---

Hej Gruppe,

Vi står overfor at skully bruge 250k på en firewall som kan beskytte os
mod syn-flood angreb fra spoof IPs.

Hele vores system er Linux baseret men IPtables kan ikke løse problemet
med tree-way-handshakes (så vidt jeg kan se).

Inden nå vi går ud og bruger de mange tusinde på en black-box firewall
vil jeg lige høre om nogen har erfaringer med en open source firewall
som kan lave Syn-Proxy? (Syn-Proxy er så vidt jeg kan se den eneste
løsning mod syn-flood angreb)

Skal kunne:
- klare 1 gigabit
- 5000 syn/sec (helst mere)
- 100000 samtidige forbindelser

Nogen forslag - eller skal vi bare ud og gøre Cisco glade?


--
Best regards,
Steffan S. Fallesen

---

Den Tue, 18 Jul 2006 13:52:34 +0200 skrev Steffan Fallesen:
> Hej Gruppe,
>
> Vi står overfor at skully bruge 250k på en firewall som kan beskytte os
> mod syn-flood angreb fra spoof IPs.
>
> Hele vores system er Linux baseret men IPtables kan ikke løse problemet
> med tree-way-handshakes (så vidt jeg kan se).

Har du slået syn-cookies til?

Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).

---

Kent Friis wrote:

> Den Tue, 18 Jul 2006 13:52:34 +0200 skrev Steffan Fallesen:
> Har du slået syn-cookies til?

Ja, men det nytter ikke noget. Problemet er at forbindelserne skabet fra
spoof'ede IP'er :(


--
Best regards,
Steffan S. Fallesen

http://www.servage.net/
Servage.net Web Hosting

---

>>>>> "SF" == Steffan Fallesen <no-ssf-spam@servage.net> writes:

SF> Ja, men det nytter ikke noget. Problemet er at forbindelserne
SF> skabet fra spoof'ede IP'er :(

Hele pointen i syn-cookies er beskyttelse mod spoofede syn-pakker.
Hvis de ikke er spoofede hjælper syn-cookies ikke.


/Benny

---

Den Tue, 18 Jul 2006 13:52:34 +0200 skrev Steffan Fallesen:
> Hej Gruppe,
>
> Skal kunne:
> - klare 1 gigabit
> - 5000 syn/sec (helst mere)
> - 100000 samtidige forbindelser
>
> Nogen forslag - eller skal vi bare ud og gøre Cisco glade?

Og så ville jeg nok lige bede om at få udstyret på prøve, inden
i lægger en masse penge hos Cisco. Cisco-sælgere kan hvadsomhelst,
sålænge de kun skal sige det.

"Vi" havde en der kunne *garantere* at der ikke kom noget igennem
(forudsat de fik lov at sætte den op, naturligvis), altså lige indtil
chefen ville have et beløb på garantien...

Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).

---

Steffan Fallesen <no-ssf-spam@servage.net> writes:

> Inden nå vi går ud og bruger de mange tusinde på en black-box firewall
> vil jeg lige høre om nogen har erfaringer med en open source firewall
> som kan lave Syn-Proxy? (Syn-Proxy er så vidt jeg kan se den eneste
> løsning mod syn-flood angreb)

pf, som findes på OpenBSD og de andre BSD'er har indbygget SYN proxy.

> Skal kunne:
> - klare 1 gigabit
> - 5000 syn/sec (helst mere)
> - 100000 samtidige forbindelser

Jeg vil skyde på, at du kan bygge noget der kan håndtere det indenfor
de 250k, men jeg ved ikke lige, om der er nogen her i gruppen, der har
erfaring med den mængde trafik samt pf og syn proxy.

--
Christian Laursen

---

Christian Laursen wrote:

> pf, som findes på OpenBSD og de andre BSD'er har indbygget SYN proxy.

Ja, jeg har set lidt på det. jeg er bare bange for at BSD frontenden
bare bliver flooded istedet - eller BSD kan måske bedre klare det end Linux?

