Denial of Service



  • Hallo,

    bin Neuling mit Pfsense und frage mich in wie weit ich DoS Attacken abwehren kann und eine Auswertung solcher Angriffe machen oder erkennen kann.

    Danke



  • Hallo,
    eigentlich mit snort, das ist ein package für pfsense 1.2, allerdings läuft das nicht nur aus meiner Sicht nicht rund und macht Probleme, deshalb ist es in der 1.21 aus der Packagelist herausgenommen worden (fehlender maintainer).
    Regards
    heiko



  • Hallo Heiko

    wenn ich snort später nutzen möchte …was wären denn dann so in ungefähr die mindestvoraussetzungen ?
    und wo bekomme ich das snort packet her für pfsense (sprich ..wie installiere ich es unter bsd)
    ich habe hier ein warp board !
    oder ist das eine schnapsidee mit dem board !!

    aber DoS wird demnach von der Pfsense nicht erkannt soweit ich das verstehe !!

    dank dir



  • Hallo,
    du kannst keine pakete auf einem embedded system nutzen, wenn snort später wieder aufgenommen wird, dann min. 1 GB RAM und ne ordentliche CPU, sonst macht das keinen Spaß.
    Regards
    Heiko



  • Ok
    damit kann ich was anfangen.

    gibt es soetwas wie eine ungefähre Abschätzung wann die Implementation für Snort in frage kommen könnte (eventuell version 1.3 Alpha xyz)

    Danke



  • derzeit nicht abzuschätzen, es gibt schon einige die snort gerne nutzen/nutzen würden, aber es muss halt ein maintainer her, ist der nicht da, würd höchstens ein bounty helfen, die Geschichte zu beschleunigen. Einfach abwarten….
    Regards
    Heiko


  • LAYER 8 Moderator

    Pakete gehören - sofern nicht anders angegeben - in den Verantwortungsbereich der Maintainer, nicht der pfSense Entwickler. Wenn der aussteigt - liegt das Paket eben erstmal brach, bzw. er muss dafür Sorge tragen, dass das Paket an die Versionen von pfSense angepasst wird. Hoffen wir mal, dass sich wieder ein Maintainer für Snort und Co. findet.

    Die Fragestellung insgesamt ist aber nicht uninteressant. Wobei ich mich frage, ob eine OutOfBand Überwachung ggf. über einen Monitorport nicht sinnvoller ist, als Snort auf der Firewall zu installieren?

    Jeg



  • zur Info: Snort ist in 1.21 wieder vorhanden!



  • Man kann zwar ohne snort derartige Attacken nicht ganz abwehren aber zumindest drosseln. Wenn man Firewallrules editiert gibt es einige Advanced-Knöpfe hinter denen sich noch einige zusätzliche Optionen verbergen. Interssant hier sind insbesondere die folgenden Einstellungen:

    • Simultaneous client connection limit
    • Maximum state entries per host
    • Maximum new connections / per second
    • State Timeout in seconds

    Dadurch kann man ordentlich Bruteforceattacken und DoS zumindest ausbremsen.

    Es bleibt aber festzuhalten, daß je nach Situation das blocken eines DoS nicht viel bringt, da die Pakete zwar gedroppt werden, aber bereits Bandbreite auf dem WAN weggenommen haben oder das WAN eben trotzdem dicht gemacht haben. Falls man hier wirklich massiv Probleme hat kann man nur mit seinem Provider zusammenarbeiten um seine WAN-Bandbreite wieder zurückzukriegen.


Log in to reply