0
Kayıt Ol

SadeceHosting Firewall Servisi

23

4.735

  • 15-03-2014, 16:03:27
    #1
    roots
    roots
    Merhaba,

    Biraz önce rakip bazı reseller arkadaşların karalama çalışmalarında gördüm ki bizim boş oturmadığımızı çalıştığımızı dosta düşmana göstermemiz gerekiyor.

    Şuanda 10 Gbit kapasite için test ortamı olarak 2 aydır çalıştırdığımız bir firewall sistemini duyurmak istiyorum.

    Testler ve arayüzlerdeki basit güncellemeleri kısmet olurda bu ay bitirebilirsek Nisan içerisinde servise alacağımız pek çoğunuzun OVH üzerinde gördüğü/kullandığına benzer bir sistemi sizlere dedicated ve colocation hizmetlerimizde sağlıyor olacağız.

    Hizmetin çalışma şekli çok basit, aylık ip adresi başına 20-30 TL ücret civarında bir ücret ile SYN ve UDP ataklarını engelleyerek çalışması için bir servis olacaktır.

    Bu arada sizlere sorup öğrenmek istediğim bir konu var, bu tür bir servis için ne gibi talepleriniz olacak? Biz düz SYN ve UDP tarafındaki saldırıları %99 garanti ederek çözebildiğimizi test ettik, fakat sizlerden ekstra neler istediğinizi ve ne gibi özelliklerin sizler için yararlı olacağını duymak isterim.

    Uygulanabilir ve gücümüzü aşmayan özellikleri testler sırasında ekleyerek size sunma şansımız olabilir. Bu yüzden lütfen beklentilerinizi paylaşır mısınız.
  • 15-03-2014, 16:10:13
    #2
    Internetabi
    Internetabi
    Merhaba Selçuk Bey Bizim Şuan sadece Hostingte Kiraladığımız kabine toplam 29 ip verildi fakat biz bunun sadece 4 veya 5 ip sini aktif olarak kullanacağız biz bu hizmeti satın almak istediğimizde fatura bize 5 x 30 olarakmı gelecek yoksa 29 x 30 her ip ye özel alınabiliyorsa harika bir hizmet bu.
  • 15-03-2014, 16:13:45
    #3
    roots
    roots
    Internetabi adlı üyeden alıntı: mesajı görüntüle
    Merhaba Selçuk Bey Bizim Şuan sadece Hostingte Kiraladığımız kabine toplam 29 ip verildi fakat biz bunun sadece 4 veya 5 ip sini aktif olarak kullanacağız biz bu hizmeti satın almak istediğimizde fatura bize 5 x 30 olarakmı gelecek yoksa 29 x 30 her ip ye özel alınabiliyorsa harika bir hizmet bu.
    Yapı netwok bazlı değil, ip bazlı çalışmaktadır. Bu nedenle ücretler IP bazında olacaktır. Fakat IP bazlı yapının avantajı her ip için farklı kural yönetmenin mümkün olmasıdır. 1 IP adresinde oyun çalışırken, 2. ip de WEB sitsi çalıştırmanız durumunda firewall çözüm üretmek yerine sorun yaratacaktır.
  • 15-03-2014, 16:16:26
    #4
    JustRulz
    JustRulz
    Kimlik doğrulama veya yönetimden onay bekliyor.
    %99 ciddi bir oran
  • 15-03-2014, 16:28:31
    #5
    Elazığlı168
    Elazığlı168
    sunucuoptimizasyon.com
    Layer 4 taraflı atakların türleri genelde bellidir.

    Daha yüksek trafik ve paket yaratılabildiği için en başta udp protokollü ataklar gelir. Bunlarda udp-lag, dns amplication-reflection ve yeni olan ntp atakları.

    Tcp taraflı yüksek trafik üretecek layer4 saldırılar herkesin elinde pek bulunmadığından yapılması daha zor, bunlarda genelde tcp syn veya ack şeklinde geliyor.

    Sh nin muhtemelen mevcut büyük müşterileri veya sponsor olduğu büyük siteler için kullandığı bir mitigation altyapısı vardır, o altyapı yeterince iyi ise aynı şekilde diğer müşteriler içinde kullanılabilir ama sanıyorumki mitigation hizmeti layer7 uygulama taraflı (http get) türündeki ataklar için geçerli olmayacaktır, bu tür atakların filtrelenmesi ciddi donanım yükü oluşturur ayrıca mitigation işlemi sırasında hatalı ip bloklamaları ve erişim sorunlarıda yaşanabilir o yüzden o tarafa pek girmemek sağlıklı olur.

    Ki ovh bile layer7 taraflı ataklar için şu an bir çözüm üretemiyor açıkçası çokta girmek istemiyorlar o tarafa, kaç tane dc yarım milyondan fazla sunucu yüzbinlerce müşteriyle uğraşmamak için.

    Koruma kapasitesi olarakta çok yükseklere çıkmamak hayırlı olur, Türkiye de bu servislere açlık var halen istenilen seviyede değiliz, sunacağınız servis başarılı olursa aşırı talep karşısında bu sefer sh networkü açık hedef haline gelmeye başlar, o yüzden ip başına makul bir koruma seviyesi belirlenmelidir, networkün sağlığı açısından.