--
Best regards,
Steffan S. Fallesen

---

Steffan Fallesen <no-ssf-spam@servage.net> writes:

> Christian Laursen wrote:
>
>> pf, som findes på OpenBSD og de andre BSD'er har indbygget SYN proxy.
>
> Ja, jeg har set lidt på det. jeg er bare bange for at BSD frontenden
> bare bliver flooded istedet - eller BSD kan måske bedre klare det end
> Linux?

Så vidt jeg kan læse mig til, er det lavet, så der ikke kræves plads til
tilstand i syn-proxyen før der er lavet et fuldt handshake, så det burde
ikke være et problem.

--
Christian Laursen

---

Den Tue, 18 Jul 2006 15:16:13 +0200 skrev Christian Laursen:
> Steffan Fallesen <no-ssf-spam@servage.net> writes:
>
>> Christian Laursen wrote:
>>
>>> pf, som findes på OpenBSD og de andre BSD'er har indbygget SYN proxy.
>>
>> Ja, jeg har set lidt på det. jeg er bare bange for at BSD frontenden
>> bare bliver flooded istedet - eller BSD kan måske bedre klare det end
>> Linux?
>
> Så vidt jeg kan læse mig til, er det lavet, så der ikke kræves plads til
> tilstand i syn-proxyen før der er lavet et fuldt handshake, så det burde
> ikke være et problem.

Er det ikke generelt syn-cookies? Hele problemet består jo i at
en masse syn-pakker kræver en masse plads, og det er jo det man
skal undgå. Hvis man alligevel allokerer plads, ryger hele ideen jo.

Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).

---

Kent Friis <nospam@nospam.invalid> writes:

> Den Tue, 18 Jul 2006 15:16:13 +0200 skrev Christian Laursen:
>
>> Så vidt jeg kan læse mig til, er det lavet, så der ikke kræves plads til
>> tilstand i syn-proxyen før der er lavet et fuldt handshake, så det burde
>> ikke være et problem.
>
> Er det ikke generelt syn-cookies? Hele problemet består jo i at
> en masse syn-pakker kræver en masse plads, og det er jo det man
> skal undgå. Hvis man alligevel allokerer plads, ryger hele ideen jo.

Jo, eller meget tæt på.

--
Christian Laursen

---

Christian Laursen skrev:
> Kent Friis <nospam@nospam.invalid> writes:
>
>> Den Tue, 18 Jul 2006 15:16:13 +0200 skrev Christian Laursen:
>>
>>> Så vidt jeg kan læse mig til, er det lavet, så der ikke kræves plads til
>>> tilstand i syn-proxyen før der er lavet et fuldt handshake, så det burde
>>> ikke være et problem.
>> Er det ikke generelt syn-cookies? Hele problemet består jo i at
>> en masse syn-pakker kræver en masse plads, og det er jo det man
>> skal undgå. Hvis man alligevel allokerer plads, ryger hele ideen jo.
>
> Jo, eller meget tæt på.
>
Hejsa!

Jeg ville nok kigge lidt nærmere på Astaro Security Linux (Fås i
2udgaver - bla en freeware ikke fuld version - og en licens version) som
bliver brugt af bla flere større skoler mm! Jeg har set denne i aktion i
forbindelse med et praktik ophold hos http://www.casalogic.dk og det
virker optimalt efter hvad kunderne siger!
Det er ihvertfald en mulighed for at holde stilen i OpenSource!

Med Venlig Hilsen
Per Jørgensen

---

Per Jørgensen wrote:

> Christian Laursen skrev:
>> Kent Friis <nospam@nospam.invalid> writes:
>>
>>> Den Tue, 18 Jul 2006 15:16:13 +0200 skrev Christian Laursen:
>>>
>>>> Så vidt jeg kan læse mig til, er det lavet, så der ikke kræves plads
>>>> til tilstand i syn-proxyen før der er lavet et fuldt handshake, så det
>>>> burde ikke være et problem.
>>> Er det ikke generelt syn-cookies? Hele problemet består jo i at
>>> en masse syn-pakker kræver en masse plads, og det er jo det man
>>> skal undgå. Hvis man alligevel allokerer plads, ryger hele ideen jo.
>>
>> Jo, eller meget tæt på.
>>
> Hejsa!
>
> Jeg ville nok kigge lidt nærmere på Astaro Security Linux (Fås i
> 2udgaver - bla en freeware ikke fuld version - og en licens version)
> [...]
> Det er ihvertfald en mulighed for at holde stilen i OpenSource!

Hvordan holder man "stilen OpenSource" ved at købe et program?

Og hvad betaler man for? Ikke et kernemodul, gætter jeg på - og man kan
næppe lave high-performance-udvidelser af netværkskoden uden at bruge et
kernemodul.

--
| Christian Iversen | I bought a speed-reading book, because I |
| chrivers@iversen-net.dk | wanted to be a speed-reader. Did I read |
| | the speed-reading book? no, but.. |

---

Christian Iversen skrev:
> Per Jørgensen wrote:
>
>> Christian Laursen skrev:
>>> Kent Friis <nospam@nospam.invalid> writes:
>>>
>>>> Den Tue, 18 Jul 2006 15:16:13 +0200 skrev Christian Laursen:
>>>>
>>>>> Så vidt jeg kan læse mig til, er det lavet, så der ikke kræves plads
>>>>> til tilstand i syn-proxyen før der er lavet et fuldt handshake, så det
>>>>> burde ikke være et problem.
>>>> Er det ikke generelt syn-cookies? Hele problemet består jo i at
>>>> en masse syn-pakker kræver en masse plads, og det er jo det man
>>>> skal undgå. Hvis man alligevel allokerer plads, ryger hele ideen jo.
>>> Jo, eller meget tæt på.
>>>
>> Hejsa!
>>
>> Jeg ville nok kigge lidt nærmere på Astaro Security Linux (Fås i
>> 2udgaver - bla en freeware ikke fuld version - og en licens version)
>> [...]
>> Det er ihvertfald en mulighed for at holde stilen i OpenSource!
>
> Hvordan holder man "stilen OpenSource" ved at købe et program?
>
> Og hvad betaler man for? Ikke et kernemodul, gætter jeg på - og man kan
> næppe lave high-performance-udvidelser af netværkskoden uden at bruge et
> kernemodul.
>
Jamen OpenSource ???
Tja hvis det er - så læs defineringen af OpenSource - Fri software ikke
nødvendigvis gratis - Kan ikke stå mere tydeligt hvis man har læst GPL
licensen?
Ellers læs mere Stallmann. Det er jo den åbne sourcekode hvor man kan se
alt - det er ikke nødvendighvis gratis!
Der er desværre alt for mange der tager dette for givet at OpenSource er
gratis - og dette er endnu mere desværre en meget stor fejl!

---

Per Jørgensen wrote:

> Christian Iversen skrev:
>> Per Jørgensen wrote:
>>
>>> Christian Laursen skrev:
>>>> Kent Friis <nospam@nospam.invalid> writes:
>>>>
>>>>> Den Tue, 18 Jul 2006 15:16:13 +0200 skrev Christian Laursen:
>>>>>
>>>>>> Så vidt jeg kan læse mig til, er det lavet, så der ikke kræves plads
>>>>>> til tilstand i syn-proxyen før der er lavet et fuldt handshake, så
>>>>>> det burde ikke være et problem.
>>>>> Er det ikke generelt syn-cookies? Hele problemet består jo i at
>>>>> en masse syn-pakker kræver en masse plads, og det er jo det man
>>>>> skal undgå. Hvis man alligevel allokerer plads, ryger hele ideen jo.
>>>> Jo, eller meget tæt på.
>>>>
>>> Hejsa!
>>>
>>> Jeg ville nok kigge lidt nærmere på Astaro Security Linux (Fås i
>>> 2udgaver - bla en freeware ikke fuld version - og en licens version)
>>> [...]
>>> Det er ihvertfald en mulighed for at holde stilen i OpenSource!
>>
>> Hvordan holder man "stilen OpenSource" ved at købe et program?
>>
>> Og hvad betaler man for? Ikke et kernemodul, gætter jeg på - og man kan
>> næppe lave high-performance-udvidelser af netværkskoden uden at bruge et
>> kernemodul.
>>
> Jamen OpenSource ???
> Tja hvis det er - så læs defineringen af OpenSource - Fri software ikke
> nødvendigvis gratis - Kan ikke stå mere tydeligt hvis man har læst GPL
> licensen?

