Webbsida hemma. Förbättra säkerheten

Jag har en webbsida hemma (loopia domän + bredbandsbolaget) och blev DDoS:ad igår med flit och undrar nu vad det finns för någorlunda billiga lösningar som skyddar en från små attacker

Jag läste att Zonealarm kan filtrera diverse attacker. Är det bara zonealarm eller finns det fler/bättre brandväggar? Tips tas gärna emot

vissa routers är bättre än andra på att filtrera attacker? ge tips

Sen hittade jag också programmet "Anti DDoS Guardian" men kan inte hitta någon användares synpunkter på programmet. Någon som har erfarenhet utav det?

Sen har jag läst lite om "Telia DDoS Protection" men förstår inte om det är ett nerladdningsbart program eller om det är en mjukvara hos leverantören?


Sen undrar jag om Zonealarm kan installeras på en enda dator så man slipper konfigurera alla

exempel:
linksys router > dator med zonealarm > Resten utav datorerna och servern.

https://www.cloudflare.com/

Kör du web servern på ett linux system så är det möjligt att göra en del iptables rules eller göra ett round-robin filter eller att filtrera ut packet.

Om man använder en konsument-brandvägg för att försöka skydde sin sida så har man troligen inte tålamod eller vilja att lära sig iptables.


Ja! Rekommenderar Cloudflare med mycket kärlek. Inte bara skyddar de dig mot DDOS och andra säkerhetsrisker, det snabbar också upp din sida och lättar på trycket genom cache. Ge Cloudflare ett försök, jag lovar att du inte kommer bli missnöjd.

Incapsula och ModSecurity bokstavligt talat kör över Cloudflare rent säkerhetsmässigt. Att rekommendera Cloudflare som ska ta hand om säkerheten är rätt så fel.

http://zeroscience.mk/files/wafreport2013v2.pdf http://www.zeroscience.mk/files/wafreport2013.pdf

Jag har aldrig sagt att du ska lämna över all säkerhets jobb till Cloudflare. Men för överbelastningsattacker och inbyggd CDN är det bra. Det som Incapsula och ModSecurity fixar ett schysst ramverk istället för populärt skit.

Jag vet inte vad du vill säga med de dokumenten. Det första är om hur phpMyAdmin, Wordpress och andra dåligt skriva PHP sidor är osäkrare om man använder Cloudflare jämfört med deras egna produkt "Incapsula". Visst, bra för idioten som inte kan programmera och bara vill slänga upp en hemsida för ett annat syfte.


Så de använder mjukvara som är känd för att innehålla många säkerhetsbrister för att jämföra ett verktyg som tar över din DNS, mot en modul som du installerar framför apache. De har helt klart olika användningsområden.

Vill man inte ha säkerhetsbrister så använder man inte Wordpress, Joomla, phpBB eller något annat för att bygga sin sida och ge över bollen till dem.

Delvis, både Incapsula och Cloudflare har en uppgift att försöka stoppa webbaserade attacker så som XSS, SQLi, LFI, LFD osv. Och jag påpekade endast att Cloudflare är sinnessjukt dåliga när det kommer till att förhindra webbaserade attacker.

Men visst, Cloudflare har grym CDN och bra skydd mot överbelastningsattacker, vilket även har förbättrats den senaste tiden.

När det gäller DDoS så GÅR DET INTE skydda sig lokalt mot det. Eventuellt skydd måste läggas uppströms, innan skräpet når din lina.

Med andra ord, sätter någon igång LOIC eller HOIC mot din hemsida, så spelar det ingen roll om du droppar 100% av DDoSen i din brandvägg. DDoSen har redan färdats genom din bredbandslina och därmed sänkt den.


Med andra ord, har du 100/* (100mbit ner) och det är 2 st datorer med */100 (100mbit upp) som sitter och floodar dig så är du sänkt, thats it. Din bredbandslina är fylld av skräppaketen från dem som floodar dig och det spelar ingen roll om du drar ur nätverkskabeln, du är ändå sänkt. Enda sättet att få stopp på attacken är om:
-ISPn blockar den
-Någon annan uppströms blockar den (såsom cloudflare)
-Attackeraren slutar attackera dig
-Du byter IP utan att lägga upp IPt i DNSen.


Cloudflare är en bra lösning för att stoppa just DDoS. Dock är det automatiska skyddet i gratisvarianten inte något sådär jättebra men det manuella (im under attack-knappen) fungerar bra. Kombinera det med någon uptimetjänst som kollar att din sida är nåbar så kan du göra underverk.

Vill man skydda sig mot DDoS, så måste man med andra ord antingen använda en tjänst såsom Cloudflare, eller ha hjälp av sin ISP (BBB).


Observera här att med DDoS syftar jag på när man floodar servern med giltiga förfrågningar (säg GET / HTTP/1.1) utan att bry sig om svaren eller liknande.

DoS är något helt annat, när man genom att utnyttja säkerhetshål och liknande, får webbserverprogramvara, php, mysql eller liknande att krascha. Det går helt utmärkt att skydda sig mot i en lokal brandvägg, eftersom en vanlig "DoS" går ut på att få programvara/hårdvara att krascha, inte att sänka din lina. Blockar du paketet så är ingen skada skedd.



Så skydd mot DDoS - "glöm det" som privatperson. ISPerna bryr sig inte om privatkunder som blir DDoSade så mycket. Företag med SLA däremot, dem brukar komma till tier 1 teknisk support som lägger in filter mot DDoSen.

Du skulle dock kunna låna en dator på biblioteket för att kontakta abuse hos ISPn som DDoSaren har, med andra ord den som attackerar dig, och få han nerstängd.



Telia DDoS Protection är en tjänst som bara säljs till Telias FÖRETAG-bredbandskunder, som fungerar i stort sett som Cloudflare, fast inbyggt i Telias nät, så du märker ingen skillnad.

Här hittar du en del tips länk

Som andra säger så är Cloudflare eller Incapsula ett bra alternativ. Jag har kör Cloudflare och det har fungerat riktigt bra. Men en viktig detalj är att du väljer att använda ex cloudflare på samtliga domäner och subdomäner. För annars kan attackeraren få fram det riktiga ip-nummret.

För att då kunna ansluta till din server utöver http/https så behöver du ansluta via IP-nummret istället för via domänen.

Skulle du kunna förklara lite mer vad ett round-robin filter är? Googlade men får inget bra svar.

nu har jag testat Cloudflare och det var ju faktiskt enkelt och bra förutom att det saknar stöd för websockets som är ett måste på min sida. Jag läste att det går att lösa men fölorar då säkerheten.

samma med incapsula vad jag kan se

Men annars så var det extremt bra alternativ!