سلام دوستان شبکه من به شدت تجت حملات مختلفه از طرفی با فایروال هم مشکله جلوی حملات رو بگیرم دوستان چخ ای دی اس یا ای پی اسی رو برای یه شبکه 200 کاربره پیشنهاد میدن
سلام دوستان شبکه من به شدت تجت حملات مختلفه از طرفی با فایروال هم مشکله جلوی حملات رو بگیرم دوستان چخ ای دی اس یا ای پی اسی رو برای یه شبکه 200 کاربره پیشنهاد میدن
فایروال فعلیتون چیه ؟
حملات رو در حال حاضر چطور تشخصی میدید ؟!
چه سرویس هایی رو Pulish کردید تو اینترنت ؟
الان فایروال فعلا از فایروال خود میکروتیکم استفاده میکنم اما متاسفانه حملات رو وقتی میتونم تشخیص بده که یکی دو روز گذشته باشه و با افت سرعت مثلا متوجه بشم که یه حمله داس رخ داده و سرعت افت و پهنای باندم پر شده هفته پیش یه حمله داس داشتم که حدود 10 مگ از پهنای باند رو به فنا داده بود
دوستان گفتن برو سراغ یه ips بگیر گفتم از شما اساتید کمک بگیرم ببینم چه نوع تهیه کنم و آیا میتوهه بهم کمک کنه با تشکر
من فکر نمیکنم IPS بتونه تو این مورد بهتون کمک کنه.شما داره از پهنای باندتون استفاده میشه IPS بیاد چی رو تشخیص بده ؟!
شما حتا اگه بیاین اون سورسی که بتون حمله میشه رو در فایروال ببندید باز هم همین وضعیته و اون از پهنای باندتون استفاده میکنه فقط نمیتونه به سیستم های شبکتون حمله کنه.
مشکل استاد اینه که بعضی وقت ها هم از داخل شبکه حمله دارم مثلا کاربر سیستمش ویروسی هست پکت یو دی پی ارسال میکنه به شمت سرور
بسته به توپولوژی شبکه راه کار های مختلف میتوان داد .که من ترجیح می دم آخریش خرید یک IPS باشه .
اولین کاری که باید بکنید و فکر کنم انجام دادید بستن پورت های غیر ضروریه .روی میکروتیک این پورت ها رو سمت سرور ببندید . در سیسکو با استفاده از Rate limit میتونیم یه Bandwidth مشخصی رو به یه ترافیک بدیم فکر میکنم در میکروتیک هم بشه با QOS این کار رو کرد .شما یه حجم مشخص رو برای UDP از سمت کلاینتاتون به سرور اختصاص بدید .
در مورد حمله از خارج از شبکه هم با ISP تون حرف بزنید تا اونجا جلوشو بگیرند ( البته اگر خوش شانس باشید و اونا این کار و بکنند ).
بیرون شبکه مخابراته تماس میگیرم اصلا جوابم رو نمیدن -
مهندس نه سرویس پروایدر و نه حتی ریز ساخت زیر بار اینکه ترافیک رو بندازن پشت شبکشون نمیرن در این شک نکید و این مدل حملات همیشه توی سرویس پروایدر ها پیش میاد مشکل زمانی حاد میشه DDOS چون سورس ها فیک میشن جلوشو رو گرفتن هم سخت وانی میشه
برای شما ذوست عزیز بهترین راه حل اینه که ترافیک رو بندازی پشت شبکتون و شبکتون و سرور ها رو درگیر این ترافیک نکنیذ
ببخشید یعنی کلا دیگه ips تو این کار نمیتونه کمکی بکنه ...
