¿Alguna razón para no habilitar DoS Defense en mi enrutador?

15

Recientemente encontré una configuración de DoS Defense en mi enrutador DrayTek Vigor 2830 , que está deshabilitado de forma predeterminada. Estoy ejecutando un servidor muy pequeño en esta red y me tomo muy en serio tener el servidor en funcionamiento las 24 horas, los 7 días de la semana.

No estoy seguro de si DoS Defense podría causarme algún tipo de problema. Todavía no he experimentado ningún ataque DoS, pero me gustaría evitar posibles ataques. ¿Hay alguna razón para no habilitar la configuración de Defensa DoS?

security router denial-of-service draytek Magdalena
fuente
3
En lugar de pedir a nosotros si debería / no debería activar esta función "denegación de Defensa", ¿por qué no preguntar a su proveedor enrutador lo que realmente hace cuando se marca la casilla, a continuación, decidir si esas reglas tienen sentido en su entorno?
voretaq7
(Después de desenterrar el manual de su sitio web, puedo decir que la lista de cosas que verifica y trata es relativamente sensata: es poco probable que rompa algo legítimo, por lo que no hay ningún daño real al encenderlo. Simplemente no lo espere para protegerle de todo - hay algunos ataques que no puede mitigar )
voretaq7
Como se trata principalmente de una pregunta de análisis de riesgos, puede considerar solicitar migrar esto a Seguridad de la información .
AviD

Respuestas:

21

Significa que el enrutador debe mantener un estado adicional y hacer un trabajo adicional en cada paquete. ¿Y cómo puede realmente ayudar en el caso de un DoS? Todo lo que puede hacer es soltar un paquete que ya ha recibido. Como ya lo ha recibido, ya ha hecho el daño al consumir su ancho de banda de Internet entrante.

David Schwartz
fuente
3
@SpacemanSpiff: dos razones por las que esto no es cierto: 1) Un enlace ADSL típico no puede transportar suficiente tráfico para sacar un servicio de todos modos. Los ataques DoS típicos sobre dichos enlaces funcionan consumiendo su ancho de banda. 2) El dispositivo no puede distinguir confiablemente el tráfico de ataque del tráfico legítimo. Entonces, detener el ataque DoS es solo un ataque DoS contra usted mismo, ya que también está eliminando el tráfico legítimo. (A lo sumo, esto preservará su ancho de banda de salida para otros servicios porque no está respondiendo al tráfico de ataque. Pero sin una entrada entrante útil, proteger su salida generalmente no ayuda mucho.)
David Schwartz
1
Más o menos ... En general, si te dosifican en cualquier línea que un dreytek estaría deteniendo, vas a caer.
Sirex
1
Lo que le has dicho que haga es desactivar lo siguiente, para que lo sepas: inundaciones SYN, inundaciones UDP, inundaciones ICMP, detecciones de escaneo de puertos, suplantación de IP, ataques de lágrimas. El hecho de que este proveedor lo abandone de manera predeterminada no significa que todos lo hagan. Los enrutadores Juniper NetScreen y SRX Branch salen habilitados, al igual que el ASA5505.
SpacemanSpiff
1
Sí, pero has convertido toda la defensa de borde básica, ahora incluso un idiota con un comando ping de Linux puede derribarlo.
SpacemanSpiff
3
@SpacemanSpiff: Si pueden abrumar su ancho de banda, pueden derribarlo incluso con eso. Está dejando caer el tráfico después de que haya consumido su ancho de banda. Tener una ventaja defendida dentro del enlace más lento te hace poco o nada bueno. Lo más probable es que su enlace más débil sea la CPU del enrutador y su ancho de banda entrante.
David Schwartz
5

Una razón para no habilitar la configuración de DoS Defense es que intentar proteger los sistemas de DOSed aumentará la CPU del enrutador / firewall causando un DoS en sí.

cada vez más sabio
fuente
5

Un viejo subproceso que conozco, pero solo tuve que desactivar las defensas DoS en mi enrutador doméstico Draytek 2850 para evitar algunos problemas de conexión (el ancho de banda entrante de casi todos cayó a 0). Por extraño que parezca, cuando todos los niños usan sus iPhones, PC y chatean en Skype, etc., ¡activa las defensas DoS!

