Pripojenie k internetu | Fórum

Niktosk0
9.6.2017 17:45
Pridať do obľúbených
Verejná statická IP - útoky
Mám verejnú statickú IP adresu a v rámci intranetu sa mi stáva, že mi niekedy na niektorom počítači spomalí net. Provider mi tvrdí, že mám vyťažené kapacitu spojení “útokmi” zvonku. Ako takýto problém riešiť? Ako zabezpečiť router proti týmto útokom? Resp. ak verejnú statickú IP používam len kvôli 3 užívateľom, ktorí sa mi pripájajú na jeden počítač v intranete, neexistuje iné riešenie, pri ktorom by som tú verejnú pevnú adresu nepotreboval? Budem vďačný aj za rozumný link, kde si to naštudujem. Ďakujem.
Kľúčové slová: verejna staticka IP
7 príspevkov
HCMIKI
9.6.2017 18:41 | |
+1 -0
Reagovať
Definuj utok ?
Ak ide o DDOS na konkretnu adresu, ucinna ochrana existuje len vo forme enterprise rieseni. Pre takto malu siet je to velmi drahe.
Existuju DDOS protektory. Tie dokazu utoky filtrovat.
Samozrejme aj je dosiahnuta maximalna kapacita linky, dojde k vypadkom.
Tu existuje len riesenie v zmysle presmerovania toku dat napr. cez BGP u providera.

Toto je vsak uz extremne drahe a pouzivane v enterprise.

"niekedy na niektorom počítači spomalí net"
Skor si myslim, ze sa nejedna o utok, ale jednoducho jeden z PC nieco stahuje ci uploaduje.
DDOS utoky sa nerobia na nezaujimave adresy, ale su smerovane na konkretne ciele (vladne organicazie, velke firmy ci weby). Treba pozret ako je vytazena linka na routery.

Ak by predsa len islo o utok na konkretnu adresu, riesila by to dynamicka verejna IP adresa.
Toto je vsak velmi rozsiahla tema a na dialku sa neda poradit viac ako tak ako som pisal.

Mimochodom provider by mal riesit utoky na verejnu adresu a nie koncovy uzivatel.
Proti DDOS utokom sa bezny uzivatel nedokaze chranit takpovediac vobec.
Chcelo by to zapojit do cesty sondu (napr. flowmon)... diagnostikovat problem.
Ale asi bude najrychlejsie zmena IP adresy, ak je na nu utok.
Niktosk0
10.6.2017 07:55 | |
+0 -0
Reagovať
Neviem bližšie definovať - mám len výpis od providera (na konci postu bod 1.). Vieš mi z tých údajov povedať, o čo ide?
Nemáš k tomu nejaký link, k tej verejnej dynamickej IP, nech si to naštudujem?
Presne to som aj providerovi povedal, že to podľa mňa majú ochrániť oni a že nech mi proste zmenia IPčku.
Tu je odpoveď aj na tento môj "laický" nápad - bod.2.


bod 1. Vyjadrenie k problemu:
signal z bazovej stanice na antenu ma dostatocne hodnoty, bazova stanica vytazena nie je.

Problem nastava, ked si zakaznik vytazi spojenia, limit je 1000 a zakaznikovi to momentalne dosahuje hodnoty od cca 800 spojeni do 1000. Ked nastane vypadok, pricina je dosiahnutie limitu.

Zakaznik ma verejnu IP a zrejme ma nedostatocne alebo nespravne zabezpeceny router.
Odporucanie zakaznikovi: na cca 2 tyzdne nastavit privatnu IP. Zrejme "utocnici" maju zapamatanu jeho IP adresu, ak bude nedostupna, tak snad na danu IP adresu nebudu chodit caste poziadavky.
Current IP Flows: 0 Current ICMP Flows: 5
Current IPv6 Flows: 0 Current ICMPv6 Flows: 0
Current TCP Flows: 117 Current UDP Flows: 730
Current HTTP Flows: 0 Current HTTPS Flows: 0
Current FTP Flows: 0 Current POP3 Flows: 0
Current SMTP Flows: 0 Current SIP Flows: 0
Current RTSP Flows: 0 Current RTP Flows: 0
Current RTCP Flows: 0 Current IMAP Flows: 0
Current WSP-CO Flows: 0 Current WSP-CL Flows: 0
Current MMS Flows: 0 Current DNS Flows: 0
Current PPTP-GRE Flows: 0 Current PPTP Flows: 0
Current P2P Flows: 0 Current H323 Flows: 0
Current TFTP Flows: 0
Current UNKNOWN Flows: 0



