Evitar las inundaciones de Portscan / SYN / UDP salientes en el centro de datos

Question

Evitar las inundaciones de Portscan / SYN / UDP salientes en el centro de datos

#1 de Dr. mattle (1 votos)

1

Somos una empresa de alojamiento de VPS que tiene servidores alojados en un centro de datos en Alemania. Actualmente estamos recibiendo varias solicitudes de eliminación porque los clientes están escaneando puertos o atacando servidores fuera de nuestra red y estamos buscando una manera de evitar esto, nuestro antiguo DC simplemente bloqueó las IP automáticamente en su extremo para que pudiéramos tomar medidas, pero el nuevo DC no hace esto.

Echamos un vistazo a las siguientes opciones:

Nodewatch, desafortunadamente eso solo funciona con OpenVZ y usamos KVM.
Los Firewalls UTM pueden hacer el trabajo pero no puedo encontrar lo que buscamos en los manuales (y no estoy seguro de cómo se llama)
Una distribución de firewall de Linux, lo mismo que un firewall de hardware. No puedo encontrar el nombre correcto.

¿Cuál es la forma correcta de evitar los ataques salientes, ya que la mayoría de los firewalls solo ofrecen protección para los ataques entrantes?

firewalls virtualization server datacenter kvm

pregunta Hendrico Jansen 13.09.2015 - 10:37

fuente

1 respuesta

Lea otras preguntas en las etiquetas firewalls virtualization server datacenter kvm

Problemas con el certificado de seguridad Detectar el modelo de punto de acceso

score 1 · Answer 1

¿Cuál es la forma correcta de prevenir los ataques salientes ya que la mayoría de los cortafuegos? ¿Sólo ofrece protección para los ataques entrantes?

Para acelerar o eliminar la ráfaga de tráfico, he probado diferentes módulos en iptables . El mejor de los cuales fue el módulo hashlimit . Lo uso en la cadena FORWARD .

Por ejemplo, para evitar la ráfaga de tráfico TCP SYN saliente y limitarlo a 60 minutos de uso de solicitud:

iptables -I FORWARD -p tcp --syn -s 192.168.1.1/24 -j DROP
iptables -I FORWARD -p tcp --syn -s 192.168.1.1/24 -m state --state NEW -m hashlimit --hashlimit 60/minute --hashlimit-mode srcip --hashlimit-burst 10 --hashlimit-name portscan -j ACCEPT

El orden de los comandos es importante. Esto ralentizará las conexiones salientes de paquetes TCP SYN. Para ver cómo opera hashlimit en acción, ejecute:

while sleep 1 ; do cat /proc/net/ipt_hashlimit/tablename; done

La otra forma es usar tc .

Disclamer: No he probado el comando exacto anterior y es solo para una muestra.