Une raison pour ne pas activer la défense DoS sur mon routeur?

15

J'ai récemment trouvé un paramètre de défense DoS dans mon routeur DrayTek Vigor 2830 , qui est désactivé par défaut. J'exécute un très petit serveur sur ce réseau et je prends très au sérieux d'avoir le serveur opérationnel 24/7.

Je ne suis pas certain que la défense DoS puisse me causer des problèmes. Je n'ai pas encore subi d'attaques DoS, mais j'aimerais éviter d'éventuelles attaques. Y a-t-il une raison pour ne pas activer le paramètre de défense DoS?

security router denial-of-service draytek Cupcake
la source
3
Plutôt que de nous demander si vous devez / ne devez pas activer cette fonctionnalité "DoS Defense", pourquoi ne pas demander à votre fournisseur de routeur ce qu'il fait réellement lorsque vous cochez la case, puis décider si ces règles ont du sens dans votre environnement?
voretaq7
(Après avoir récupéré le manuel sur leur site Web, je peux dire que la liste des choses qu'il vérifie et traite est relativement saine - peu susceptible de briser quoi que ce soit de légitime, donc pas de mal réel à l'activer. pour vous protéger de tout - il y a des attaques qu'il ne peut pas atténuer )
voretaq7
Comme il s'agit principalement d'une question d'analyse des risques, vous pouvez envisager de demander à migrer vers la sécurité de l'information .
AviD

Réponses:

21

Cela signifie que le routeur doit maintenir un état supplémentaire et effectuer un travail supplémentaire sur chaque paquet. Et comment cela peut-il vraiment aider dans le cas d'un DoS? Tout ce qu'il peut faire, c'est supprimer un paquet que vous avez déjà reçu. Puisque vous l'avez déjà reçu, il a déjà fait le mal en consommant votre bande passante Internet entrante.

David Schwartz
la source
3
@SpacemanSpiff: Deux raisons pour lesquelles ce n'est pas vrai: 1) Une liaison ADSL typique ne peut pas transporter suffisamment de trafic pour prendre un service de toute façon. Les attaques DoS typiques sur de telles liaisons fonctionnent en consommant votre bande passante. 2) L'appareil ne peut pas distinguer de manière fiable le trafic d'attaque du trafic légitime. Donc, arrêter l'attaque DoS n'est qu'une attaque DoS contre vous-même puisque vous supprimez également le trafic légitime. (Tout au plus, cela préservera votre bande passante sortante pour d'autres services car vous ne répondez pas au trafic d'attaque. Mais sans entrée utile, la protection de votre trafic sortant n'aide généralement pas beaucoup.)
David Schwartz
1
À peu près ... En général, si vous vous retrouvez sur une ligne qu'un dreytek tiendrait, vous descendez.
Sirex
1
Ce que vous lui avez dit de faire est de désactiver les éléments suivants, juste pour que vous le sachiez: inondation SYN, inondation UDP, inondation ICMP, détections de balayage de port, usurpation IP, attaques par larmes. Ce n'est pas parce que ce fournisseur le laisse par défaut que tout le monde le fait. Les routeurs Juniper NetScreen et SRX Branch en sortent ainsi, tout comme l'ASA5505.
SpacemanSpiff
1
Oui, mais vous avez activé toutes les fonctions de défense de base, maintenant même un idiot avec une commande ping Linux peut le faire tomber.
SpacemanSpiff
3
@SpacemanSpiff: S'ils peuvent submerger sa bande passante, ils peuvent le supprimer même avec. Il baisse le trafic après qu'il a consommé sa bande passante. Avoir un bord défendu à l'intérieur du lien le plus lent ne vous sert à rien. Très probablement, son maillon le plus faible est le CPU du routeur et sa bande passante entrante.
David Schwartz
5

Une des raisons pour ne pas activer le paramètre de défense DoS est que le fait d'essayer de protéger les systèmes contre DOS va augmenter le processeur du routeur / pare-feu, provoquant un DoS lui-même.

devenir plus sage
la source
5

Un vieux fil que je connais, mais je viens de devoir désactiver les défenses DoS sur mon routeur domestique Draytek 2850 pour éviter certains problèmes de connexion (la bande passante entrante de presque tout le monde est tombée à 0). Curieusement, lorsque tous les enfants utilisent leurs iPhones, leurs PC et discutent sur Skype, etc., cela déclenche les défenses DoS!

