Effectiveness of Astaro v5 against DDoS

As the man said above, your pipes will be the first issue to address. So the trick will be to quickly ramp up with more pipe; a strategic alliance with a major ISP is one thing to look at.

Let's say the saturation you're talking about will not consume the pipe; then it will depend upon if you're using the proxies. That will steal cycles from the firewalling tasks.

It has been found that SMTP packet saturation can cause the Exim agent in Astaro to cannabalize packetfiltering processes (we're talking a lot of packets here...). If you don't need the inbound SMTP over the exposed interface, you can do the classic screening bridgehead router trick (done with overpriced firewalls too, I might add...): a cheap router outside the external interface with an ACL blocking 25. The cheap router handles stuff like packet fragments, teardrops, ports you don't want, and whatnot, and the firewall concentrates on network session state for ports you do want.

Also, if you don't need inbound SMTP and you're Linux fluent, you can go under the hood and shut off the Exim agent.

If you know a Linux guru (they are getting more prevalent these days, no?), tweaking of /proc/net parameters can help things along. One technique of DOS attack is to have the attack agents upon a session on an open port (for example http, if you're web hosting), then sit there and don't follow through fast on the session. Thise session initiations in quick succession steals resources. So you can tweak the tcp settings to be less tolerant of that, but that could backfire if some of your audience is coming over slow dialup connections (their sessions will be dropping with less tolerant settings). That's a judgement call based on your knowledge of the network audience you are serving.

There are two other techniques for managing DDOS attacks: one is to have multiple servers and feed back to DNS what server should be used. Such technology is quite pricey. Another is to look for 'signatures' in the attack patterns and adapt to them judicioulsy with router screening.

Again, rather than doing it yourself, you might find these products and expertise at an ISP. I rarely find it wise to be hosting a server that will be heavily visited in your own shop, unless you've got bucks for the pipe and anti-DOS tools and staff with expertise for handling it.

But maybe you have other considerations.

The fact that Astaro is a adaptable, I think it's a wise tool to add to your security toolkit.

[ QUOTE ]
As the man said above, your pipes will be the first issue to address. So the trick will be to quickly ramp up with more pipe; a strategic alliance with a major ISP is one thing to look at.

Let's say the saturation you're talking about will not consume the pipe; then it will depend upon if you're using the proxies. That will steal cycles from the firewalling tasks.

It has been found that SMTP packet saturation can cause the Exim agent in Astaro to cannabalize packetfiltering processes (we're talking a lot of packets here...). If you don't need the inbound SMTP over the exposed interface, you can do the classic screening bridgehead router trick (done with overpriced firewalls too, I might add...): a cheap router outside the external interface with an ACL blocking 25. The cheap router handles stuff like packet fragments, teardrops, ports you don't want, and whatnot, and the firewall concentrates on network session state for ports you do want.

Also, if you don't need inbound SMTP and you're Linux fluent, you can go under the hood and shut off the Exim agent.

If you know a Linux guru (they are getting more prevalent these days, no?), tweaking of /proc/net parameters can help things along. One technique of DOS attack is to have the attack agents upon a session on an open port (for example http, if you're web hosting), then sit there and don't follow through fast on the session. Thise session initiations in quick succession steals resources. So you can tweak the tcp settings to be less tolerant of that, but that could backfire if some of your audience is coming over slow dialup connections (their sessions will be dropping with less tolerant settings). That's a judgement call based on your knowledge of the network audience you are serving.

There are two other techniques for managing DDOS attacks: one is to have multiple servers and feed back to DNS what server should be used. Such technology is quite pricey. Another is to look for 'signatures' in the attack patterns and adapt to them judicioulsy with router screening.

Again, rather than doing it yourself, you might find these products and expertise at an ISP. I rarely find it wise to be hosting a server that will be heavily visited in your own shop, unless you've got bucks for the pipe and anti-DOS tools and staff with expertise for handling it.

But maybe you have other considerations.

The fact that Astaro is a adaptable, I think it's a wise tool to add to your security toolkit.


 

[/ QUOTE ]

I hold significant experience in BSD based OS's, but thats not truely relavant since were dealing with a Linux variant here. It should, however, reflect that I have a basic understanding of the concepts involved with such implementations:

Thanks for the detailed response. This is a fairly large network which is already located within a carriers facility and has a full GigE at its disposal. SMTP is a must (although such traffic is not expected to be heavy, perhaps we could give SMTP a low QoS?), and our rules must be rather generic, yet very effective as we are hosting scores of servers for a wide variety of purposes, not just a couple of web servers at the response implies.

A router is currently being placed at the core to auto-null route any attacks of unacceptable traffic level. Anything 

well then..given a gig cpu or more and 512 megs of ram or more and a large hdd(for handling the logs) astaro v4 will handle things just fine..[:)]

v4? My reseller is pushing me torward v5. Is there a reason why I should not use the newer version? My understand is that v4 lacks necessary DDoS mitigation features?

Thanks.

I meant v5..but i would use v4 as v5 has some problems yet ot be ironed out such as http proxy issues and pop3 proxy issues.  Beofre paying hte licnesing fees for v5 i would download hte 30 fully functional evaluation and test it to make sure it runs correctly for your environment.

HTTP/POP3 proxy stuff shouldnt matter as long as I have that disabled, correct?

HTTP/POP3 proxy stuff shouldnt matter as long as I have that disabled, correct?

 correct..from what i have seen in my evaluations the firewall portion works just fine..dns proxy and dhcp server also work fine..[:)]

HI there all, 

if you enable the Synrat limiter in the Packetfilter Advanced section (default on) the firewall das DOS protection.
If the packets try to establish more connection than 100 per second, the firewall it drop those packets.
The firewall tries to determine which host is under attack and only filter packets for that hosts in order to not prevent other servers from being affected by this denial of service,

This helps to protect servers behind the firewall. 

This is a new feature introduced in ASL V5.

Hope that helps, 
regards
Gert