4
Netzwerkzugriff nur über Domain
Abend Leute,
mal eine etwas andere Frage:
Wie würdet ihr es lösen, wenn es heißt mal sollte den Netzwerkzugriff komplett sperren, außer die Anfrage wurde zuerst von einem Nameserver bearbeitet...
Es geht darum, dass wir in letzter Zeit massive (D)DOS Probleme haben, und und ein Service von CloudFlare zur Verfügung stllen lassen wollen.
Diese bieten aber "nur" eine DNS bassierte DDOS Lösung an. Sobald ein Angreifer also über die IP-Adresse attaktiert, kommt er 1:1 zum Netzwerk durch.
Bin für jeden Vorschlag dankbar.
LG
Sebi
mal eine etwas andere Frage:
Wie würdet ihr es lösen, wenn es heißt mal sollte den Netzwerkzugriff komplett sperren, außer die Anfrage wurde zuerst von einem Nameserver bearbeitet...
Es geht darum, dass wir in letzter Zeit massive (D)DOS Probleme haben, und und ein Service von CloudFlare zur Verfügung stllen lassen wollen.
Diese bieten aber "nur" eine DNS bassierte DDOS Lösung an. Sobald ein Angreifer also über die IP-Adresse attaktiert, kommt er 1:1 zum Netzwerk durch.
Bin für jeden Vorschlag dankbar.
LG
Sebi
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 304107
Url: https://administrator.de/forum/netzwerkzugriff-nur-ueber-domain-304107.html
Ausgedruckt am: 16.02.2025 um 22:02 Uhr
4 Kommentare
Neuester Kommentar
Hallo Sebi,
DDoS Angriffe auf was? Wie sieht eure Infrastruktur aus? Wäre es nicht sinnvoller mal komplett das Netzwerk ordentlich zu strukturieren?
VG
DDoS Angriffe auf was? Wie sieht eure Infrastruktur aus? Wäre es nicht sinnvoller mal komplett das Netzwerk ordentlich zu strukturieren?
VG
Hallo Sebi,
die Angriffe solltest du an der Firewall / am IDS abfangen. Erlaube nur die Zugriffe, die über CloudFlare kommen und fertig...
Beste Grüße!
Berthold
die Angriffe solltest du an der Firewall / am IDS abfangen. Erlaube nur die Zugriffe, die über CloudFlare kommen und fertig...
Beste Grüße!
Berthold
Hallo,
wenn die Server die Du hast direkt im Internet stehen und erreichbar sind kannst Du nur folgendes versuchen.
Ein LB/IDS/Proxy mus her (geclustert) über das sämtlicher Trafik an die Server dahinter verteilt wird.
In der Firewall der Backendserver müssen dann alle IP auser den IP vom LB geblockt werden.
Wenn ihr ein feste IP im Büro habt, dann darf die auch, der Rest vom Internet wird auf Drop gestellt für alle Ports (v4 und v6)
Das kann ein DDoS Versuch nicht verhindern aber er hat weniger Auswirkung auf den Dienst des Backendservers.
Der normale Trafik rein und raus geht nur über das vorgeschaltete System (muss entsprechend dimensioiert sein) .
Die IDS Server müssen natürlich auch so eingestellt sein, das nur Anfragen auf die Ports der entsprechenden Dienste reagiert wird und alles andere Drop.
Gruß
Chonta
wenn die Server die Du hast direkt im Internet stehen und erreichbar sind kannst Du nur folgendes versuchen.
Ein LB/IDS/Proxy mus her (geclustert) über das sämtlicher Trafik an die Server dahinter verteilt wird.
In der Firewall der Backendserver müssen dann alle IP auser den IP vom LB geblockt werden.
Wenn ihr ein feste IP im Büro habt, dann darf die auch, der Rest vom Internet wird auf Drop gestellt für alle Ports (v4 und v6)
Das kann ein DDoS Versuch nicht verhindern aber er hat weniger Auswirkung auf den Dienst des Backendservers.
Der normale Trafik rein und raus geht nur über das vorgeschaltete System (muss entsprechend dimensioiert sein) .
Die IDS Server müssen natürlich auch so eingestellt sein, das nur Anfragen auf die Ports der entsprechenden Dienste reagiert wird und alles andere Drop.
Gruß
Chonta
Moin,
bei größeren Kunden kann sowas schon der Provider machen. Dann bleibt die Leitung frei. Einfach mal mit dem reden, wenn es kein Feld- Wald- und Wiesenanschluss ist. Wir hatten das vor ~15 Jahren schon öfter gemacht, als noch mit "popeligen Syn-Flood-Attacken" im Internet gespielt wurde.
Grüße, Henere
bei größeren Kunden kann sowas schon der Provider machen. Dann bleibt die Leitung frei. Einfach mal mit dem reden, wenn es kein Feld- Wald- und Wiesenanschluss ist. Wir hatten das vor ~15 Jahren schon öfter gemacht, als noch mit "popeligen Syn-Flood-Attacken" im Internet gespielt wurde.
Grüße, Henere
