Physical Firewall

Goed wat verwacht je van een nieuwe firewall en wat werkt er nu niet op je ziggo firewall ?

Hou er rekening mee dat als je een losse firewall koopt je ziggo in bridge moet, de firewall er aan en dan nog een router en eventuele switch. je bent er dus niet alleen met een nieuwe firewall. Vandaar de vraag wat je wensen zijn.

[ Voor 56% gewijzigd door HKLM_ op 14-09-2017 15:47 ]

Je ziggo box is een router en firewall in 1 in die voldoet niet aan je wensen zeg je. maar waarom niet ? en wat gaat dat wel doen. Zoek je alleen een device wat 1 miljoen pakketjes kan verwerken ?

[ Voor 56% gewijzigd door HKLM_ op 14-09-2017 15:56 ]

Koop een random PC met pfSense en je bent klaar. Je kan ook een mini PC kopen, bijv. een Qotom Q355G4, gebruikt weinig stoom en heeft 4 Intel aansluitingen.

Verder bestaat een 'hardware firewall' of 'physical firewall' eigenlijk niet, het zijn gewoon semi-gespecialiseerde PC's met software. Vroeger had je nog wel veel ASIC firewalls, en sommige high-end modellen van bijv. Cisco doen sommige zaken nog in een ASIC, maar in de praktijk is het nagenoeg allemaal gewoon software.

Een Q355G4 kost je tussen de 150 en 200 euro.

Max043 schreef op donderdag 14 september 2017 @ 15:49:
Jep, zag het staan. N router en firewall in 1 bestaat niet? anyway, router die tegen 1000000 pakketjes kan is dat veel gevraagd?

Kan je uitleggen wat je firewall (functioneel) moet doen?
Misschien aan de hand van deze wiki:
Wikipedia: Firewall

Kijk eens naar een Ubiquity USG of Edgerouter; zit een goede statefull firewall in

Misschien is de Ubiquiti Security Gateway wat voor je

https://dl.ubnt.com/datas...i_Security_Gateway_DS.pdf

pricewatch: Ubiquiti UniFi USG Enterprise Gateway Router

Maar goed dan heb je nog wel een switch nodig voor je Lan devices en eventueel een accespoint voor je wifi

[ Voor 55% gewijzigd door HKLM_ op 14-09-2017 15:59 ]

Max043 schreef op donderdag 14 september 2017 @ 15:56:
Simpel, als iemand mij DDoSt dat mn internet niet eruit gaat, voordat iemand me vraagt: Al gemeld bij politie en ziggo, ja beide allebei niks gedaan.

Bij een serieuze DDOS gaat geen enkele router onder de 300 euro je effectief helpen. Sterker nog, er is geen 100% oplossing tegen een serieuze DDOS.

Max043 schreef op donderdag 14 september 2017 @ 15:56:
Simpel, als iemand mij DDoSt dat mn internet niet eruit gaat, voordat iemand me vraagt: Al gemeld bij politie en ziggo, ja beide allebei niks gedaan.

success daarmee, geen enkele thuis gebruiker kan een Ddos aan, ook niet met een flinke firewall. Bij ons op werk waar we zo'n 40GB aan internet capaciteit hebben, met gespecialiseerde Ddos mitigation providers gaan zelfs nog onderuit

doet me beetje denken aan klok en klepel om eerlijk te zijn...

Max043 schreef op donderdag 14 september 2017 @ 15:56:
Simpel, als iemand mij DDoSt dat mn internet niet eruit gaat, voordat iemand me vraagt: Al gemeld bij politie en ziggo, ja beide allebei niks gedaan.

Een firewall kan pakketten droppen, maar kan er niet voor zorgen dat er magischerwijs minder pakketten op je WAN afkomen zodat regulier verkeer kans krijgt erdoor te komen. Als je serieus geDOSsed wordt op een enkele internetverbinding met één IP, gaat je verbinding plat, ongeacht wat voor firewall je erachter hangt.

Voordat je geld over de balk smijt voor hardware dat waarschijnlijk niets gaat helpen:
- Waarom denk je dat je ge(D)DOSed wordt? En niet een andere internetstoring hebt?
- Gesteld dat het daadwerkelijk een DDOS was, hoe hebben diegenen jouw IP adres bemachtigd en waarom hebben ze het op je gemunt?

Om ook maar iets zinnigs te kunnen roepen over wat een beter idee zou zijn dan geld uitgeven voor een firewall moeten we daar antwoord op hebben.

Kan je niet aan je niet aan je provider vragen voor een ander ip adres? Een firewall zal je niet helpen van je lijn zit al dicht met de DDOS pakketten het moet worden geblokkeerd voordat het je lijn op gezet wordt (bij ziggo) maar die doen het niet waarschijnlijk omdat het voor hun geen echte ddos is.

