La Fibre
Télécom => Réseau => 
Attaques informatiques => Discussion démarrée par: benoitc le 13 octobre 2020 à 17:57:06
-
vous utiliseriez quoi/qui en europe pour proteger l’acces a des services entreprises d’u ddos?
-
Bonjour,
Pas simple de répondre tellement les besoins et critères de choix peuvent être différents d'une entreprise à l'autre...
En ce qui me concerne, la short list était : Radware, Arbor Networks et Akamai. Mais nous avons le bugdet nécessaire pour bien nous protéger, et une bonne protection nous est indispensable.
Il y a aussi les opérateurs qui proposent un service de protection DDoS sur les liens Internet qu'ils fournissent, souvent basées sur Arbor.
En dehors des protections "opérateurs", il existe essentiellement 4 types d'architectures : en mode reverse-proxy, on cloud (il faut avoir son AS et ses IP et routage BGP), on premise (ne protège pas contre les attaques saturation de bande passante du lien Internet) ou hybride.
Elles peuvent être infogérées ou pas... mais bloquer des attaques DDoS, ça ne s'improvise pas. A défaut d'être expert DDoS et dispo en 24x7, il vaut mieux une protection infogérée.
Pour une entreprise qui n'a pas d'expérience/compétence en la matière, je recommanderais de commencer avec une protection opérateur. Si elle est basée sur Arbor par exemple, et que l'opérateur sait bien la gérer, ça répondra à la plupart des besoins.
-
Oui, il est difficile de répondre sans avoir plus d'informations sur le dimensionnement et les types de flux à protéger.
Je citerais également https://www.volterra.io/ qui a fusionné avec le Français Acorus Networks.
Si vous faites de l'IPv6 (c'est très bien) le choix anti-DDOS se limite fortement.
VOUs pouvez aussi faire le choix de ne protéger que l'IPv4. C'est le cas sur ce forum où l'IPv4 est protégée des attaques volumétrique, mais pas l'IPv6 et cela semble être le cas chez d'autres acteurs comme par exemple OVH qui aurait une protection bien plus limitée en IPv6 vs IPv4 (ce n'est pas grave, les attaques étant presque uniquement basées en IPv4 aujourd'hui).
-
En regardant les sites en .gouv.fr, je viens de tomber sur https://www.imperva.com/ qui protège entre autre cheminsdememoire.gouv.fr
J'ai bien l'impression qui ne gère pas IPv6, même si des IPv6 sont annoncées sur AS19551 Incapsula Inc
-
Encore une bonne petite boite française ça fait plaisir !
-
vous utiliseriez quoi/qui en europe pour proteger l’acces a des services entreprises d’u ddos?
Des admins compétents.
-
Des admins compétents.
merci cela aide beaucoup. sinon des suggestions?
-
Oui, il est difficile de répondre sans avoir plus d'informations sur le dimensionnement et les types de flux à protéger.
Je citerais également https://www.volterra.io/ qui a fusionné avec le Français Acorus Networks.
Si vous faites de l'IPv6 (c'est très bien) le choix anti-DDOS se limite fortement.
VOUs pouvez aussi faire le choix de ne protéger que l'IPv4. C'est le cas sur ce forum où l'IPv4 est protégée des attaques volumétrique, mais pas l'IPv6 et cela semble être le cas chez d'autres acteurs comme par exemple OVH qui aurait une protection bien plus limitée en IPv6 vs IPv4 (ce n'est pas grave, les attaques étant presque uniquement basées en IPv4 aujourd'hui).
Disons que je cherche surtout à me faire une idée de ce qui existe sur le marché. Histoire de me familiariser avec les différentes approches. Je ne connaissais pas imperva.
Au plus basique je cherche à mttre en place c'est de securiser les entrées dans un réseau hybride. avec des points reseau dans differents lieux qui communiquent entre eux. Au niveau basique un simple simple service qui me permette de faiclement protéger une It et differents ports, choisir certaines alarmes tant basées sur le volume que sur un e signature me suffirait/
-
Contre du volumétrique, tu ne peux rien faire.
Contre de l'applicatif, tu n'es pas sur le bon forum ;)
-
Disons que je cherche surtout à me faire une idée de ce qui existe sur le marché. Histoire de me familiariser avec les différentes approches. Je ne connaissais pas imperva.
Au plus basique je cherche à mttre en place c'est de securiser les entrées dans un réseau hybride. avec des points reseau dans differents lieux qui communiquent entre eux. Au niveau basique un simple simple service qui me permette de faiclement protéger une It et differents ports, choisir certaines alarmes tant basées sur le volume que sur un e signature me suffirait/
https://www.cloudflare.com/ est le plus utilisé et complet.
Tu expose tes services IPv4 et IPv6 par eux et entre toi et eux via de l'IPv6 only car de toute facon l'espace IPv4 est scanné et attaqué en permanence et les ports ouverts trouvables facilement (cd https://shodan.io ou https://censys.io/ipv4 ) ou via un scan maison (avec une connexion 10Gbps n'importe qui peut scan TOUTES les ipv4 du monde en 5 minutes avec https://zmap.io/ )
-
Je déterre un peu ce topic.
Pour la partie amont (volumétrique niveau 3-4) on était au départ avec Level3 (Centurylink maintenant) sur un DC et Zayo sur l'autre mais on a fini par remplacer Zayo par Acorus (Volterra maintenant).
Pour la partie aval (applicatif niveau 7) on vient d'acheter du F5 ASM.
On c'est pris un DDOS de 12Gbps pendant 6 heures en Avril et les 2 fournisseurs ont plutôt bien réagis.
-
Zayo et Lumen (anciennement Century Link/Level3) utilisent une protection de type Arbor Networks. C'est une solution prisée des grands opérateurs qui marche assez bien.
Le module F5 ASM, bien utilisé, une protection efficace contre les attaques applicatives de type exploitation de vulnérabilités. En revanche, c'est plus dur de se protéger contre les attaques DDoS sur la couche applicative.
Un petit conseil : la couche de chiffrement SSL/TLS peut également être ciblée par des attaques DDoS spécifiques. Si tu gères ton chiffrement sur F5, avec ses ASICs et sa configuration plutôt bien fichue, il gère bien les attaques sur cette couche, contrairement aux serveurs webs classiques.
-
On fait la terminaison TLS sur les ADC (Load-balancer) depuis toujours pour plusieurs raison mais essentiellement afin que les serveurs applicatifs concentre leur CPU sur le métier et pas sur le TLS.
C'est un peu HS mais quand on a activé le TLS 1.3 en février 2021 on a été pas mal surpris par son adoption selon les supports coté client grand public .
J'ai pas regardé pour le mois de mai mais en mars 2021 on été à :
- Sur le site desktop 95% de TLS 1.3
- Sur l'application mobile seulement à 60% de TLS 1.3