Bonjour à tous et meilleurs vœux pour cette nouvelle année ! Si on parlait anti DDoS ?
Je suis en train de tester deux solutions anti DDoS, FastNetMon Advanced et Andrisoft Wanguard sur environnement CISCO (ASR - IOS XE Software). A l’heure actuelle je n’ai pas encore testé le coté mitigation FlowSpec, juste de la simple détection couplé à BGP BlackHole remontant vers les transitaires pour exploiter une communauté pour null-route les /32. Il faut pour cela que le ou les transitaires gèrent les communautés BGP (!), sinon RTBH tombe à l’eau ! J'envisage de partir sur un déploiement FlowSpec, on conservera tout de même la possibilité de faire du RTBH (à réfléchir). Sur mes premiers tests, j’ai tout de même un très gros penchant pour FasNetMon Advanced, Wanguard j’ai trouvé plus compliqué/lourd à déployer et me suis donc plus focalisé sur le premier… * j'ai plutôt apprécié l'interface Grafana. Il sera possible de pouvoir (je pense) créer des graphs personnalisés pour faire de beau dashboard ! * l'installation du collecteur FNM + NetFlow + Dashboard est simple/rapide comparé à Wanguard * il n'a pas "besoin" d'une bête de course comme machine (j'utilise 2 x Xeon X5675 / 32Gb RAM / Raid 1 SSD 400G) * la configuration via la CLI est simple, pas de fichier de conf à modifier à la main ( il faut impérativement potasser le doc en ligne des commandes CLI...) Le point le plus déstabilisant est la bonne configuration des valeurs thresholds et traffic_rule qui est la pierre angulaire du bon fonctionnement de la solution (quelle qu'elle soit de manière générale). Rien de transcendant sur mes tests, utilisation de HPING3 et Slowhttptest vers une machine cible pour création d'anomalies. D'après les tests effectués avec Slowhttptest, FastNetMon n'est pas capable d'examiner les entêtes L3 donc pas de détections... Parmi vous qui utilise une de ces solutions et quels sont vos retours et avis de production ? Pas la peine de me dire d'aller vers ARBOR je n'ai pas le budget :p Je suis plutôt le type de client FNM/Wanguard ou solution de même type. Je profite également de l’occasion car je vais être amené à prendre une prestation d’accompagnement pour le déploiement final de la solution anti DDoS. Si d’ores et déjà cela est dans vos cordes, n’hésitez pas à me faire un retour en privé pour affiner ensemble le sujet presta. Bonne journée ! Sébastien --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
