iT邦幫忙

1

關於個人建站的資安配置問題

  • 分享至 

  • xImage

由於目前受到UDP攻擊 同時在監測的過程也發現CHARGEN服務 19端口 與 NTP服務 123端口的放大攻擊,導致目前個人網路是完全癱瘓,連自己想上網都很難,都要在六個固定IP中選擇他沒攻擊的那個IP來進行上網,對方的攻擊流量非常低,但還是能癱瘓網路,一般流量都在20~200M,最高到700~900M,小弟的線路是1G/600M,目前即便是網站都已經關閉,對方還是沒停手,基本上就是很針對性的惡作劇攻擊,昨天到今天是整整超過10多個小時,他都沒停,我把網卡打開馬上就崩潰,監測到一堆海外IP連入,已經向中華電信申請固定IP變動。

在變動完成後會有新的固定IP地址,也因為這次的事件有了學習資安的迫切想法,目前很多大大都是建議防範惡意攻擊的原則是"決戰境外"這個概念,但由於本身只是個人興趣所致而接觸建站,並不是企業商用型需求,所以預算有限的情況下,小弟不知道該如何去建構基礎的網路安全。

目前想到的是先購置了一台FORTIGATE防火牆來進行最基本的個人電腦保護,但是即便有防火牆,當有心人士想要進行攻擊,依然會癱瘓我的網路頻寬我服務器,所以想請教高手能夠給予在較低預算一個月1萬以內的情況下,【如何建構最簡單最省的建站安全配置,在自身網路條件為1G寬帶下】,"進行防禦1G以下的惡意攻擊"。

目前有執行的如下:
1.購買防火牆設備(還沒到貨)
2.購買VPN,想透過VPN做一個跳板來提供外部訪問伺服器
3.由於清洗流量這種服務實在負擔不起,也有看了中華的資安艦隊,但價格不透明,無法判斷方案需求與預算拿捏,是否有推薦的類似服務,想要在上游就先BLOCK台灣以外的所有國家IP訪問伺服器,只允許台灣IP進行訪問,或者透過 黑白名單來控管,這樣或許可以做到防範的效果???

額外問題:
我不太清楚他這種攻擊量算什麼等級,但假設用基本的防火牆設備來進行阻絕,是否可以防範類似的攻擊,就是1G以下的這種惡意攻擊,如果阻絕掉相關連入的IP位置 與 端口,就能夠防範嗎? 還是依然會被塞爆

希望有高人可以給予個人建站的一些基本資安建議,如果沒有錢就不能做的話,那真的只能放棄

mathewkl iT邦高手 1 級 ‧ 2023-01-10 11:52:58 檢舉
退掉防火牆,FG防火牆無法阻擋DoS,被洪水攻擊一樣網路不通,防火牆為了對應DoS會滿載運作卡到其他功能。
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中
5
Ray
iT邦大神 1 級 ‧ 2023-01-09 23:12:19

Cloudflare CDN, Free 方案 (=免錢), 結案.
(Free 已經可以做到: 國家 IP 管制+Anti-Flooding)

不要相信甚麼資安艦隊, 她的報表都是空白, 該擋的沒擋到, 不該擋的擋一堆.

願意投資防火牆吸取經驗, 當然也不反對; 但針對這個狀況, 我並不看好他能解決.

看更多先前的回應...收起先前的回應...

感謝R大給的建議,立馬去看Cloudflare 0.0,目前能想到最簡單的方式就是先阻絕國家IP訪問與設置黑白名單,這樣或許可以阻隔掉一些單純惡作劇的小型攻擊,畢竟我這種小小小咖,也不可能會有大型攻擊目標找上我,只要能杜絕小攻擊就滿足

