OVH et Firewall Cisco ASDM

Après la dernière attaque DoS, j’ai décidé d’équiper le serveur d’un Firewall.
Pour ceux que cela interresse, voici un aperçu des possibilités du pare-feu.
(Plus globalement sur la protection DoS offerte par OVH, se reporter au lien : http://www.malekal.com/2013/09/15/attaques-dos-et-anti-dos-ovh/ ).

Le pare-feu est placé entre le routeur et le serveur dédié : http://www.ovh.com/fr/serveurs_dedies/firewall_serveurs_dedies.xml

L’équipe d’OVH installe le pare-feu et l’active, par défaut, il est configuré pour tout laisser passer.
Le pare-feu peut être désactivé depuis le manager pour revenir à une connexion classique routeur => serveur dédié.

Cisco_OVH_schema
La connexion au pare-feu se fait par HTTPs.
Soit on charge une applet JAVA, soit on peut installer un utilitaire sur son PC qui lui aussi est en JAVA.
Cisco_OVH

Cisco_OVH2

Le panel avec l’utilisation CPU du pare-feu et le trafic.
Cisco_OVH3

Le panel du pare-feu avec le nombre de connexions, les paquets droppés et les détections de scans/DoS.
Cisco_OVH4

La configuration du pare-feu : avec la configuration des interfaces, routes et de l’horloge :
Cisco_OVH5
La configuration des règles du Pare-feu avec les règles appliquées, la configuration du NAT, la configuration du filtrage URL, la détection des attaques (DoS et scans).

Le pare-feu est capable de bloquer la connexion à des URLs, applets Java/Activex, si ce dernier est utilisé comme filtrage pour un LAN.
Par défaut, le pare-feu utilise une base de filtrage de Websence mais il est possible d’ajouter ses propres URLs ou d’ajouter d’autres serveurs de filtrage.
Voir :
http://www.cisco.com/en/US/docs/security/asa/asa84/asdm64/configuration_guide/access_filter.html
http://community.spiceworks.com/how_to/show/2149-url-filtering-on-asa-firewalls
Cisco_OVH6

La configuration des accès, du logging (il est possible d’uploader les logs sur un serveur FTP ou les envoyer par mail), mises à jour, certificats etc..
Cisco_OVH8
Les Options avancées :
Cisco_OVH9

Exemple de règles de filtrage

Ci-dessous des exemples de règles de filtrage :

Cisco_OVH10

Le téléchargement est bloqué car la connexion n’est pas autorisée :
Cisco_OVH11

On voit le filtrage dans les logs :
Cisco_OVH12

Stress Test

J’ai fait un test d’attaque avec deux machines différentes avec le programme slowhttptest  : http://code.google.com/p/slowhttptest/

Les logs Apache :

Cisco_OVH_DoS_attack3
On peut voir en haut une montée des connexions qui baissent au moment où le firewall se met à bloquer les paquets :
Cisco_OVH_DoS_attack4

Exemple de logs avec les drop rate-1 exceeded :

Cisco_OVH_DoS_attack2
Ce qui est pas mal, c’est que le pare-feu se trouve entre le routeur et le serveur dédié.
Parfois le filtrage sur une IP avec Netfilter nécessite de redémarrer Apache, ce qui est super galère en cas d’attaque DoS.
D’autre part, ça permet aussi de répartir la charge CPU.

Reste à voir ce que cela donne avec un “vrai” DoS.

EDIT – Attaque type SlowLoris

Un exemple sur une attaque de type SlowLoris qui sont des attaques HTTP. Le Firewall étant un firewall ne bloque pas ces attaques automatiquement néanmoins, on peut faire un système qui remonte les ip détectées dans l’attaque aux firewall ASA : http://forum.malekal.com/dos-attaque-type-slowloris-t50729.html

Plus globalement sur les attaques DoS, se reporter à ce lien : http://www.malekal.com/2013/09/15/attaques-dos-et-anti-dos-ovh/

(Visité 655 fois, 1 visites ce jour)

Vous pouvez aussi lire...

Vous pouvez lire les articles et tutoriels suivants en rapport avec cette page :
Firewall Windows les bon réglagesFirewall Windows les bon réglages

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com