توی حملات ddos یا dos نه ips نمیتونه هیچ کاری کنه خود میکروتیک توی dosخوب عمل میکنه با همون میکروتیک جلوشو بگیر چندتا رول داره همونا خوب عمل میکنه
ipsهزینه زیادی داره مخصوصا signatureهاش به نظرم نیازی بهش نداری اما اگر می خوای می تونی از snort به رایگان استفاده کنی اما در استفاده از snort از یک نفر کمک بگیری بهتره
اساتید محترم میشه یه نفر برای من یه توضیح اجمالی بده کی این ips و ids تو ساختار شبکه مفید واقع میشن ؟
و اگه برندهای تولید شده هم اطلاعاتی دارید لطف کنید قرار بدید با تشکر
ips رو با فایروال با هم می فروشن جداگانه نمی فروشن مگر همین snort
تو زمینه dos هم بهت گفتم از خود میکروتیک استفاده کن بهتره اما حملات دیگه ای هم هستند که فقط ips میتونه جلوشو بگیره
سلام
قبل از پاسخ شما چند مطلب را در حوزه امنیت اطلاعات خدمتتون عرض می کنم:
نقطه آغازین مبحث security را از لایه access شروع کنید، در صورت عدم رعایت ،firewall،juniper ،سیسکو 5585 بگذارید
نیز پاسخگوی نیاز شما نخواهد بود. کل امنیت را از لایه ها شروع کنید.
شما اگر در شبکه تون از استانداردها استفاده کنید خود به خود یک wide range ی از Attack ها را از خود دور می کنید.
باید در مرحله نخست یک security document داشته باشید، solution لحظه ای ارائه ندهید! پروژه deployment security
فقط dot1x (کانشکن لایه دو بر مبنای authenticated لایه هفت) یا port security نیست! این نیست که IDP تون را signature based
config کنید یا anomaly based detection نباشه یا ACL درست حسابی بنویسید، ACL هاتون را customise کنید و به
ریز بنویسید، firewall درست و حسابی بگذارید، IDS/IPS، IDP 800 جونیپر بخرید برای detect کردن Attack ها و ...
اینها همه جسته گریخته است!!
شما باید در سازمانتون یک رویه ی security داشته باشید.
باید بررسی کنید bottleneck شبکه شما کجاست در آنجا focus کنید، باید ببنید کجاها security hole دارید، penetration هاتون
کجا اتفاق می افته؛ تست کنید، نتیجه گیری کنید و داکیومنت کنید...
سعی کنید کل نیازمندی ها و requirement سازمان را خود شما define و تامین کنید؛ امنیت زمانی قابل استفاده است که توسط
خود شما division آن با توجه به نیاز و سیاست سازمانتون تعریف شده باشد.
deployment security model خود را قبل از live نمودن در فضای پایلوت انجام دهید.
با مشاور امنیت اطلاعات و مشاور پیاده سازی جهت penetration test در سازمان اقدام کنید و پس از گزارش کار مربوطه
نسبت به ایمن سازی و hardening سیستم ها اقدام کنید. حتماً تحت قالب (NDA-SLA) قرارداد ببندید تا سرویس security
شما عوض شود.
و نکته حائز اهمیت licence را فراموش نکنید! برای سرویس ها، سرور ها و Application هاتون لایسنس تهیه کنید. الان اکثر
سازمان ها از OS گرفته تا vmware vsphere esx کرک شده استفاده می شود!!
پاسخ شما:
به نظر من با فايروال ميکروتيک که behavior based نيست نمی شود نسبت به deny نمودن کلیه Attack ها اقدام کنيد.
شما پس از تهیه security document نياز به firewall داريد تا بتوانيد با نوشتن رول های مورد نیاز نسبت به deny نمودن
بين zoneهاي خود (inbound-outbound) اقدام کنيد و علاوه بر آن از IPS/IDS که juniper بهش میگه IDPS و cisco
آن را IDSM می نامد جهت detect نمودن و packet drop (پیشنهاد من سري 4200) استفاده کنيد و در Lan خود
honeypot تحت server راه اندازي کنيد.
اگر تعداد کاربرهاي شما 50 تا بود امکان پياده سازي IPS/IDS به صورت نرم افزاري که open source است برروي VM
وجود داشت.
در خصوص کاهش حملات DOS روش های زیر پیشنهاد می گردد:
1- پیاده سازی Anti Spolf Features
2- پیاده سازی Anti-Dos Features
3- پیاده سازی Traffic Rate Limiting
!It's possible to change your life at any time