Jeg ved godt hvad du mener, men nu laver du selv den fejl du siger jeg
begår! FRI software er nødvendigvis gratis! Software med åben kildekode er
det ikke nødvendigvis (men ofte). Enig?

(Jeg ved godt at man kan sælge fri software, men så kan man til gengæld også
snildt finde det helt lovligt et andet sted fra, gratis)

Stadig - hvad betaler man for?

--
| Christian Iversen | Yes I would like tea. Why don't you put it |
| chrivers@iversen-net.dk | on my BREASTS? |

---

Den Thu, 27 Jul 2006 13:39:32 +0200 skrev Christian Iversen:
> Per Jørgensen wrote:
>
>> Christian Iversen skrev:
>>> Per Jørgensen wrote:
>>>
>>>> Christian Laursen skrev:
>>>>> Kent Friis <nospam@nospam.invalid> writes:
>>>>>
>>>>>> Den Tue, 18 Jul 2006 15:16:13 +0200 skrev Christian Laursen:
>>>>>>
>>>>>>> Så vidt jeg kan læse mig til, er det lavet, så der ikke kræves plads
>>>>>>> til tilstand i syn-proxyen før der er lavet et fuldt handshake, så
>>>>>>> det burde ikke være et problem.
>>>>>> Er det ikke generelt syn-cookies? Hele problemet består jo i at
>>>>>> en masse syn-pakker kræver en masse plads, og det er jo det man
>>>>>> skal undgå. Hvis man alligevel allokerer plads, ryger hele ideen jo.
>>>>> Jo, eller meget tæt på.
>>>>>
>>>> Hejsa!
>>>>
>>>> Jeg ville nok kigge lidt nærmere på Astaro Security Linux (Fås i
>>>> 2udgaver - bla en freeware ikke fuld version - og en licens version)
>>>> [...]
>>>> Det er ihvertfald en mulighed for at holde stilen i OpenSource!
>>>
>>> Hvordan holder man "stilen OpenSource" ved at købe et program?
>>>
>>> Og hvad betaler man for? Ikke et kernemodul, gætter jeg på - og man kan
>>> næppe lave high-performance-udvidelser af netværkskoden uden at bruge et
>>> kernemodul.
>>>
>> Jamen OpenSource ???
>> Tja hvis det er - så læs defineringen af OpenSource - Fri software ikke
>> nødvendigvis gratis - Kan ikke stå mere tydeligt hvis man har læst GPL
>> licensen?
>
> Jeg ved godt hvad du mener, men nu laver du selv den fejl du siger jeg
> begår! FRI software er nødvendigvis gratis!

Nej. Der er intet der forhindrer at man tager penge for FRI (GPL-style)
software, præcis som der ikke er noget der forhindrer at man tager
penge for æbler.

> (Jeg ved godt at man kan sælge fri software, men så kan man til gengæld også
> snildt finde det helt lovligt et andet sted fra, gratis)

Ligesom man godt kan sælge æbler, men også snildt kan finde dem helt
lovligt på æbletræet i haven.

Æbler er iøvrigt nemmere at kopiere end software, det kræver ikke engang
en CD-brænder eller en internet-forbindelse. Man smider bare skroget
i haven, så går resten næsten af sig selv.

Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).

---

> Æbler er iøvrigt nemmere at kopiere end software, det kræver ikke engang
> en CD-brænder eller en internet-forbindelse. Man smider bare skroget
> i haven, så går resten næsten af sig selv.