Je suppose qu'il y a tellement de trafic dans les deux sens que le routeur pense qu'il est attaqué de l'extérieur et s'arrête. Désactiver la défense contre les inondations UDP n'a pas fait de correction complète, j'ai donc désactivé les défenses SYN et ICMP également. (Si vous deviez désactiver la protection contre les inondations SYN et ICMP, je pense que le routeur faisait du très bon travail sauf si vous exécutez un ou plusieurs serveurs sur votre réseau) - Les demandes SYN et ICMP sont envoyées aux serveurs lors de l'initiation de la connexion, puis les périphériques clients reçoivent un SYN-ACK en retour du serveur.

Hey presto - plus de problèmes de connexion. Bien sûr, je vais réactiver les défenses et mieux régler les valeurs (mesurées en paquets / seconde), mais j'essaie de résoudre ce problème depuis des siècles et ce fut un choc de découvrir la véritable cause.

J'espère que ça aidera quelqu'un d'autre.

Richard
la source
Je peux confirmer la même chose sur un routeur sans fil ASUS RT-N10. L'activation de la protection DoS dégradera la connexion sans fil.
1
Nous avons eu un problème très similaire sur un 2930 peu de temps après avoir commencé à autoriser les appareils mobiles sur le réseau. J'ai augmenté les taux de seuil pour la défense SYN, UDP et ICMP de manière significative et cela a stoppé le problème.
3

Oui, absolument , allumez-le.

Si cela est correctement implémenté, le moteur de votre pare-feu doit inspecter chaque paquet. Une fois qu'il est déterminé à supprimer ce trafic dans le cadre d'une attaque DoS, il doit installer une règle dans le matériel et supprimer silencieusement le trafic au lieu de le traiter encore et encore. Là où il tombera toujours sur son visage, c'est une attaque distribuée, mais je vous suggère de l'activer.

Quels types de services héberge ce serveur?

SpacemanSpiff
la source
Il exécute beaucoup de choses différentes: IIS, bases de données MSSQL, bases de données MySQL, Apache, Minecraft et toutes sortes de choses aléatoires pour lesquelles j'ai besoin d'un serveur :)
Cupcake
3
Si le trafic nuisait à votre lien, il nuirait toujours à votre lien. Si ce n'est pas le cas, vous risquez maintenant de perdre au moins du trafic légitime, ce qui aggrave l'attaque DoS. Sur un routeur SoHo, c'est un mauvais conseil. Il est désactivé par défaut pour une raison.
David Schwartz
1
L'intérêt d'un DoS est de rendre le trafic DoS indiscernable du trafic légitime, de sorte que la victime doit choisir entre abandonner le trafic légitime et répondre au trafic DoS. Par exemple, si vous servez de HTTP sur le port 80, une attaque DoS typique que vous verrez est un déluge SYN multi-source sur le port 80. Comment pouvez-vous distinguer les délits SYN des SYNs clients légitimes?
David Schwartz
2
"Si implémenté correctement" n'est pas assuré; en particulier sur le matériel de qualité grand public. Le routeur Netgear que j'utilisais chez moi il y a plusieurs années avait un bug majeur dans son filtre DOS. Il était possible d'envoyer un seul paquet avec des données mal formées qui provoquerait le crash du filtre DOS et entraînerait le routeur avec.
Dan est en train de jouer par Firelight
1
Non, ce n'est pas le cas, il peut toujours le désactiver ou ajuster les seuils. J'ai vu des appareils bas de gamme défendre les réseaux avec juste ce truc de base tandis que des pare-feu de classe entreprise mal configurés leur tombent dessus.
SpacemanSpiff
-2

Si l'attaque DoS ne tue pas votre PC en premier, la chaleur générée par la protection DoS tuera votre routeur. Si vous êtes préoccupé par la sécurité, n'utilisez pas Internet.

Il est préférable de protéger chaque appareil individuel sur votre réseau avec un pare-feu correctement configuré et, lorsque vous n'utilisez pas le net, éteignez votre wifi, utilisez-le comme vous le feriez avec votre eau du robinet.

DERP
la source