Max043 schreef op donderdag 14 september 2017 @ 16:31:
Er zijn helaas zielige mensen op aarde en kunnen er niet tegen als de ene beter is dan de andere in een spel. Ze zoeken mn naam op denk ik en vinden mijn IP bij leaked databases...

Een fysieke firewall gaat niets helpen tegen een echte DDOS aanval (als dat uberhaupt al het geval is). Je lijn komt toch wel vol te zitten als ze willen. Anders was een oplossing als de NaWaS ook niet nodig.

Hoe weet je zo zeker dat het een DDOS was?

Je kan als je toch geld wilt uitgeven een backup-lijntje aanschaffen...altijd via een VPN laten lopen zodat ze jouw ip-adres moeilijker kunnen achterhalen..

@MeZZiN een nieuw ip zal eventjes helpen tot hij weer gaat gamen en zijn nieuwe ip achterhalen.

@Max043 Je kan het zo sterk maken als je zelf wilt bij dat soort services, meer geld is sterkere aanval.

[ Voor 36% gewijzigd door HKLM_ op 14-09-2017 16:45 ]

Max043 schreef op donderdag 14 september 2017 @ 16:31:
Er zijn helaas zielige mensen op aarde en kunnen er niet tegen als de ene beter is dan de andere in een spel. Ze zoeken mn naam op denk ik en vinden mijn IP bij leaked databases...

Ik denk dat dat erg onwaarschijnlijk is. Als je dat daadwerkelijk denkt, twijfel ik ook sterk aan je diagnose van (D)DOS. Wederom, hoe denk je exact te weten dat je internetproblemen daardoor komen?

Maar goed, heb je een reguliere consumenteninternetverbinding? Zo ja, dan heb je een dynamisch IP. Eerste stap is om een ander IP te krijgen. Modemrouter 24u van stroom halen doet dat meestal. Van routed mode naar bridge mode (met eigen router) schakelen of omgekeerd geeft je ook een nieuw IP, of met ander MAC-adres achter de modem in bridge mode hangen (wel eerst modem rebooten).

@Max043, wil je anders even toelichten wat er precies aan de hand is? Dan kunnen we daar mee helpen. Wellicht is er een andere oplossing mogelijk.

dion_b schreef op donderdag 14 september 2017 @ 16:26:
[...]

- Gesteld dat het daadwerkelijk een DDOS was, hoe hebben diegenen jouw IP adres bemachtigd en waarom hebben ze het op je gemunt?

Dit is niet al te lastig, maar om dit soort mensen geen ideeën te geven even in MO:


Ik heb thuis ook een keer een DDOS gehad, erg vervelend omdat ook de andere services uitvallen(Tv/bellen). Het kan best een DDOS zijn, tussen alle mensen groepen zitten rotte appels.

Edit: Heb toen bevestiging gekregen dat het een DDOS was van de gene die het uit heeft gevoerd.

[ Voor 6% gewijzigd door Jessper op 14-09-2017 16:50 ]

HKLM_ schreef op donderdag 14 september 2017 @ 16:44:
@MeZZiN een nieuw ip zal eventjes helpen tot hij weer gaat gamen en zijn nieuwe ip achterhalen.

Klopt maar veel meer kan je eigenlijk niet doen en hij gaf aan dat zijn huidige IP online te vinden was zijn nieuwe waarschijnlijk niet direct en anders weer een nieuwe aanvragen.

Nog steeds de vraag, is het echt een Ddos?

misschien een pc in de DMZ hangen, wireshark erop en eens zien wat er eigenlijk gebeurt, en hoeveel p/s er gestuurd word, of het inderdaad ddos is etc etc. Ik ken de ziggo boxen niet zo, maar wat zijn de stats die hieruit te vinden zijn? Logs? etc.

is beetje klok en klepel op het moment zonder dat het duidelijk is wat het probleem nou eigenlijk is (onderbouwd duidelijk) en we maar wat gissen

Het is al eerder gemeld: een pc (of microserver) met 2 NIC's en daar pfSense op installeren.
Of je kijkt naar Mikrotik

Verwijderd schreef op donderdag 14 september 2017 @ 17:11:
Het is al eerder gemeld: een pc (of microserver) met 2 NIC's en daar pfSense op installeren.
Of je kijkt naar Mikrotik

Ja dat is al eerder gemeld, maar wat ook al eerder gemeld is dat dat het probleem waarschijnlijk niet oplost. TS moet meer informatie zien te verzamelen

Jessper schreef op donderdag 14 september 2017 @ 16:48:
[...]

