/ Forside / Teknologi / Operativsystemer / Linux / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Linux
#NavnPoint
o.v.n. 11177
peque 7911
dk 4814
e.c 2359
Uranus 1334
emesen 1334
stone47 1307
linuxrules 1214
Octon 1100
10  BjarneD 875
Syn-Proxy / Gigabit
Fra : Steffan Fallesen


Dato : 18-07-06 12:53

Hej Gruppe,

Vi står overfor at skully bruge 250k på en firewall som kan beskytte os
mod syn-flood angreb fra spoof IPs.

Hele vores system er Linux baseret men IPtables kan ikke løse problemet
med tree-way-handshakes (så vidt jeg kan se).

Inden nå vi går ud og bruger de mange tusinde på en black-box firewall
vil jeg lige høre om nogen har erfaringer med en open source firewall
som kan lave Syn-Proxy? (Syn-Proxy er så vidt jeg kan se den eneste
løsning mod syn-flood angreb)

Skal kunne:
- klare 1 gigabit
- 5000 syn/sec (helst mere)
- 100000 samtidige forbindelser

Nogen forslag - eller skal vi bare ud og gøre Cisco glade?


--
Best regards,
Steffan S. Fallesen

 
 
Kent Friis (18-07-2006)
Kommentar
Fra : Kent Friis


Dato : 18-07-06 13:20

Den Tue, 18 Jul 2006 13:52:34 +0200 skrev Steffan Fallesen:
> Hej Gruppe,
>
> Vi står overfor at skully bruge 250k på en firewall som kan beskytte os
> mod syn-flood angreb fra spoof IPs.
>
> Hele vores system er Linux baseret men IPtables kan ikke løse problemet
> med tree-way-handshakes (så vidt jeg kan se).

Har du slået syn-cookies til?

Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).

Steffan Fallesen (18-07-2006)
Kommentar
Fra : Steffan Fallesen


Dato : 18-07-06 13:37

Kent Friis wrote:

> Den Tue, 18 Jul 2006 13:52:34 +0200 skrev Steffan Fallesen:
> Har du slået syn-cookies til?

Ja, men det nytter ikke noget. Problemet er at forbindelserne skabet fra
spoof'ede IP'er :(


--
Best regards,
Steffan S. Fallesen

http://www.servage.net/
Servage.net Web Hosting

Benny Amorsen (18-07-2006)
Kommentar
Fra : Benny Amorsen


Dato : 18-07-06 19:47

>>>>> "SF" == Steffan Fallesen <no-ssf-spam@servage.net> writes:

SF> Ja, men det nytter ikke noget. Problemet er at forbindelserne
SF> skabet fra spoof'ede IP'er :(

Hele pointen i syn-cookies er beskyttelse mod spoofede syn-pakker.
Hvis de ikke er spoofede hjælper syn-cookies ikke.


/Benny


Kent Friis (18-07-2006)
Kommentar
Fra : Kent Friis


Dato : 18-07-06 13:26

Den Tue, 18 Jul 2006 13:52:34 +0200 skrev Steffan Fallesen:
> Hej Gruppe,
>
> Skal kunne:
> - klare 1 gigabit
> - 5000 syn/sec (helst mere)
> - 100000 samtidige forbindelser
>
> Nogen forslag - eller skal vi bare ud og gøre Cisco glade?

Og så ville jeg nok lige bede om at få udstyret på prøve, inden
i lægger en masse penge hos Cisco. Cisco-sælgere kan hvadsomhelst,
sålænge de kun skal sige det.

"Vi" havde en der kunne *garantere* at der ikke kom noget igennem
(forudsat de fik lov at sætte den op, naturligvis), altså lige indtil
chefen ville have et beløb på garantien...

Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).

Christian Laursen (18-07-2006)
Kommentar
Fra : Christian Laursen


Dato : 18-07-06 13:42

Steffan Fallesen <no-ssf-spam@servage.net> writes:

> Inden nå vi går ud og bruger de mange tusinde på en black-box firewall
> vil jeg lige høre om nogen har erfaringer med en open source firewall
> som kan lave Syn-Proxy? (Syn-Proxy er så vidt jeg kan se den eneste
> løsning mod syn-flood angreb)

pf, som findes på OpenBSD og de andre BSD'er har indbygget SYN proxy.

> Skal kunne:
> - klare 1 gigabit
> - 5000 syn/sec (helst mere)
> - 100000 samtidige forbindelser

Jeg vil skyde på, at du kan bygge noget der kan håndtere det indenfor
de 250k, men jeg ved ikke lige, om der er nogen her i gruppen, der har
erfaring med den mængde trafik samt pf og syn proxy.