Man skal vare sig fra at sammenligne apples (æbler) and oranges (brændbare
cdrommer følger orange book standarden)

Thomas
--

---

Kent Friis skrev:
> Den Thu, 27 Jul 2006 13:39:32 +0200 skrev Christian Iversen:
>> Per Jørgensen wrote:
>>
>>> Christian Iversen skrev:
>>>> Per Jørgensen wrote:
>>>>
>>>>> Christian Laursen skrev:
>>>>>> Kent Friis <nospam@nospam.invalid> writes:
>>>>>>
>>>>>>> Den Tue, 18 Jul 2006 15:16:13 +0200 skrev Christian Laursen:
>>>>>>>
>>>>>>>> Så vidt jeg kan læse mig til, er det lavet, så der ikke kræves plads
>>>>>>>> til tilstand i syn-proxyen før der er lavet et fuldt handshake, så
>>>>>>>> det burde ikke være et problem.
>>>>>>> Er det ikke generelt syn-cookies? Hele problemet består jo i at
>>>>>>> en masse syn-pakker kræver en masse plads, og det er jo det man
>>>>>>> skal undgå. Hvis man alligevel allokerer plads, ryger hele ideen jo.
>>>>>> Jo, eller meget tæt på.
>>>>>>
>>>>> Hejsa!
>>>>>
>>>>> Jeg ville nok kigge lidt nærmere på Astaro Security Linux (Fås i
>>>>> 2udgaver - bla en freeware ikke fuld version - og en licens version)
>>>>> [...]
>>>>> Det er ihvertfald en mulighed for at holde stilen i OpenSource!
>>>> Hvordan holder man "stilen OpenSource" ved at købe et program?
>>>>
>>>> Og hvad betaler man for? Ikke et kernemodul, gætter jeg på - og man kan
>>>> næppe lave high-performance-udvidelser af netværkskoden uden at bruge et
>>>> kernemodul.
>>>>
>>> Jamen OpenSource ???
>>> Tja hvis det er - så læs defineringen af OpenSource - Fri software ikke
>>> nødvendigvis gratis - Kan ikke stå mere tydeligt hvis man har læst GPL
>>> licensen?
>> Jeg ved godt hvad du mener, men nu laver du selv den fejl du siger jeg
>> begår! FRI software er nødvendigvis gratis!
>
> Nej. Der er intet der forhindrer at man tager penge for FRI (GPL-style)
> software, præcis som der ikke er noget der forhindrer at man tager
> penge for æbler.
>
>> (Jeg ved godt at man kan sælge fri software, men så kan man til gengæld også
>> snildt finde det helt lovligt et andet sted fra, gratis)
>
> Ligesom man godt kan sælge æbler, men også snildt kan finde dem helt
> lovligt på æbletræet i haven.
>
> Æbler er iøvrigt nemmere at kopiere end software, det kræver ikke engang
> en CD-brænder eller en internet-forbindelse. Man smider bare skroget
> i haven, så går resten næsten af sig selv.
>
> Mvh
> Kent

Jamen det kan man sagtens. Og som jeg skriver findes den i 2 versioner.
Har ikke selv kigget nærmere på dem end som så. Jeg ved bare at der er
en grund version og de har selv bygget ekstra moduler på, så hvis man
vil have de muligheder - jamen så må man betale.

F.eks nu har jeg testet enormt meget indenfor OpenSource Groupware - Og
Zimbra tja nok et af de bedste tilbud der er - er også udgivet i 2
versioner 1 gratis og en der koster.
Hvad er det f.eks her man betaler for :
Tja hvis man vil connecte til Zimbra serveren fra Outlook - tja det
ekstra modul der får de 2 til at snakke sammen.
Så derfor er det ikke altid til at se igennem.
Det kommer meget an på hvad det er man vil og skal bruge det til! Som
jeg skrev - Ved ikke hvilken version osv det ligger i - MEn det var
såmænd bare et tilbud om en mulighed.
Ja - man kan desværre tolke GPL på mange måder - desværre er der altid
nogen der tolker det forkert!