Supongo que hay tanto tráfico en ambas direcciones que el enrutador cree que está siendo atacado desde el exterior y se apaga. Desactivar la defensa de inundación UDP no solucionó por completo, así que también desactivé las defensas SYN e ICMP. (Si tuvo que desactivar la protección contra inundaciones SYN e ICMP, entonces creo que el enrutador estaba haciendo un muy buen trabajo a menos que esté ejecutando un servidor o servidores en su red) - Las solicitudes SYN e ICMP se envían a los servidores durante el inicio de la conexión, entonces los dispositivos del cliente reciben un SYN-ACK del servidor.

Hola, listo. No más problemas de conexión. Por supuesto, volveré a activar las defensas y ajustaré mejor los valores (medidos en paquetes / segundo), pero he estado tratando de resolver este problema durante años y fue un shock descubrir la verdadera causa.

Espero que esto ayude a alguien más.

Ricardo
fuente
Puedo confirmar lo mismo en un ASUS Wireless Router RT-N10. Habilitar la protección DoS degradará la conexión inalámbrica.
1
Tuvimos un problema muy similar en un 2930 poco después de que comenzamos a permitir dispositivos móviles en la red. Aumenté las tasas de umbral para la defensa SYN, UDP e ICMP significativamente y detuvo el problema.
3

Sí, absolutamente , enciéndelo.

Si esto se implementa correctamente, el motor de su firewall debe inspeccionar cada paquete. Una vez que se determina que debe abandonar este tráfico como parte de un ataque DoS, debe instalar una regla en el hardware y eliminar el tráfico en silencio en lugar de procesarlo una y otra vez. Donde todavía caerá en su cara es un ataque distribuido, pero le sugiero que lo active.

¿Qué tipo de servicios es ese servidor de alojamiento?

SpacemanSpiff
fuente
Está ejecutando muchas cosas diferentes: IIS, bases de datos MSSQL, bases de datos MySQL, Apache, Minecraft y todo tipo de cosas aleatorias para las que necesitaría un servidor :)
Cupcake
3
Si el tráfico estaba dañando su enlace, seguirá dañando su enlace. Si no fuera así, ahora es probable que esté dejando caer al menos algo de tráfico legítimo, lo que empeorará el ataque DoS. En un enrutador SoHo, este es un mal consejo. Está desactivado por defecto por una razón.
David Schwartz
1
El objetivo de un DoS es hacer que el tráfico DoS sea indistinguible del tráfico legítimo para que la víctima tenga que elegir entre abandonar el tráfico legítimo y responder al tráfico DoS. Por ejemplo, si está sirviendo HTTP en el puerto 80, un ataque DoS típico que verá es una inundación SYN de múltiples fuentes en el puerto 80. ¿Cómo puede distinguir las SYN de inundación de las SYN de clientes legítimos?
David Schwartz
2
"Si se implementa correctamente" no está asegurado; especialmente en hardware de grado de consumo. El enrutador Netgear que estaba usando en casa hace varios años tenía un error importante en su filtro DOS. Fue posible enviar un solo paquete con datos mal formados que causaría que el filtro DOS se bloquee y se caiga el enrutador.
Dan está jugando con Firelight el
1
No, no lo es, siempre puede apagarlo o ajustar los umbrales. He visto dispositivos de gama baja que defienden las redes con solo estas cosas básicas, mientras que los firewalls de clase empresarial mal configurados caen de bruces.
SpacemanSpiff
-2

Si el ataque DoS no mata su PC primero, el calor generado por la protección DoS matará su enrutador. Si le preocupa la seguridad, no use Internet.

Es mejor proteger cada dispositivo individual en su red con un cortafuegos y un dispositivo antivirus correctamente configurados, cuando no use la red apague su wifi, úselo como lo haría con el agua del grifo.

DERP
fuente