Bonjour, J'ai tester les deux solutions pas plus tard qu'il y a quelques mois sur exactement le même environnement.
Personnellement, je préfère WANguard. Interface GUI pas trop mal pour prendre des décisions de masse, voire les activités en cours, faire des graphs et des stats. Configuration plus "poussé" que FNM, sur certains filtres et décodeurs. (Plus de décodeurs, possibilité de mettre des seuils par IP et Subnet, ...) J'aime beaucoup le filtre basé sur iptables qui permet de filtrer "la petite merde" J'alimente les sensors via NetFlow v9. Ensuite, je flowspec redirect pour la diversion sur la machine de filtrage Ensuite, je mitige en flowspec drop si attaque moderé Enfin, je "RTBH" si attaque importante. Agréable journée, -- Gary > -----Message d'origine----- > De : [email protected] <[email protected]> De la part de > Sebastien FOURCADE > Envoyé : jeudi 9 janvier 2025 10:06 > À : [email protected] > Objet : [FRnOG] [TECH] FastNetMon vs Wanguard ? > > Bonjour à tous et meilleurs vœux pour cette nouvelle année ! > > Si on parlait anti DDoS ? > > Je suis en train de tester deux solutions anti DDoS, FastNetMon Advanced et > Andrisoft Wanguard sur environnement CISCO (ASR - IOS XE Software). > > A l’heure actuelle je n’ai pas encore testé le coté mitigation FlowSpec, > juste de > la simple détection couplé à BGP BlackHole remontant vers les transitaires > pour > exploiter une communauté pour null-route les /32. > > Il faut pour cela que le ou les transitaires gèrent les communautés BGP (!), > sinon > RTBH tombe à l’eau ! > J'envisage de partir sur un déploiement FlowSpec, on conservera tout de même > la possibilité de faire du RTBH (à réfléchir). > > Sur mes premiers tests, j’ai tout de même un très gros penchant pour > FasNetMon Advanced, Wanguard j’ai trouvé plus compliqué/lourd à déployer et > me suis donc plus focalisé sur le premier… > > * > j'ai plutôt apprécié l'interface Grafana. Il sera possible de pouvoir (je > pense) > créer des graphs personnalisés pour faire de beau dashboard ! > * > l'installation du collecteur FNM + NetFlow + Dashboard est simple/rapide > comparé à Wanguard > * > il n'a pas "besoin" d'une bête de course comme machine (j'utilise 2 x Xeon > X5675 > / 32Gb RAM / Raid 1 SSD 400G) > * > la configuration via la CLI est simple, pas de fichier de conf à modifier à > la main ( > il faut impérativement potasser le doc en ligne des commandes CLI...) > > Le point le plus déstabilisant est la bonne configuration des valeurs > thresholds et > traffic_rule qui est la pierre angulaire du bon fonctionnement de la solution > (quelle qu'elle soit de manière générale). > > Rien de transcendant sur mes tests, utilisation de HPING3 et Slowhttptest vers > une machine cible pour création d'anomalies. > D'après les tests effectués avec Slowhttptest, FastNetMon n'est pas capable > d'examiner les entêtes L3 donc pas de détections... > > Parmi vous qui utilise une de ces solutions et quels sont vos retours et avis > de > production ? > Pas la peine de me dire d'aller vers ARBOR je n'ai pas le budget :p Je suis > plutôt le > type de client FNM/Wanguard ou solution de même type. > > Je profite également de l’occasion car je vais être amené à prendre une > prestation d’accompagnement pour le déploiement final de la solution anti > DDoS. > Si d’ores et déjà cela est dans vos cordes, n’hésitez pas à me faire un > retour en > privé pour affiner ensemble le sujet presta. > > Bonne journée ! > Sébastien > > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