Dit is niet al te lastig, maar om dit soort mensen geen ideeën te geven even in MO:

***members only***

Snap ik ook wel, maar dat is iets wezenlijk anders dan een 'leaked database'. Het gaat me erom dat TS veel dingen roept, maar best-case het allemaal erg klok-klepel is, en het dus belangrijk is om iedere uitspraak die hij doet te toetsen voordat we het aannemen. Anders sturen we hem met verkeerd advies op pad.

Ik heb thuis ook een keer een DDOS gehad, erg vervelend omdat ook de andere services uitvallen(Tv/bellen). Het kan best een DDOS zijn, tussen alle mensen groepen zitten rotte appels.

Edit: Heb toen bevestiging gekregen dat het een DDOS was van de gene die het uit heeft gevoerd.

Die conclusie kan juist zijn, maar is misschien wat te kort door de bocht. Niets is makkelijker scoren dan 'ja ik was het!' roepen ongeacht wie of wat verantwoordelijk is

Max043 schreef op donderdag 14 september 2017 @ 16:48:
Mac-Cloning geprobeerd, gaat niet met die connect box van ziggo,

Niet op de modemrouter zelf nee, Ziggo wil graag weten wat ze in hun netwerk hebben hangen. Maar met eigen router in bridge mode kun je naar hartelust andere MACs en dus ook IP's genereren _{mits je iedere keer dat je nieuwe MAC wilt aansluiten de modem eerst reboot}

gebeld naar ziggo willen ook geen nieuw IP geven, modem 5 uur van stroom gehaald werkte ook niet misschien moet het echt 24 uur zijn?

Ja. Althans in het oude UPC-gebied. Weet niet hoe het exact in het oude Ziggo-gebied zit.

xelnaha schreef op donderdag 14 september 2017 @ 16:59:
Nog steeds de vraag, is het echt een Ddos?

misschien een pc in de DMZ hangen, wireshark erop en eens zien wat er eigenlijk gebeurt, en hoeveel p/s er gestuurd word, of het inderdaad ddos is etc etc.

+1

Zie je ook gelijk waar het vandaan komt als het echt een (D)DOS is.

Ik ken de ziggo boxen niet zo, maar wat zijn de stats die hieruit te vinden zijn? Logs? etc.

Niet echt. Iirc zit er wel IP Flood Detection op, maar dan houdt het op. Eigen router of PC in DMZ is voor troubleshooting een stuk beter.

Alhoewel... ik krijg niet de indruk dat TS a) zou weten wat hij met Wireshark moest doen en b) z'n PC voldoende beveiligd heeft dat dat een veilige optie is

is beetje klok en klepel op het moment zonder dat het duidelijk is wat het probleem nou eigenlijk is (onderbouwd duidelijk) en we maar wat gissen

Idd.

Alles leuk en aardig, maar er word nu al genoeg herhaald dat een nieuwe firewall je niet gaat helpen.
Een DDoS is simpel gezegd niets meer dan zoveel verkeer/requests sturen naar een server dat deze of eronder bezwijkt of geen tijd meer heeft voor andere dingen.

Zie je router/firewall/internetaansluting als de lokale chinees en een DDoS aanval als een flashmob van mensen die met z'n allen tegelijkertijd naar de chinees gaan om te vragen welke gerechten er glutenvrij zijn.
In het gunstigste geval is de man achter de balie zo druk bezig met antwoorden dat er geen andere klant meer tussenkomt.
In het ergste geval kan de beste chinees het niet meer aan en valt hij flauw.

Oplossingen:
- Zet meer chineesjes achter de balie (extra resources in je serverpark). Werkt niet want de wachtruimte voor de balie blijft net zo vol
- Zet een uitsmijter voor de deur (firewall). Werkt niet want het werk van de chinees is alleen verplaatst naar de uitsmijter. Ook de uitsmijter kan nog steeds flauw vallen van het vele werk
- Razendsnel je voordeur eruit meppen en de hele voorgevel als deur gebruiken (meer bandbreedte). Kan werken, maar zodra de flashmob dit in de gaten heeft hoeven ze alleen maar meer zieltjes te sturen
- Verkoop in 5 minuten je pand en begin opnieuw aan de andere kant van het dorp (ander IP adres). Dit kan even werken, maar zodra de flashmob je nieuwe locatie weet begint het hele spelletje gewoon weer opnieuw. Plus: in de tussentijd dat ze het niet weten zadel je de fietsenmaker in je oude pand op met die flashmob lui

Kort door de bocht : Als jij op je Ziggo lijn een DDoS attack voor je kiezen krijgt ga je daar niets aan kunnen doen, anders dan je modem uitzetten en afwachten.
Daarnaast sluit ik me bij @dion_b aan, ik ben bang dat je te weinig kaas hebt gegeten van het internet/netwerken om hier verder op te troubleshooten of zelf iets aan te doen (daar waar uberhaupt mogelijk).