Ray iT邦大神 1 級 ‧ 2023-01-09 23:51:31 檢舉

歡迎後續補充心得 (好壞都可以聊), 當然如果買了防火牆也可以交流看看

感謝R大,昨天已經註冊了CLOUDFLARE,並且也購買了他們的域名,有再他們的免費服務系統中,設置了只允許台灣IP通過的防火牆規則,還有針對HTTP的DDOS防護設置,其次是思考到自身實體IP的安全性,所以也有購買VPN連線,因為總結上次被攻擊的原因,還是因為IP裸露導致攻擊者直接對我的實體IP進行了UDP 與 NTP 攻擊,假如能做到隱藏IP,至少可以把攻擊擋在外面,當然如果遇到真的厲害的高手,肯定還是沒用,不過高手也不會來找我~_~ 這次感覺真的是遇到純粹惡作劇的個人攻擊者,另外決戰境外的概念,我越想越覺得,在我的個人電腦前端搭建防火牆似乎對洪流攻擊作用不大,因為即便防火牆設定了阻擋規則,假設我設定禁止所有的UDP訪問,但攻擊手依然可以阻塞我的網路吧?? 如同R大說的球場理論,雖然我不賣票不給進場,但是場外塞爆了也會影響真正買票要進場的客人動線,是這樣的邏輯嗎??

mathewkl iT邦高手 1 級 ‧ 2023-01-10 15:52:45 檢舉

就算不允許連線但一直DENY也會耗盡設備(router/防火牆)效能,只能變更IP然後只允許CloudFlare連線新IP存取網站,這樣最多癱瘓的就只有CloudFlare那端,但你的設備和網路是正常的

恩 我後來也是這麼覺得,但已經訂購了就算了,或許未來會用上,也可以做個雙WAN的備援,因為我現在的目標是抵擋個人等級的惡作劇攻擊,可能有些壞孩子,自己往上亂抓工具,或者手上有幾台肉雞,就發動的較低流量的攻擊,至少不至於連這樣都防不住,當節省成本的條件下遇上超出我頻寬等級的攻擊,我也是認了,假設我真的遇到這種攻擊,也說明我的網站或伺服器應該有點價值內容~_~ 否則哪個黑客無聊用一堆肉雞打我一個沒價值的目標,讓他打一個月 我最多用手機上網,他什麼也得不到

為什麼要購買呢?免費的方案已經包括L7的DDoS防護,還有很多功能,依照您提的需求感覺已經夠用了

1
jazo42
iT邦新手 5 級 ‧ 2023-01-10 09:15:49

目前想到的是先購置了一台FORTIGATE防火牆來進行最基本的個人電腦保護<---很好奇你做了那些防護,我每到一個新環境,防火牆的阻攔以及防堵機制大約都要花個幾天的時間調整,因為型號不同可以攔阻的程度也不一樣

如同上述我所說的,"目前想到",僅僅是想,但並未實際執行,不過也確實購買了一台FORTIGATE 50E,由於目標是阻擋一些個人惡作劇的攻擊,流量並不是太大的攻擊,基於上次裸露IP後被攻擊的經驗,我的想法是先使用VPN或域名隱藏真實IP,我已經聽從R大的建議,使用CLOUDFLARE的免費服務,同時也購買了域名,在域名管理的部分設定了只允許台灣IP進行訪問的規則,其次是在自己的個人電腦部分,前端搭建FORTIGATE防火牆進行黑白名單的設置,小烏龜->防火牆->交換器->個個電腦分配內網IP,並使用端口映射,同時防火牆規則禁止所有UDP連線,因為我還是菜鳥,所以能理解的很有限,很多東西還要繼續學習操作,有實戰經驗或許未來會有更好的理解來設定,因為也才剛接觸兩個月左右,所以沒有太多實際經驗。

0
mytiny
iT邦超人 1 級 ‧ 2023-01-11 18:45:52

樓主的這個CASE引起了在下的興趣
原本已經不常來此版公開回覆
(主要只收私訊)

