[Firewall] Ethernet bridge firewall

Hoi,

Voor mijn shellhosting netwerk heb ik enige tijd geleden een firewall gemaakt. Het is een 1.7GHz p4 met (op dit moment) 512Mb geheugen, Debian GNU/Linux en op dit moment een 2.6 kernel (ivm wazige irq problemen bij 2.4, maar dat ter zijde).

Ik maak gebruik van ethernet bridging en etabled, een soort firewalling voor over ethernet bridges. Dit werkt gewoon met iptables.

Ik heb een uplink die mijn firewall in gaat, een touwtje naar de betreffende backend-server(s) en een nicje naar een lokaal netwerk. In totaal 3 nic's dus.

Het nut van deze opstelling is dat ik zo'n 3000 euro uit spaar en ik er lekker mee uit mijn dak kan gaan. Geen belemmeringen door een web interface of andersinds.

Ik krijg hierop regelmatig DDoS aanvallen. Ik wil die op mijn firewall machine droppen zodat de achterliggende 'farm' er geen of minder last van heeft (dit omdat er voor die firewall al traffic shaping op transit niveau plaatsvind). Bij simpele piekjes gaat dit super. De firewall loopt de boze pakketjes weg te trappen en de achterliggende server krijgt niets op zijn dak.

Nu het probleem: Bij iéts hevigere aanvallen (dan praten we bijv over 50-100mbps met veel packets/s) loopt mijn geheugen vol en is de machine onbruikbaar. Ik moet 'm dan hard resetten omdat ik anders kan wachten tot ik een ons weeg.

Op dit moment hangt 'ie voor jan doedel in de colo omdat ik met dit probleem blijf zitten. Nu vraag ik me af: Heb ik te weinig geheugen, ben ik te heavy user voor iptables, is ethernet bridging hier niet stabiel genoeg voor of doe ik iets fout?

Tot zover dit warrige verhaal

Verwijderd schreef op 02 december 2003 @ 14:39:
Als je de signature van de DDOS weet zou je kunnen rate-limiten (of had je dat al gedaan?). Extra geheugen bijprikken is ook een workaround, al is het een smerige. Heb je al kunnen achterhalen wat de preciese oorzaak is (een connection queue die overloopt, je stack die teveel connecties in time_wait houd, etc)

Op zich is het ook goed als ik die attack filter wanneer ik 'm opmerk: altijd direct. Het is altijd anders en ik hoef dan weinig standaard rules op te stellen. Ratelimiting doet men bij de transit-providers, dus wat ik op me af kan krijgen is 40mbit aan crap. Toch was dat genoeg die machine vol te laten lopen. Achterhalen was moeilijk: die attacks zijn moeilijk te plannen en de machine is onbestuurbaar. Logs zeggen ook weinig.

Welke extra services draaien op de machine? Wat zijn de specs van de machine? Hoe complex is je ruleset (mogen we een kopie zien)? Treed het probleem ook op als je legitiem 50~100mbit verkeer trekt?

- SSHD
- NFSD (voor een db-backupje 's nachts)
- P4 1.7GHz / 512MB en 3 3Com nics (3c59x). MSI mobo'tje, type weet ik helaas niet.

Ik ga in principe uit van géén ruleset uberhaupt. Die ethernet bridge zou dus ook heel goed de oorzaak kunnen zijn van 't feit dat hij vol loopt. Bij wat lichtere aanvalletjes heb ik het wel goed weg kunnen filteren.

Ik heb dingen als connection_track wel aan gehad en uit gezet, maar helaas bleek dit niet het probleem...

Toch vind ik dat 't moet kunnen, kant-en-klaar oplossingen werken immers ook zo. Mocht ik het voor linux icm iptables te bond maken dan zou ik FBSD kunnen gebruiken indien nodig.

Bij 100mbit legitiem verkeer zijn er inderdaad geen problemen. Hij gaat pas moeilijk doen bij echte attacks die inhouden dat er enorm veel packets per seconde binnen komen.

[ Voor 6% gewijzigd door jep op 02-12-2003 15:07 ]

Dat lukt mij ook wel, als ethernet bridging werkt. Heb er van te voren wel over zitten denken maar dacht dat linux dit met iptables ook makkelijk moet kunnen. Toch liep 'ie vol..

SYN, veelal. Meestal kijk ik wat er binnen komt en tik in direct een bijpassende rule. Dat is het liefst zoals ik wil werken. Klinkt misschien raar, maar zo is 't 't handigst.

Ik zie dus een SYN attack op $ip en wellicht wat meer informatie waarop ik 'm kan filteren en tik 'm in.

Freak_NL schreef op 02 december 2003 @ 22:09:
[...]

Misschien begrijp ik het verkeerd, maar je hebt dus in principe geen specifieke rules tegen aanvallen en maakt ze aan als je een aanval tegenkomt?

Precies.

Ben je niet beter af met een aantal regels die overmatig verkeer van bepaalde types limiteerd tot wat nodig is voor normaal gebruik? Je bent niet de eerste firewall beheerder die zich tegen DDoS'en wil indekken, met een beetje zoeken heb je vrij snel een goede set regels te pakken voor de meest gebruikelijke script-kiddie* aanvallen.

Ik twijfel nog. Aangezien we zo goed als 24/7 met onze neus op de materie zitten vind ik het aan de ene kant wel prettig om het zelf te doen. Aan de andere kant kun je de beveiliging ook zo zetten dat je er geen last van hebt, want dat is vervelend.

* In je sig. link heb je het over het hosten van bijvoorbeeld IRC daemons met de shellaccounts die je verhuurd, ik kan me goed voorstellen dat je een gebruiker op je netwerk hebt die ergens ongewenste aandacht trekt.. (no offence)

That's where it's all about. Het is iets wat ik er bij doe, een beetje een vreemde business. Op een apart netwerkje, met attacks. Des al niet te min kunnen we ze aardig te baas zijn.

Gisteren:



Dit was een typisch geval van een SYN aanval waarbij je machine loads van 800 krijgt. Omdat die firewall er niet tussen hangt kon ik niets doen. Als dit wel het geval was had ik een rule kunnen maken. Soms filter je op packetsize, soms op source, soms op de doelhost. Het hangt er maar net vanaf.

Het firewall doosje hangt er nu alleen voor spek en bonen met 2 losse kabels. Best zonde.

Even met betrekking tot het bovenstaande; ik kan die attacks al succesvol wegfilteren.. maar mijn geheugen loopt vol

Desalniettemin vind ik alle tips wel prettig hoor..

Attack op ip 123.123.123.123:

iptables -A FORWARD -d 123.123.123.123 -j DROP

Simpel he? Hiermee ging het al mis, wellicht ook eerder. Heb het idee dat de ethernet bridging 't niet trekt. Zou die van FBSD beter werken