Hello, J'ai pas mal poncé ces deux solutions, donc my2cents :
- WanGuard : La solution a fait ses preuves, y'a un dashboard web pour piloter, c'est sympa pour gérer les situations de crise plus facilement. En revanche le tarif devient vient disproportionné si tu as plusieurs routeurs (il te faut une licence pour chaque routeur qui collecte du flow), et il y a très peu d'évolutions ces dernières années (littéralement une mise à jour par an, en décembre de chaque année : https://www.andrisoft.com/blog/tag/Changelog). L'aspect support technique est pas très bon selon moi, la réponse habituelle c'est "notre outil gère pas ce type d'attaque, débrouillez vous" - FastNetMon : L'outil existe depuis un moment, mais la partie advanced avec de la "vrai" mitigation flowspec (et pas RTBH) est un peu plus récente. Une fois qu'on a maîtrisé la CLI et trouvé les bons réglages ça fonctionne assez bien. L'outil est beaucoup plus "ouvert" (tu peux taper la DB de stats et de flow facilement et automatiser via du script bash) que WanGuard. Il y a une interface graphique en beta-test de mémoire, mais pour l'instant c'est CLI-only. Coté support c'est beaucoup plus efficace, j'avais réussi à faire rajouter des features ou obtenir des bugfix en quelques jours (avec un build developer preview), et on peut facilement discuter avec leur communauté sur Telegram. L'outil est mis à jour beaucoup plus régulièrement : https://github.com/FastNetMon/fastnetmon-advanced-releases/releases En revanche les deux outils ont des limitations communes sur certains type d'attaques de plus en plus populaires : - Les attaques en carpet bomb (WanGuard était particulièrement mauvais sur le sujet, j'ai eu vent de consoles Wanguard qui ont planté en cours d'attaque car elles déclenchaient des dizaines d'anomalies sur chaque IP d'un /24 attaqué.. J'ai vu qu'ils viennent juste de sortir un truc à ce sujet, peut-être que ça règle le problème) - Les attaques en TCP (les deux peuvent te créer une règle qui drop tout le TCP SYN vers l'IP de ton client, ce qui d'un point de vue utilisateur revient à faire du blackhole et donc à "donner victoire" à l'attaquant) Ceci dit, même des gros acteurs ont des soucis sur le sujet (Arbor traite toujours très péniblement les attaques en Carpet..) Le pricing est aussi a prendre en compte, les modèles sont très différents : FastNetMon facture selon la taille de ton réseau (moyenne de bps vu) mais ne facture pas le nombre de routeurs WanGuard facture une licence de "collecteur sflow" par routeur et seule license de mitigation flowspec, mais s'en tape la taille de ton réseau L'un est plus avantageux si tu es un petit acteur avec peu de trafic mais plusieurs POP (et donc plusieurs petits routeurs) et l'autre est plus avantageux si tu as beaucoup de trafic sur peu de routeurs.. - Charley Le jeu. 9 janv. 2025 à 10:07, Sebastien FOURCADE <[email protected]> a écrit : > Bonjour à tous et meilleurs vœux pour cette nouvelle année ! > > Si on parlait anti DDoS ? > > Je suis en train de tester deux solutions anti DDoS, FastNetMon Advanced > et Andrisoft Wanguard sur environnement CISCO (ASR - IOS XE Software). > > A l’heure actuelle je n’ai pas encore testé le coté mitigation FlowSpec, > juste de la simple détection couplé à BGP BlackHole remontant vers les > transitaires pour exploiter une communauté pour null-route les /32. > > Il faut pour cela que le ou les transitaires gèrent les communautés BGP > (!), sinon RTBH tombe à l’eau ! > J'envisage de partir sur un déploiement FlowSpec, on conservera tout de > même la possibilité de faire du RTBH (à réfléchir). > > Sur mes premiers tests, j’ai tout de même un très gros penchant pour > FasNetMon Advanced, Wanguard j’ai trouvé plus compliqué/lourd à déployer et > me suis donc plus focalisé sur le premier… > > * > j'ai plutôt apprécié l'interface Grafana. Il sera possible de pouvoir (je > pense) créer des graphs personnalisés pour faire de beau dashboard ! > * > l'installation du collecteur FNM + NetFlow + Dashboard est simple/rapide > comparé à Wanguard > * > il n'a pas "besoin" d'une bête de course comme machine (j'utilise 2 x Xeon > X5675 / 32Gb RAM / Raid 1 SSD 400G) > * > la configuration via la CLI est simple, pas de fichier de conf à modifier > à la main ( il faut impérativement potasser le doc en ligne des commandes > CLI...) > > Le point le plus déstabilisant est la bonne configuration des valeurs > thresholds et traffic_rule qui est la pierre angulaire du bon > fonctionnement de la solution (quelle qu'elle soit de manière générale). > > Rien de transcendant sur mes tests, utilisation de HPING3 et Slowhttptest > vers une machine cible pour création d'anomalies. > D'après les tests effectués avec Slowhttptest, FastNetMon n'est pas > capable d'examiner les entêtes L3 donc pas de détections... > > Parmi vous qui utilise une de ces solutions et quels sont vos retours et > avis de production ? > Pas la peine de me dire d'aller vers ARBOR je n'ai pas le budget :p Je > suis plutôt le type de client FNM/Wanguard ou solution de même type. > > Je profite également de l’occasion car je vais être amené à prendre une > prestation d’accompagnement pour le déploiement final de la solution anti > DDoS. > Si d’ores et déjà cela est dans vos cordes, n’hésitez pas à me faire un > retour en privé pour affiner ensemble le sujet presta. > > Bonne journée ! > Sébastien > > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