先說說這個CASE如果用Fortigate(以下簡稱FGT)能作什麼吧
如果樓主及各位先進不同意,則以各位意見為準

  1. FGT可以很好的分析進出的流量,特別是可以分析網頁加密流量
  2. 對外的內容層配合FAZ-VM(免費),可以得到IoC資料庫回應,偕同FGT自動化功能封鎖惡意IP
  3. 來攻擊的IPS原本就可以做自動封鎖IP,鎖多久看樓主高興
  4. DDoS可以限制來源國家,同時可以做到超量多少即自動鎖來源IP,鎖多久看樓主
  5. 政策裡可以限制來訪人,事,時,地,物,必要時同時加認證功能
  6. FGT提供兩支免費Token,可以做2FA,也可以做SAML
  7. FGT提供WAF功能,雖然不強(VPN也免費,但覺在此無用武之地)
  8. FGT可以提供對外SD-WAN,對內SLB

在下明白很多人用過FGT,但其實對功能不甚了解
樓主名詞不知可以谷哥,做法可以找手冊
以上在下均有實做,大致是用60F,OS7009,FAZ-VM7.03
二手、免費、無UTM應該做不全上述作用
在下不推薦決戰境外,較在意攘外必先安內
CDN或許是個辦法卻不能斷絕威脅
另外EDR/MDR或許是近期比較夯的選擇

看更多先前的回應...收起先前的回應...
Kert iT邦研究生 5 級 ‧ 2023-01-12 07:36:02 檢舉

DDOS 對方肉雞發起連接數量等級,決定我方設備等級,甚至為了網站能正常,不惜購買頻寬跟對方對決

rb1102 iT邦研究生 2 級 ‧ 2023-01-13 15:54:33 檢舉

FortiAnalyzer免費嗎!?

感謝提供,很久沒上了,後來是在中間做VPS轉發 及 CF的域名CDN 來隱藏IP,FGT我當初看中的就是他的監控面板,不過實際上只要流量打進我的主服務器,基本上都沒救了,只能分析 但就僅是分析作用,不管什麼防火牆規則,攻擊一進來直接中斷所有服務,DDOS真是噁心

mytiny iT邦超人 1 級 ‧ 2024-03-26 09:43:21 檢舉

在下實戰FGT多年,算有些心得吧
很多人其實僅使用fortigate很少的功能
以樓主的情況就有好幾種方法可解決所謂"流量打進主服務器"
下述方法任一種均可起到作用
1.架構上採用virtual wire pair
2.採用DDoS自動封鎖功能
3.建置ipv4存取控制清單
以上這些都是有效且無須額外採購授權的方法
需要熟FGT技術,但看到的就賺到了

最後建議樓主還是不要買二手設備為宜
這樣完全得不到技術與知識
設備其次,技術經驗與服務才是最重要

0
re.Zero
iT邦研究生 5 級 ‧ 2023-01-11 19:55:36

就你在 詢問關於DDOS特徵判斷 內所述「小弟也是剛接觸架站不久,正在學習架設網站,目前僅僅是使用個人電腦來學習與架設」的背景,
還有你在 這裡 的回應「當我一台切換一個IP位置後,就完全好了,一直到過好幾個小時,才又受到攻擊,但同時另一個IP位置又好了」之狀況而言,
我「猜測」(畢竟你提供的背景資訊不足,所以用猜的~),你的系統(OS, OS Firewall 等)或服務(Web Sv, SSH Sv 等)的資安相關設定沒適當設定,導致攻方在掃網路時掃到你的系統反應裡有看似可利用的反應而開始嘗試攻擊(搞不好還不只一個攻方,而是一堆攻方掃到而大家開同樂會)。
(自動掃網路、自動攻擊是很常見的事情,畢竟攻方掃到弱點所能得到的 投機/博弈 利益可說是相當吸引人。)
你最好先檢閱你的系統與服務在資安方面的資料,建立好相關的組態。(雖說,建立好後你還會遇上一些問題,但這是完善網路資安環境的必經之路~)
另,請不要想說有防火牆就都丟給防火牆就好,系統或服務(甚至網路等)的資安就放著不管;當你遇上穿越防火牆漏洞(或是根本光明正大的正規手段)而接觸系統或服務的攻方時就會變成星火燎原喔~

我要發表回答

立即登入回答