Estoy buscando habilitar la protección DoS de mi Firewall, y cuando busco valores para poner en los campos de tasa, encuentro que la respuesta es generalmente "depende". Si bien casi siempre hay espacio para mejorar, espero descubrir cómo establecer algunos valores de inicio razonables.
La unidad de firewall ofrece protección contra inundaciones SYN, UDP, TCP e ICMP. Los valores configurables por el usuario son:
- Tarifa de paquete por fuente (paquete / min)
- Velocidad de ráfaga por fuente (paquete / seg)
- Tarifa de paquete por destino (Paquete / min)
- Velocidad de ráfaga por destino (paquete / seg)
El valor predeterminado para "tasa de ráfaga" es de 100 paquetes / seg, y la "tasa de paquetes" predeterminada es de 12000 paquetes / min (200 paquetes / seg). Como lo entiendo (1), la velocidad de ráfaga es el límite en el que el dispositivo considera que el tráfico es un ataque DoS. La "tasa de paquetes" es el límite establecido en el atacante (determinado por IP) una vez que se alcanza la tasa de ráfaga.
Los valores predeterminados anteriores no parecen tener sentido, ya que después de pulsar el disparador de ráfaga, el atacante puede enviar el doble de paquetes que la cantidad enviada para golpear el disparador. Entonces, ¿cómo iré para determinar algunos buenos valores iniciales?
A continuación encontrará información sobre la red a la que se aplica, aunque preferiría un enfoque que se aplique a otras redes / dispositivos para futuras referencias.
Enlace WAN: simétrico 20 MB / s
Red interna: 1 GigE
Cortafuegos: Sophos XG
(1) Le animo a verificar mi comprensión, la documentación sobre esta función está disponible aquí: