Merci à tous pour vos réponses ! J'ai des réponses en off-liste aussi à lire (Commerce/Tek).
Exactement ! Comme le fais remarquer Charley, de notre côté nous avons plusieurs PoP (donc plusieurs routeurs !) de ce fait sur le pricing WanGuard cela monte très rapidement en € comparé à FNM ! C'est aussi un des points principaux qui me fait étudier de plus près la solution FastNetMon Advanced (avec l'avantage de pouvoir utiliser un petit script bash (ou autre) pour gérer des actions/évènements 🙂 ). Sébastien ________________________________ De : Charley SEDEAU <[email protected]> Envoyé : jeudi 9 janvier 2025 10:50 À : Sebastien FOURCADE <[email protected]> Cc : [email protected] <[email protected]> Objet : Re: [FRnOG] [TECH] FastNetMon vs Wanguard ? Hello, J'ai pas mal poncé ces deux solutions, donc my2cents : - WanGuard : La solution a fait ses preuves, y'a un dashboard web pour piloter, c'est sympa pour gérer les situations de crise plus facilement. En revanche le tarif devient vient disproportionné si tu as plusieurs routeurs (il te faut une licence pour chaque routeur qui collecte du flow), et il y a très peu d'évolutions ces dernières années (littéralement une mise à jour par an, en décembre de chaque année : https://www.andrisoft.com/blog/tag/Changelog). L'aspect support technique est pas très bon selon moi, la réponse habituelle c'est "notre outil gère pas ce type d'attaque, débrouillez vous" - FastNetMon : L'outil existe depuis un moment, mais la partie advanced avec de la "vrai" mitigation flowspec (et pas RTBH) est un peu plus récente. Une fois qu'on a maîtrisé la CLI et trouvé les bons réglages ça fonctionne assez bien. L'outil est beaucoup plus "ouvert" (tu peux taper la DB de stats et de flow facilement et automatiser via du script bash) que WanGuard. Il y a une interface graphique en beta-test de mémoire, mais pour l'instant c'est CLI-only. Coté support c'est beaucoup plus efficace, j'avais réussi à faire rajouter des features ou obtenir des bugfix en quelques jours (avec un build developer preview), et on peut facilement discuter avec leur communauté sur Telegram. L'outil est mis à jour beaucoup plus régulièrement : https://github.com/FastNetMon/fastnetmon-advanced-releases/releases En revanche les deux outils ont des limitations communes sur certains type d'attaques de plus en plus populaires : - Les attaques en carpet bomb (WanGuard était particulièrement mauvais sur le sujet, j'ai eu vent de consoles Wanguard qui ont planté en cours d'attaque car elles déclenchaient des dizaines d'anomalies sur chaque IP d'un /24 attaqué.. J'ai vu qu'ils viennent juste de sortir un truc à ce sujet, peut-être que ça règle le problème) - Les attaques en TCP (les deux peuvent te créer une règle qui drop tout le TCP SYN vers l'IP de ton client, ce qui d'un point de vue utilisateur revient à faire du blackhole et donc à "donner victoire" à l'attaquant) Ceci dit, même des gros acteurs ont des soucis sur le sujet (Arbor traite toujours très péniblement les attaques en Carpet..) Le pricing est aussi a prendre en compte, les modèles sont très différents : FastNetMon facture selon la taille de ton réseau (moyenne de bps vu) mais ne facture pas le nombre de routeurs WanGuard facture une licence de "collecteur sflow" par routeur et seule license de mitigation flowspec, mais s'en tape la taille de ton réseau L'un est plus avantageux si tu es un petit acteur avec peu de trafic mais plusieurs POP (et donc plusieurs petits routeurs) et l'autre est plus avantageux si tu as beaucoup de trafic sur peu de routeurs.. - Charley Le jeu. 9 janv. 2025 à 10:07, Sebastien FOURCADE <[email protected]<mailto:[email protected]>> a écrit : Bonjour à tous et meilleurs vœux pour cette nouvelle année ! Si on parlait anti DDoS ? Je suis en train de tester deux solutions anti DDoS, FastNetMon Advanced et Andrisoft Wanguard sur environnement CISCO (ASR - IOS XE Software). A l’heure actuelle je n’ai pas encore testé le coté mitigation FlowSpec, juste de la simple détection couplé à BGP BlackHole remontant vers les transitaires pour exploiter une communauté pour null-route les /32. Il faut pour cela que le ou les transitaires gèrent les communautés BGP (!), sinon RTBH tombe à l’eau ! J'envisage de partir sur un déploiement FlowSpec, on conservera tout de même la possibilité de faire du RTBH (à réfléchir). Sur mes premiers tests, j’ai tout de même un très gros penchant pour FasNetMon Advanced, Wanguard j’ai trouvé plus compliqué/lourd à déployer et me suis donc plus focalisé sur le premier… * j'ai plutôt apprécié l'interface Grafana. Il sera possible de pouvoir (je pense) créer des graphs personnalisés pour faire de beau dashboard ! * l'installation du collecteur FNM + NetFlow + Dashboard est simple/rapide comparé à Wanguard * il n'a pas "besoin" d'une bête de course comme machine (j'utilise 2 x Xeon X5675 / 32Gb RAM / Raid 1 SSD 400G) * la configuration via la CLI est simple, pas de fichier de conf à modifier à la main ( il faut impérativement potasser le doc en ligne des commandes CLI...) Le point le plus déstabilisant est la bonne configuration des valeurs thresholds et traffic_rule qui est la pierre angulaire du bon fonctionnement de la solution (quelle qu'elle soit de manière générale). Rien de transcendant sur mes tests, utilisation de HPING3 et Slowhttptest vers une machine cible pour création d'anomalies. D'après les tests effectués avec Slowhttptest, FastNetMon n'est pas capable d'examiner les entêtes L3 donc pas de détections... Parmi vous qui utilise une de ces solutions et quels sont vos retours et avis de production ? Pas la peine de me dire d'aller vers ARBOR je n'ai pas le budget :p Je suis plutôt le type de client FNM/Wanguard ou solution de même type. Je profite également de l’occasion car je vais être amené à prendre une prestation d’accompagnement pour le déploiement final de la solution anti DDoS. Si d’ores et déjà cela est dans vos cordes, n’hésitez pas à me faire un retour en privé pour affiner ensemble le sujet presta. Bonne journée ! Sébastien --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/ --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
