Nová funkcionalita: inteligentní firewall 4smart.cz

[4smart.cz]

Dobrý den,

4smart.cz spustil novou funkcionalitu - inteligentní firewall.

Účelem této nové vlastnosti je rozpoznat určité typy DoS nebo DDos útoků, určit kdo je zdrojem a kdo cílem takového útoku a útočníka zablokovat.
Implementace uvažuje, že nejméně jedna strana útoku se nachází v systému 4smart.cz.
Je-li zdrojem síťového útoku virtuální server, je zablokován a automaticky zastaven.
K těmto situacím dochází obvykle po kompromitaci virtuálního serveru útočníkem a jeho škodlivým kódem, tedy obvykle bez vědomí uživatele.
Virtuální server, který vykazuje známky pochybného chování může jistým způsobem a v určitých případech ovlivnit odezvu virtuálních serverů jiných uživatelů na stejném HW uzlu.
Toto obvykle pociťují provozovatelé VoIP ústředen, kdy dochází ke koktání, výpadkům, apod.

Při každé události, kterou firewall vyhodnotí jako rizikovou, dojde k aplikaci iptables pravidel pro problémovou IP adresu na všech HW uzlech 4smart.cz.
Zdroj útoku je umístěn na blacklist na dobu 24h. Pokud je zdrojem nebo cílem (případně obojím) virtuální server na 4smart.cz, je každý vlastník tohoto VPS informován emailem
o provedených opatřeních. Současně upozornění obdrží i administrátoři 4smart.cz.

Uživatel, jehož VPS se ocitl na blacklistu může svůj zastavený VPS spustit, povolit u něj prostřednictvím webového administračního rozhraní 4smart.cz port 22 (SSH) a provést inspekci.
Jakmile to situace dovolí, může uživatel prostřednictvím webového rozhraní svůj VPS z blacklistu manuálně odstranit ještě před uplynutím timeoutu (24 hodin).

Tato implementace mimo jiné nedovoluje, aby se na blacklistu ocitl HW uzel 4smart.cz nebo některá z klíčových služeb a došlo tak k nedostupnosti.
Implementace však uvažuje, že cílem DoS může být i HW uzel 4smart.cz a to jak z internetu, tak z vlastní fyzické sítě 4smart.cz, intranetu.
Toto naše řešení doplňuje některé chybějící případy, které jinak řeší síťové prvky našeho poskytovatele konektivity. Dále zlepšuje dostupnost služeb 4smart.cz
a šetří kredit za systémové prostředky v případě virtuálních serverů uživatelů, jejichž stroj se ocitl na jedné nebo druhé straně síťového útoku.
Uvedená funkcionalita není postavena na sledování množství přenášených dat. Pokud virtuální server není na blacklistu, není jinak v síťovém provozu omezován.

Případné vlastní řešení uživatele v podobě iptables pravidel nebo jiných zabezpečení v jeho virtuálním serveru je i nadále žádoucí. Tím spíše, jde-li o VoIP ústředny nebo jiná citlivá řešení,
kde by následky případného útoku a kompromitace mohly mohly být větší problém.

Dokumentace k této funkcionalitě bude v průběhu příštího týdne dostupná na wiki.4smart.cz.

J.M.

[Largon]

Uživatel, jehož VPS se ocitl na blacklistu může svůj zastavený VPS spustit, povolit u něj prostřednictvím webového administračního rozhraní 4smart.cz port 22 (SSH) a provést inspekci.
Jakmile to situace dovolí, může uživatel prostřednictvím webového rozhraní svůj VPS z blacklistu manuálně odstranit ještě před uplynutím timeoutu (24 hodin).

Počítá se nějak se situací, kdy je pro SSH použit nestandardní port?

[4smart.cz]

Uživatel, jehož VPS se ocitl na blacklistu může svůj zastavený VPS spustit, povolit u něj prostřednictvím webového administračního rozhraní 4smart.cz port 22 (SSH) a provést inspekci.
Jakmile to situace dovolí, může uživatel prostřednictvím webového rozhraní svůj VPS z blacklistu manuálně odstranit ještě před uplynutím timeoutu (24 hodin).

Počítá se nějak se situací, kdy je pro SSH použit nestandardní port?

Současná implementace nestandardní port pro SSH nezahrnuje.

[4smart.cz]

Dokumentace k této funkcionalitě je dostupná pod tímto odkazem:
http://wiki.4smart.cz/doku.php/firewall

J.M.