OVH et Firewall Cisco ASDM

Après la dernière attaque DoS, j’ai décidé d’équiper le serveur d’un Firewall.
Pour ceux que cela interresse, voici un aperçu des possibilités du pare-feu.
(Plus globalement sur la protection DoS offerte par OVH, se reporter au lien : http://www.malekal.com/2013/09/15/attaques-dos-et-anti-dos-ovh/ ).

Le pare-feu est placé entre le routeur et le serveur dédié : http://www.ovh.com/fr/serveurs_dedies/firewall_serveurs_dedies.xml

L’équipe d’OVH installe le pare-feu et l’active, par défaut, il est configuré pour tout laisser passer.
Le pare-feu peut être désactivé depuis le manager pour revenir à une connexion classique routeur => serveur dédié.

Cisco_OVH_schema
La connexion au pare-feu se fait par HTTPs.
Soit on charge une applet JAVA, soit on peut installer un utilitaire sur son PC qui lui aussi est en JAVA.
Cisco_OVH

Cisco_OVH2

Le panel avec l’utilisation CPU du pare-feu et le trafic.
Cisco_OVH3

Le panel du pare-feu avec le nombre de connexions, les paquets droppés et les détections de scans/DoS.
Cisco_OVH4

La configuration du pare-feu : avec la configuration des interfaces, routes et de l’horloge :
Cisco_OVH5
La configuration des règles du Pare-feu avec les règles appliquées, la configuration du NAT, la configuration du filtrage URL, la détection des attaques (DoS et scans).

Le pare-feu est capable de bloquer la connexion à des URLs, applets Java/Activex, si ce dernier est utilisé comme filtrage pour un LAN.
Par défaut, le pare-feu utilise une base de filtrage de Websence mais il est possible d’ajouter ses propres URLs ou d’ajouter d’autres serveurs de filtrage.
Voir :
http://www.cisco.com/en/US/docs/security/asa/asa84/asdm64/configuration_guide/access_filter.html
http://community.spiceworks.com/how_to/show/2149-url-filtering-on-asa-firewalls
Cisco_OVH6

La configuration des accès, du logging (il est possible d’uploader les logs sur un serveur FTP ou les envoyer par mail), mises à jour, certificats etc..
Cisco_OVH8
Les Options avancées :
Cisco_OVH9

Exemple de règles de filtrage

Ci-dessous des exemples de règles de filtrage :

Cisco_OVH10

Le téléchargement est bloqué car la connexion n’est pas autorisée :
Cisco_OVH11

On voit le filtrage dans les logs :
Cisco_OVH12

Stress Test

J’ai fait un test d’attaque avec deux machines différentes avec le programme slowhttptest  : http://code.google.com/p/slowhttptest/

Les logs Apache :

Cisco_OVH_DoS_attack3
On peut voir en haut une montée des connexions qui baissent au moment où le firewall se met à bloquer les paquets :
Cisco_OVH_DoS_attack4

Exemple de logs avec les drop rate-1 exceeded :

Cisco_OVH_DoS_attack2
Ce qui est pas mal, c’est que le pare-feu se trouve entre le routeur et le serveur dédié.
Parfois le filtrage sur une IP avec Netfilter nécessite de redémarrer Apache, ce qui est super galère en cas d’attaque DoS.
D’autre part, ça permet aussi de répartir la charge CPU.

Reste à voir ce que cela donne avec un « vrai » DoS.

EDIT – Attaque type SlowLoris

Un exemple sur une attaque de type SlowLoris qui sont des attaques HTTP. Le Firewall étant un firewall ne bloque pas ces attaques automatiquement néanmoins, on peut faire un système qui remonte les ip détectées dans l’attaque aux firewall ASA : http://forum.malekal.com/dos-attaque-type-slowloris-t50729.html

Plus globalement sur les attaques DoS, se reporter à ce lien : http://www.malekal.com/2013/09/15/attaques-dos-et-anti-dos-ovh/

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 323 times, 2 visits today)

4 thoughts on “OVH et Firewall Cisco ASDM

  1. Par curiosité, je voudrais bien savoir quel type de DoS tu as été la cible.
    D’expérience, contre un DoS, iptables est suffisant. Ou alors il s’agit peut être d’un d’un DDoS ?

  2. « Reste à voir ce que cela donne avec un « vrai » DoS »

    Le problème c’est qu’il y a DES vrais dos, ajouter un pare feu derrière le routeur c’est une bonne mesure, mais quand même très chère dans ton cas, si j’ai bien compris, ça fait du 39 euros par mois…

    A moins que ton chiffre d’affaires ne te prédispose au chantage, c’est probablement un lammer qui t’asticote (pour oublier son acnée), peut être que ça peut suffire.

  3. @Justin : oui, ça doit plus rentable que le site soit arrête une journée.
    Mais je voulais voir ce qu’offrait ce FW matériel. Je serai aussi curieux de voir ce que ça donne sur un « vrai » DoS.

    @Garf :
    Le dernier
    https://forum.malekal.com/download/file.php?id=7068
    https://forum.malekal.com/download/file.php?id=7067

    C’était le botnet (je pense que c’était un de leur Rat) des mecs qui ont hacké uptobox.

    Je bloquais les IPs avec IPList (1000/1500) – le problème c’est que quand tu en bloquais qquns, d’autres arrivaient et ainsi de suite.
    Le temps qu’iptables les bloquent, apache était dans les choux. De plus, pour que iptables les bloquent faut relancer le processus apache (surement pour qu’ils resent les connexions).

    Y a deux graphs, car le premier serveur plantait (plus de ressources, je pense). Le second arrivait à survivre 🙂

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *