1
German - Deutsch / Re: DOS Prevention
« on: December 16, 2021, 03:04:04 pm »Ergänzung:
Eine Firewall ist nicht das Geräte was für das blocken von z.B. DOS bzw. DDOS Attacken gedacht ist. Sind die Pakete erstmal bei dir, muss sich deine Firewall auch damit auseinandersetzen.
Was kann man machen?
-In den WAN Regeln die Status auf "SYN-Proxy" setzen, wird wahrscheinlich nicht viel bringen, aber vielleicht etwas. Wird aber auch die Performance reduzieren.
- Evtl. hilft es nicht alle möglichen Ports aus dem Internet erreichbar zu machen, die Pakete erreichen zwar die Firewall, ein blocken ist aber noch weniger Ressourcenhungrig wie ein weiterleiten der Pakete.
- Der ISP kann evtl. helfen. Entweder können die dein Traffic "Null Routen", heißt du hast keinen Internetzugang mehr, aber deine Geräte sind geschützt.
Oder die prüfen deinen Traffic und lassen solche Anfragen gar nicht erst zu deinem Internetanschluss.
Dafür kann aber auch dein ISP Geld verlangen.
- Du nutzt Dienste wie z.B. Cloudflare, welche einen gewissen Schutz davor bieten.
Bei Azure kostet beispielsweise die DDOS Protection für 100 Ressourcen etwa 2900$/Monat
- Du stellst dir selbst Hardware vor deine Firewall, welche solche Attacken erkennen und anders Routen kann.
Problem: Diese Hardware ist extrem teuer. Corero hat sowas im Angebot, die kleinen Geräte gehen glaube ich bei ca 25.000$ los, willst du bessere Geräte die mehr aushalten geht z.B die Smart Wall Reihe bei 250.000$ los.
Selbst große Dienstanbieter Amazon, Netflix, etc. haben mit solchen Angriffen massive Probleme, obwohl diese teilweise mehrere hundert Millionen $ in Schutz investieren, da wird einfach nur eine Firewall keine Lösung sein.
Okay, vielen Dank für die ausführliche Antwort!
Ich werde meinen ISP kontaktieren.
Mit freundlichen Grüßen,
Alex