Serie: 2,5GHz, 1024MB RAM, 1024MB Swap, 2x60GB-Raid1-HDD, Traffic-Flat
    Node:
    78.46.117.9x | hos-tr2.ex3k4.rz7.hetzner.de

    Zitat von turhost;13182

    und dazu noch pro Sekunde 3 Afragen pro Client-IP


    Etwas wenig, oder? Da macht der Apache doch schon bei normalen Websites dicht, jede CSS-Datei, Bild, Javascript usw. ist ja eine Anfrage :eek:
    Für solche Sachen empfehle ich übrigens mod_evasive beim Apache, das hat teilweise bessere Optionen gegen kleine Flooding-Attacken ;)



    MfG Christian

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

    Zitat von Artimis;13173

    alle Adressen, alle Ports an alle Adapter, alle Ports, DROP, Limit: 10/s => Server praktisch offline. Kein SSH, kein HTTP...

    Das macht DROP auch ohne Limit.;)

    Jep, ich bin nun davon ausgegangen, dass das die Policy dann greift, wenn die Bedingung erfüllt ist, also die zehnte Verbindung hergestellt wird.


    Oder in Pseudocode:
    if($anzverb >= 10) drop();
    else standardpolicy();


    Aber Irrtum sprach der Igel und sprang von der Bürste. :D

    Mein Server:
    v(olks)Server 1. Serie: 2,5GHz, 1024MB RAM, 1024MB Swap, 2x60GB-Raid1-HDD, Traffic-Flat
    Node:
    78.46.117.9x | hos-tr2.ex3k4.rz7.hetzner.de