--
Christian Laursen

Steffan Fallesen (18-07-2006)
Kommentar
Fra : Steffan Fallesen


Dato : 18-07-06 14:02

Christian Laursen wrote:

> pf, som findes på OpenBSD og de andre BSD'er har indbygget SYN proxy.

Ja, jeg har set lidt på det. jeg er bare bange for at BSD frontenden
bare bliver flooded istedet - eller BSD kan måske bedre klare det end Linux?

--
Best regards,
Steffan S. Fallesen

Christian Laursen (18-07-2006)
Kommentar
Fra : Christian Laursen


Dato : 18-07-06 14:16

Steffan Fallesen <no-ssf-spam@servage.net> writes:

> Christian Laursen wrote:
>
>> pf, som findes på OpenBSD og de andre BSD'er har indbygget SYN proxy.
>
> Ja, jeg har set lidt på det. jeg er bare bange for at BSD frontenden
> bare bliver flooded istedet - eller BSD kan måske bedre klare det end
> Linux?

Så vidt jeg kan læse mig til, er det lavet, så der ikke kræves plads til
tilstand i syn-proxyen før der er lavet et fuldt handshake, så det burde
ikke være et problem.

--
Christian Laursen

Kent Friis (18-07-2006)
Kommentar
Fra : Kent Friis


Dato : 18-07-06 20:15

Den Tue, 18 Jul 2006 15:16:13 +0200 skrev Christian Laursen:
> Steffan Fallesen <no-ssf-spam@servage.net> writes:
>
>> Christian Laursen wrote:
>>
>>> pf, som findes på OpenBSD og de andre BSD'er har indbygget SYN proxy.
>>
>> Ja, jeg har set lidt på det. jeg er bare bange for at BSD frontenden
>> bare bliver flooded istedet - eller BSD kan måske bedre klare det end
>> Linux?
>
> Så vidt jeg kan læse mig til, er det lavet, så der ikke kræves plads til
> tilstand i syn-proxyen før der er lavet et fuldt handshake, så det burde
> ikke være et problem.

Er det ikke generelt syn-cookies? Hele problemet består jo i at
en masse syn-pakker kræver en masse plads, og det er jo det man
skal undgå. Hvis man alligevel allokerer plads, ryger hele ideen jo.

Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).

Christian Laursen (18-07-2006)
Kommentar
Fra : Christian Laursen


Dato : 18-07-06 21:52

Kent Friis <nospam@nospam.invalid> writes:

> Den Tue, 18 Jul 2006 15:16:13 +0200 skrev Christian Laursen:
>
>> Så vidt jeg kan læse mig til, er det lavet, så der ikke kræves plads til
>> tilstand i syn-proxyen før der er lavet et fuldt handshake, så det burde
>> ikke være et problem.
>
> Er det ikke generelt syn-cookies? Hele problemet består jo i at
> en masse syn-pakker kræver en masse plads, og det er jo det man
> skal undgå. Hvis man alligevel allokerer plads, ryger hele ideen jo.

Jo, eller meget tæt på.

--
Christian Laursen

Per Jørgensen (18-07-2006)
Kommentar
Fra : Per Jørgensen


Dato : 18-07-06 22:27

Christian Laursen skrev:
> Kent Friis <nospam@nospam.invalid> writes:
>
>> Den Tue, 18 Jul 2006 15:16:13 +0200 skrev Christian Laursen:
>>
>>> Så vidt jeg kan læse mig til, er det lavet, så der ikke kræves plads til
>>> tilstand i syn-proxyen før der er lavet et fuldt handshake, så det burde
>>> ikke være et problem.
>> Er det ikke generelt syn-cookies? Hele problemet består jo i at
>> en masse syn-pakker kræver en masse plads, og det er jo det man
>> skal undgå. Hvis man alligevel allokerer plads, ryger hele ideen jo.
>
> Jo, eller meget tæt på.
>
Hejsa!

Jeg ville nok kigge lidt nærmere på Astaro Security Linux (Fås i
2udgaver - bla en freeware ikke fuld version - og en licens version) som
bliver brugt af bla flere større skoler mm! Jeg har set denne i aktion i
forbindelse med et praktik ophold hos http://www.casalogic.dk og det
virker optimalt efter hvad kunderne siger!
Det er ihvertfald en mulighed for at holde stilen i OpenSource!