Current IP Flows: 0 Current ICMP Flows: 4
Current IPv6 Flows: 0 Current ICMPv6 Flows: 0
Current TCP Flows: 162 Current UDP Flows: 855
Current HTTP Flows: 0 Current HTTPS Flows: 0
Current FTP Flows: 0 Current POP3 Flows: 0
Current SMTP Flows: 0 Current SIP Flows: 0
Current RTSP Flows: 0 Current RTP Flows: 0
Current RTCP Flows: 0 Current IMAP Flows: 0
Current WSP-CO Flows: 0 Current WSP-CL Flows: 0
Current MMS Flows: 0 Current DNS Flows: 0
Current PPTP-GRE Flows: 0 Current PPTP Flows: 0
Current P2P Flows: 0 Current H323 Flows: 0
Current TFTP Flows: 0
Current UNKNOWN Flows: 0


bod 2.
ak by sme zmenili verejnu IP adresu, je pravdepodobne, ze sa to stane znova a budeme mat zaspamovane dve verejne IP adresy. Odporucanie zo sietoveho oddelenia sa nemeni, tzn. mozme docasne na par dni zablokovat verejnu IP adresu, tym padom by ste mali pridelenu dynamicku, po dohodnutom case by sme opat aktivovali verejnu IP a budeme sledovat, ci utoky prestali, alebo nastanu opat.

Ak sa vieme na takomto rieseni dohodnut, prosim o potvrdenie, v pondelok by sme verejnu IP docasne vypli a na dalsom priebehu riesenia by sme sa dohodli.

Ako spravca zabezpecujeme ochranu nasej siete, avsak za bezpecnost svojich zariadeni a pripojenia zodpoveda zakaznik.
endurodanonr
10.6.2017 08:15 | |
+0 -0
Reagovať
treba pozriet na router ci to konci na wan strane alebo to komunikuje s nejakou vnutornou ip. vtedy by to bol napadnuty nejaky pc
Niktosk0
10.6.2017 09:12 | |
+0 -0
Reagovať
to pozriem v active connections?
teraz je to celkom čisté, nikto tam nie je a väčšina staníc je povypínaná.

Proto NATed Address Destination Address State
tcp 192.168.100.60:65314 169.55.150.77:443 ESTABLISHED
tcp 95.102.147.115:49405 192.168.100.60:3389 ESTABLISHED
tcp 192.168.100.60:55982 87.244.200.17:80 ESTABLISHED
udp 192.168.100.60:58263 8.8.8.8:53 UNREPLIED
udp 192.168.100.60:60111 8.8.8.8:53 UNREPLIED
udp 192.168.100.60:52233 8.8.8.8:53 UNREPLIED
udp 192.168.100.60:52876 8.8.8.8:53 UNREPLIED
udp 192.168.100.60:53350 8.8.8.8:53 UNREPLIED
udp 192.168.100.60:60875 8.8.4.4:53 UNREPLIED
udp 192.168.100.60:64232 8.8.4.4:53 UNREPLIED
udp 192.168.100.60:58263 8.8.4.4:53 UNREPLIED
udp 192.168.100.60:55190 8.8.8.8:53 UNREPLIED
udp 192.168.100.150:56186 129.6.15.27:123 UNREPLIED
udp 192.168.100.60:60111 8.8.4.4:53 UNREPLIED
udp 192.168.100.60:60875 8.8.8.8:53 UNREPLIED
udp 192.168.100.60:53350 8.8.4.4:53 UNREPLIED
udp 192.168.100.60:52876 8.8.4.4:53 UNREPLIED
udp 192.168.100.60:64232 8.8.8.8:53 UNREPLIED

Ako potom zistím, či niečo skončilo na WAN strane resp. či to komunikuje s vnútornou IP adresou?
Vidím hore 3 aktívne spojenia. To 2. som asi ja z domu a to prvé a tretie to sú spojenia, ktoré iniciovalo zariadenie z môjho intranetu. Aj toto môže byť problém?
Pri tých neaktívnych vidím, že aj druhý router (nastavený ako AP) sa snažil niekam pripájať. Ako je to možné, on by nemal. Alebo je tam nejaký soft, čo si preveruje napr. aktualizácie firmware?
endurodanonr
10.6.2017 16:53 | |
+0 -0
Reagovať
problem je ze tam nic nevidis. chcelo by to nejaky normalny firewall
Niktosk0
10.6.2017 18:29 | |
+0 -0
Reagovať
môžeš mi to nejak bližšie vysvetliť? :)
ahasver.chamachir
10.6.2017 21:48 | |
+0 -0
Reagovať
SW firewall nastavený v interaktívnom režime na každej mašine extra alebo HW firewall "detto", ktorým zachytíš všekeré pakety, porty a IP adresy odchádzajúce in/out.

Potom sa obrat na providera až eliminuješ svoje prípadné ucpanie toku dát.