We are in the process of migrating this forum. A new space will be available soon. We are sorry for the inconvenience.

Cisco ASA Firewall


Server4pro
28.10.15, 14:06
Kontrollier Mal ob der permanente Schutz angeschalten ist bei den IP's.
Da der Server nur kurz down ist tippe ich Mal auf automatisch. Das System braucht nunmal etwas Zeit um den Angriff zu erkennen und den Traffic über die Protection routen zu lassen. Mit der Option permanent an geht der Traffic immer über die Protection.

Gruss

_DS_
16.10.15, 23:23
Weil man gegen die UDP Angriffe nicht so einfach Filtermethoden entwickeln kann wie gegen TCP Angriffe. Bei TCP Angriffen hat der Angreifer beschränktere Möglichkeiten als bei UDP Angriffen, das liegt einfach in der Natur von TCP und der Tatsache dass UDP verbindungslos ist.

Es wird dir kein Anbieter einen DDoS Schutz bieten können, der auf alle Bedrohungen durch UDP Angriffe reagieren kann. Dies ganz einfach weil für jeden Dienst der auf dem Server läuft, eigene Regeln und eigenen Schutz braucht und zwar noch spezifischer als bei TCP Diensten. Das hat OVH mit der Game Reihe versucht und meiner Meinung nach auch gut hinbekommen. Bei der Game Reihe muss man auch angeben, was für ein Protokoll/Dienst auf den entsprechenden Ports läuft, damit entsprechende Regeln aktiviert werden können. Dies erfordert zusätzliche Hardware vor den Servern und das ist der Grund, weshalb OVH diesen Schutz nur den Kunden bietet, die dafür bezahlen. Sieht man auch an den Preisen den Game Server.

Edit:
Siehe auch https://www.ovh.de/anti-ddos/anti-ddos-game.xml

maxpower99
16.10.15, 23:01
Zitat Zitat von _DS_
Die Server der GAME Reihe haben spezielle UDP Filter, auch für Teamspeak. Gute Erfahrungen mit der Linie gemacht.
Ich frage mich wieso nicht alle Server einen spezielle UDP Filter haben ?

_DS_
13.10.15, 13:00
Die Server der GAME Reihe haben spezielle UDP Filter, auch für Teamspeak. Gute Erfahrungen mit der Linie gemacht.

J-B
13.10.15, 10:41
Frag doch bei OVH an ob du nicht ein 10 Gbit/s Anschluss bekommen kannst, gegen Bezahlung.

SpokY
13.10.15, 10:01
Genau so ist es, bei vielen DDoS-Opfern wird auf den Teamspeak geschossen oder andere UDP Anwendungen, diese Ports müssen auf sein.
Dachte mir schon das wir eventuell dafür auch keine alternative finden, dann werden wir uns etwas anderes überlegen müssen.

J-B
13.10.15, 08:26
Die Frage ist viel mehr welche Art von DDoS du bekommst? Den UDP kannst du ja auch auf der OVH Firewall blockieren. Aber vermutlich bekommst du eine DDoS auf einen offenen Port wo du UDP benötigst. Und da wird dir die ASA auch nicht helfen.

SpokY
13.10.15, 08:06
Hallo,

da wir immer wieder Probleme mit der DDoS-Protection haben bei OVH (vorallem was das UDP-Protokoll angeht) und es immer wieder dazuführt das komplette Hostsysteme für mehrere Minuten Ausfälle haben, wollten wir eventuell die CISCO ASA Firewall dazubuchen, nun meine Frage verwendet die jemand von euch und wie effektiv ist diese? und gegen welche Protokolle?

Diese Versionen gibt es:

Wählen Sie die gewünschte Cisco ASA Firewall aus:
Cisco ASA 5505 15.97 € / Monat
+125.21 € (Einrichtungsgebühr Firewall)

Cisco ASA 5510 129.00 € / Monat
+499.00 € (Einrichtungsgebühr Firewall ASA 5510)

Cisco ASA 5520 252.10 € / Monat
+1000.00 € (Einrichtungsgebühr Firewall ASA 5520)

Wir schwanken zwischen 5505 und 5510, jenachdem ob es sich rentiert... daher wollte ich mal nachfragen ob jemand dort Erfahrungen gemacht hat.

Viele Grüße