Med Venlig Hilsen
Per Jørgensen

Christian Iversen (18-07-2006)
Kommentar
Fra : Christian Iversen


Dato : 18-07-06 23:07

Per Jørgensen wrote:

> Christian Laursen skrev:
>> Kent Friis <nospam@nospam.invalid> writes:
>>
>>> Den Tue, 18 Jul 2006 15:16:13 +0200 skrev Christian Laursen:
>>>
>>>> Så vidt jeg kan læse mig til, er det lavet, så der ikke kræves plads
>>>> til tilstand i syn-proxyen før der er lavet et fuldt handshake, så det
>>>> burde ikke være et problem.
>>> Er det ikke generelt syn-cookies? Hele problemet består jo i at
>>> en masse syn-pakker kræver en masse plads, og det er jo det man
>>> skal undgå. Hvis man alligevel allokerer plads, ryger hele ideen jo.
>>
>> Jo, eller meget tæt på.
>>
> Hejsa!
>
> Jeg ville nok kigge lidt nærmere på Astaro Security Linux (Fås i
> 2udgaver - bla en freeware ikke fuld version - og en licens version)
> [...]
> Det er ihvertfald en mulighed for at holde stilen i OpenSource!

Hvordan holder man "stilen OpenSource" ved at købe et program?

Og hvad betaler man for? Ikke et kernemodul, gætter jeg på - og man kan
næppe lave high-performance-udvidelser af netværkskoden uden at bruge et
kernemodul.

--
| Christian Iversen | I bought a speed-reading book, because I |
| chrivers@iversen-net.dk | wanted to be a speed-reader. Did I read |
| | the speed-reading book? no, but.. |


Per Jørgensen (19-07-2006)
Kommentar
Fra : Per Jørgensen


Dato : 19-07-06 18:45

Christian Iversen skrev:
> Per Jørgensen wrote:
>
>> Christian Laursen skrev:
>>> Kent Friis <nospam@nospam.invalid> writes:
>>>
>>>> Den Tue, 18 Jul 2006 15:16:13 +0200 skrev Christian Laursen:
>>>>
>>>>> Så vidt jeg kan læse mig til, er det lavet, så der ikke kræves plads
>>>>> til tilstand i syn-proxyen før der er lavet et fuldt handshake, så det
>>>>> burde ikke være et problem.
>>>> Er det ikke generelt syn-cookies? Hele problemet består jo i at
>>>> en masse syn-pakker kræver en masse plads, og det er jo det man
>>>> skal undgå. Hvis man alligevel allokerer plads, ryger hele ideen jo.
>>> Jo, eller meget tæt på.
>>>
>> Hejsa!
>>
>> Jeg ville nok kigge lidt nærmere på Astaro Security Linux (Fås i
>> 2udgaver - bla en freeware ikke fuld version - og en licens version)
>> [...]
>> Det er ihvertfald en mulighed for at holde stilen i OpenSource!
>
> Hvordan holder man "stilen OpenSource" ved at købe et program?
>
> Og hvad betaler man for? Ikke et kernemodul, gætter jeg på - og man kan
> næppe lave high-performance-udvidelser af netværkskoden uden at bruge et
> kernemodul.
>
Jamen OpenSource ???
Tja hvis det er - så læs defineringen af OpenSource - Fri software ikke
nødvendigvis gratis - Kan ikke stå mere tydeligt hvis man har læst GPL
licensen?
Ellers læs mere Stallmann. Det er jo den åbne sourcekode hvor man kan se
alt - det er ikke nødvendighvis gratis!
Der er desværre alt for mange der tager dette for givet at OpenSource er
gratis - og dette er endnu mere desværre en meget stor fejl!



Christian Iversen (27-07-2006)
Kommentar
Fra : Christian Iversen


Dato : 27-07-06 12:40

Per Jørgensen wrote:

> Christian Iversen skrev:
>> Per Jørgensen wrote:
>>
>>> Christian Laursen skrev:
>>>> Kent Friis <nospam@nospam.invalid> writes:
>>>>
>>>>> Den Tue, 18 Jul 2006 15:16:13 +0200 skrev Christian Laursen:
>>>>>
>>>>>> Så vidt jeg kan læse mig til, er det lavet, så der ikke kræves plads
>>>>>> til tilstand i syn-proxyen før der er lavet et fuldt handshake, så
>>>>>> det burde ikke være et problem.
>>>>> Er det ikke generelt syn-cookies? Hele problemet består jo i at
>>>>> en masse syn-pakker kræver en masse plads, og det er jo det man
>>>>> skal undgå. Hvis man alligevel allokerer plads, ryger hele ideen jo.
>>>> Jo, eller meget tæt på.
>>>>
>>> Hejsa!
>>>
>>> Jeg ville nok kigge lidt nærmere på Astaro Security Linux (Fås i
>>> 2udgaver - bla en freeware ikke fuld version - og en licens version)
>>> [...]
>>> Det er ihvertfald en mulighed for at holde stilen i OpenSource!
>>
>> Hvordan holder man "stilen OpenSource" ved at købe et program?
>>
>> Og hvad betaler man for? Ikke et kernemodul, gætter jeg på - og man kan
>> næppe lave high-performance-udvidelser af netværkskoden uden at bruge et
>> kernemodul.
>>
> Jamen OpenSource ???
> Tja hvis det er - så læs defineringen af OpenSource - Fri software ikke
> nødvendigvis gratis - Kan ikke stå mere tydeligt hvis man har læst GPL
> licensen?

Jeg ved godt hvad du mener, men nu laver du selv den fejl du siger jeg
begår! FRI software er nødvendigvis gratis! Software med åben kildekode er
det ikke nødvendigvis (men ofte). Enig?

(Jeg ved godt at man kan sælge fri software, men så kan man til gengæld også
snildt finde det helt lovligt et andet sted fra, gratis)

Stadig - hvad betaler man for?

--
| Christian Iversen | Yes I would like tea. Why don't you put it |
| chrivers@iversen-net.dk | on my BREASTS? |


Kent Friis (27-07-2006)
Kommentar
Fra : Kent Friis


Dato : 27-07-06 14:08

Den Thu, 27 Jul 2006 13:39:32 +0200 skrev Christian Iversen:
> Per Jørgensen wrote:
>
>> Christian Iversen skrev:
>>> Per Jørgensen wrote:
>>>
>>>> Christian Laursen skrev:
>>>>> Kent Friis <nospam@nospam.invalid> writes:
>>>>>
>>>>>> Den Tue, 18 Jul 2006 15:16:13 +0200 skrev Christian Laursen:
>>>>>>
>>>>>>> Så vidt jeg kan læse mig til, er det lavet, så der ikke kræves plads
>>>>>>> til tilstand i syn-proxyen før der er lavet et fuldt handshake, så
>>>>>>> det burde ikke være et problem.
>>>>>> Er det ikke generelt syn-cookies? Hele problemet består jo i at
>>>>>> en masse syn-pakker kræver en masse plads, og det er jo det man
>>>>>> skal undgå. Hvis man alligevel allokerer plads, ryger hele ideen jo.
>>>>> Jo, eller meget tæt på.
>>>>>
>>>> Hejsa!
>>>>
>>>> Jeg ville nok kigge lidt nærmere på Astaro Security Linux (Fås i
>>>> 2udgaver - bla en freeware ikke fuld version - og en licens version)
>>>> [...]
>>>> Det er ihvertfald en mulighed for at holde stilen i OpenSource!
>>>
>>> Hvordan holder man "stilen OpenSource" ved at købe et program?
>>>
>>> Og hvad betaler man for? Ikke et kernemodul, gætter jeg på - og man kan
>>> næppe lave high-performance-udvidelser af netværkskoden uden at bruge et
>>> kernemodul.
>>>
>> Jamen OpenSource ???
>> Tja hvis det er - så læs defineringen af OpenSource - Fri software ikke
>> nødvendigvis gratis - Kan ikke stå mere tydeligt hvis man har læst GPL
>> licensen?
>
> Jeg ved godt hvad du mener, men nu laver du selv den fejl du siger jeg
> begår! FRI software er nødvendigvis gratis!

Nej. Der er intet der forhindrer at man tager penge for FRI (GPL-style)
software, præcis som der ikke er noget der forhindrer at man tager
penge for æbler.

> (Jeg ved godt at man kan sælge fri software, men så kan man til gengæld også
> snildt finde det helt lovligt et andet sted fra, gratis)

Ligesom man godt kan sælge æbler, men også snildt kan finde dem helt
lovligt på æbletræet i haven.

Æbler er iøvrigt nemmere at kopiere end software, det kræver ikke engang
en CD-brænder eller en internet-forbindelse. Man smider bare skroget
i haven, så går resten næsten af sig selv.

Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).

Thomas S. Iversen (27-07-2006)
Kommentar
Fra : Thomas S. Iversen


Dato : 27-07-06 14:11

> Æbler er iøvrigt nemmere at kopiere end software, det kræver ikke engang
> en CD-brænder eller en internet-forbindelse. Man smider bare skroget
> i haven, så går resten næsten af sig selv.

Man skal vare sig fra at sammenligne apples (æbler) and oranges (brændbare
cdrommer følger orange book standarden)

Thomas
--

Per Jørgensen (28-07-2006)
Kommentar
Fra : Per Jørgensen


Dato : 28-07-06 06:49

Kent Friis skrev:
> Den Thu, 27 Jul 2006 13:39:32 +0200 skrev Christian Iversen:
>> Per Jørgensen wrote:
>>
>>> Christian Iversen skrev:
>>>> Per Jørgensen wrote:
>>>>
>>>>> Christian Laursen skrev:
>>>>>> Kent Friis <nospam@nospam.invalid> writes:
>>>>>>
>>>>>>> Den Tue, 18 Jul 2006 15:16:13 +0200 skrev Christian Laursen:
>>>>>>>
>>>>>>>> Så vidt jeg kan læse mig til, er det lavet, så der ikke kræves plads
>>>>>>>> til tilstand i syn-proxyen før der er lavet et fuldt handshake, så
>>>>>>>> det burde ikke være et problem.
>>>>>>> Er det ikke generelt syn-cookies? Hele problemet består jo i at
>>>>>>> en masse syn-pakker kræver en masse plads, og det er jo det man
>>>>>>> skal undgå. Hvis man alligevel allokerer plads, ryger hele ideen jo.
>>>>>> Jo, eller meget tæt på.
>>>>>>
>>>>> Hejsa!
>>>>>
>>>>> Jeg ville nok kigge lidt nærmere på Astaro Security Linux (Fås i
>>>>> 2udgaver - bla en freeware ikke fuld version - og en licens version)
>>>>> [...]
>>>>> Det er ihvertfald en mulighed for at holde stilen i OpenSource!
>>>> Hvordan holder man "stilen OpenSource" ved at købe et program?
>>>>
>>>> Og hvad betaler man for? Ikke et kernemodul, gætter jeg på - og man kan
>>>> næppe lave high-performance-udvidelser af netværkskoden uden at bruge et
>>>> kernemodul.
>>>>
>>> Jamen OpenSource ???
>>> Tja hvis det er - så læs defineringen af OpenSource - Fri software ikke
>>> nødvendigvis gratis - Kan ikke stå mere tydeligt hvis man har læst GPL
>>> licensen?
>> Jeg ved godt hvad du mener, men nu laver du selv den fejl du siger jeg
>> begår! FRI software er nødvendigvis gratis!
>
> Nej. Der er intet der forhindrer at man tager penge for FRI (GPL-style)
> software, præcis som der ikke er noget der forhindrer at man tager
> penge for æbler.
>
>> (Jeg ved godt at man kan sælge fri software, men så kan man til gengæld også
>> snildt finde det helt lovligt et andet sted fra, gratis)
>
> Ligesom man godt kan sælge æbler, men også snildt kan finde dem helt
> lovligt på æbletræet i haven.
>
> Æbler er iøvrigt nemmere at kopiere end software, det kræver ikke engang
> en CD-brænder eller en internet-forbindelse. Man smider bare skroget
> i haven, så går resten næsten af sig selv.
>
> Mvh
> Kent

Jamen det kan man sagtens. Og som jeg skriver findes den i 2 versioner.
Har ikke selv kigget nærmere på dem end som så. Jeg ved bare at der er
en grund version og de har selv bygget ekstra moduler på, så hvis man
vil have de muligheder - jamen så må man betale.

F.eks nu har jeg testet enormt meget indenfor OpenSource Groupware - Og
Zimbra tja nok et af de bedste tilbud der er - er også udgivet i 2
versioner 1 gratis og en der koster.
Hvad er det f.eks her man betaler for :
Tja hvis man vil connecte til Zimbra serveren fra Outlook - tja det
ekstra modul der får de 2 til at snakke sammen.
Så derfor er det ikke altid til at se igennem.
Det kommer meget an på hvad det er man vil og skal bruge det til! Som
jeg skrev - Ved ikke hvilken version osv det ligger i - MEn det var
såmænd bare et tilbud om en mulighed.
Ja - man kan desværre tolke GPL på mange måder - desværre er der altid
nogen der tolker det forkert!

Søg
Reklame
Statistik
Spørgsmål : 177552
Tips : 31968
Nyheder : 719565
Indlæg : 6408849
Brugere : 218887

Månedens bedste
Årets bedste
Sidste års bedste