    Zaten bu servis devreye girince test için 50-100 gbitler görülecektir bunlarada hazırlıklı olmalı sh.
  • 15-03-2014, 20:58:13
    #6
    aog
    aog
    Güzel haber, merakla beklemekteyiz
  • 15-03-2014, 21:46:21
    #7
    CliaWeb
    CliaWeb
    12 gigabite varan udp saldırılar almış biri olarak bu duruma çare olabilecekse ne güzel başarılar bu arada
  • 15-03-2014, 21:56:29
    #8
    roots
    roots
    SayfaNet adlı üyeden alıntı: mesajı görüntüle
    bu servis "haydi test edin, hülööğğğ" durumuna geldiğinde, ortalama 20-30gbit saldırı ile test edileceğinden eminim.

    bu nedenle kapasiteyi gerçekten 4* 10GE olarak kurmanızı öneririm. burada "acaba mümkün mü" diye merak ettiğim birşey var.

    farzedelim 192.168.10.10 ipsine saldırı geldi. saldırı boyutu 11gbit. siz 192.168.10.0/24 anonsunu, decix üzerinde bulunan 40gbitlik routerınıza yönlendirseniz, filtreleseniz, sonra da oradan telekoma ve kendi hattınıza yönlendirebilir misiniz? çok değil, belki 1gbitlik bir ip tunnel yaparak örneğin.

    Sflowtrend adında "java tabanlı" bir yazılım var. bu programı kurup benzer birşeyi her müşteri paneline yerleştirmeniz güzel olur. herkesin en çok soracağı "bana logları gönderin, yarın dava açacağım" meselesi için sflow verisinden ayıklanmış müşterinin ip arşivi, gerçekten bir değer kazandıracak.

    depoculuktan veri merkezi işletmeciliğine geçiş olacaksa, sadece kendi routerlarının değil, müşterilerin her bir sunucusunun uptime oranını ölçüp toplayıp adede bölüp "neymiş bizim uptime oranımız" diye hesaplamanız daha adil olacak. (bu sözüm herkese )
    Bu saydıklarını yapıpta gerçekten çalıştırabiliyor olsaydın, şimdiye kadar sen uygulardın bence.

    Bırak nasıl çalıştıracağımızı biz düşünelim. Faydalı ve uygulanabilir fikirlere açığım.

    Uptime oranı konusunda müşterinin sunucusunu ölçüp uptime hesaplandığını ilk defa senden duyuyorum. 1000 Sunucu filan olsaydı, uygulanabilirdi bir ihtimal. Ama gereksiz.

    --R10.NET; Flood Engellendi -->-> Yeni yazılan mesaj 21:56:29 -->-> Daha önceki mesaj 21:52:58 --
    Elazığlı168 adlı üyeden alıntı: mesajı görüntüle
    Layer 4 taraflı atakların türleri genelde bellidir.

    Daha yüksek trafik ve paket yaratılabildiği için en başta udp protokollü ataklar gelir. Bunlarda udp-lag, dns amplication-reflection ve yeni olan ntp atakları.

    Tcp taraflı yüksek trafik üretecek layer4 saldırılar herkesin elinde pek bulunmadığından yapılması daha zor, bunlarda genelde tcp syn veya ack şeklinde geliyor.

    Sh nin muhtemelen mevcut büyük müşterileri veya sponsor olduğu büyük siteler için kullandığı bir mitigation altyapısı vardır, o altyapı yeterince iyi ise aynı şekilde diğer müşteriler içinde kullanılabilir ama sanıyorumki mitigation hizmeti layer7 uygulama taraflı (http get) türündeki ataklar için geçerli olmayacaktır, bu tür atakların filtrelenmesi ciddi donanım yükü oluşturur ayrıca mitigation işlemi sırasında hatalı ip bloklamaları ve erişim sorunlarıda yaşanabilir o yüzden o tarafa pek girmemek sağlıklı olur.

    Ki ovh bile layer7 taraflı ataklar için şu an bir çözüm üretemiyor açıkçası çokta girmek istemiyorlar o tarafa, kaç tane dc yarım milyondan fazla sunucu yüzbinlerce müşteriyle uğraşmamak için.

    Koruma kapasitesi olarakta çok yükseklere çıkmamak hayırlı olur, Türkiye de bu servislere açlık var halen istenilen seviyede değiliz, sunacağınız servis başarılı olursa aşırı talep karşısında bu sefer sh networkü açık hedef haline gelmeye başlar, o yüzden ip başına makul bir koruma seviyesi belirlenmelidir, networkün sağlığı açısından.

    Zaten bu servis devreye girince test için 50-100 gbitler görülecektir bunlarada hazırlıklı olmalı sh.
    Layer7 olarak konu http olacak ise aslında çözümler var, fakat bu çözümlerin böyle herkese uyugn kafadan otomatik bir sistematiği olmadığından, her müşterinin sitesinin ayarı ve kullanım modeli farklı olduğundan gerçek bir çözüm uygulamak çok zor. Fakat yinede biz netscaler üzerindeki bazı özellikler ile rate limit, cookie kontrol gibi özellikleri uygulayabilir miyiz diye gözden geçireceğiz.

    Kapasite olarak aslında çok sorun yok, sorun müşteri sistemlerinin hepsine uymuyor olması.

    Kapasite konusunda kabaca bir hesap yaptığımda şuanda kurduğumuz sistemin toplam aktif port miktarı 60 gbit, http_get request kapasitesi 8 milyon/p/s, new syn karşılama kapasitesi ise 11-12 m/sec civarında, aynı anda 10 bin kişi satın almayacak diye düşünürsek çok sıkıntı olmaz sanırım. Ha, 10 bin kişi alırsa da, inanın anında 2-3 katına yatırım yapmakta sakınca görmüyorum

    Toplam port kapasitesi konusundaki nokta en can alıcı konu, bu konuda Sayfanet'in söylediği çok basit bir model var ki, o şekilde muhtemelen başımız ağrımadan ilerliyor olacağız diye düşünüyorum. Dener görürüz en kötü...
  • 15-03-2014, 22:39:07
    #9
    {Ustat}
    {Ustat}
    müşteri panelimizden sipariş verip anında aktif edebileceğimiz bir sistem olursa acil durumlarda çok işimize yarar.