Cisco-basierten-Firewall, sinvoll?

[tischi]

Moin leute,
habe soeben gesehen das ich nach dem "echten" SSL Zertifikat nun auch als altkunde eine Firewall auf meinem 1und1 root server pro IP einrichten lassen kann.

Nun meine Frage, ist es sinvoll?
Also es ist möglich Regeln zu erstellen, so könnte ich alle Ports, die ich brauche weiterleiten lassen. Nunja, hab da mal reingeschaut, da recht umfangreich aus *g* (Remote IP, Remote Port, Local Port, Protocol, Action)

weiterer vorteile wäre auch, bei einer DDOS auf einem gespertem Port würde dieser Traffic überhaupt nicht ankommen!?!

Oder gibts da irgendwelche nachteile:?:

Danke für Antworten...

[nyxus]

Oder gibts da irgendwelche nachteile:?:

Nachteile gibt es nicht, man sollte halt immer im Hinterkopf behalten, daß man auch damit seine Dienste wie HTTP etc. absichern muss, da die Ciscos aktuell fast nur auf Layer 3 und 4 arbeiten.

[tcs]

Was spricht gegen iptables?
CISCO Geräte sind extrem mächtig, aber man muß sich auch ziemlich intensiv damit beschäftigen.

Cheers

tcs

[duergner]

Dass du bei Filterung mit iptables den Traffic auch schon zahlen musst. Wenn du das direkt auf der Cisco blocken kannst , fallen evtl. ja keine Kosten an?

[mc5000]

Kann man in diesem Fall bestätigen - Traffic der an der Cisco abgewiesem wird, wird nicht berechnet - doch was ich wichtiger finde ist, dass die eigene Maschine nicht unter der Last zusammenbricht.

[duergner]

Das sollte sie eigentlich mittels iptables auch nicht tun. Dann muss es schon ein sehr starker DoS sein. Da würde ich dann eher davon ausgehn, dass die Leitung dicht ist.

[nyxus]

Dann muss es schon ein sehr starker DoS sein. Da würde ich dann eher davon ausgehn, dass die Leitung dicht ist.

"Die Leitung" ist bei 1+1 wohl ziemlich dick, zum anderen können die auch selbst Maßnahmen gegen die DoS-Attacken ergreifen.

[captaincrunch]

Mir fehlt jetzt nur noch irgednwie mein geliebtes "shun". ;)

[nyxus]

Mir fehlt jetzt nur noch irgednwie mein geliebtes "shun". ;)

IDS von jedem Kunden individuell konfigurierbar, das waer's doch. Dann wird aber auch ein neues "Ich hab mich ausgesperrt"-Forum benoetigt ...

[tischi]

mh einfach die firewall im kundenmenü wieder deaktivieren uns alles ist wieder offen ^^... *g* oder kann es sein das ich euer IDS und "shun" nicht richtig verstanden habe ^^

[nyxus]

oder kann es sein das ich euer IDS und "shun" nicht richtig verstanden habe ^^

Das Shunning ist ein automatisierter Vorgang, der von einem IDS ausgeloest wird und Angreifer blockt. Und damit kann man sich schnell selbst DoSen wenn man auf Angriffe shunnt, bei denen sich die Source-Adressen faelschen lassen.

[buddaaa]

zum traffic sparen bietet es sich die ueblichen wurm-ports zu blocken ( TCP 135, 139, 445, UDP 1434, ... siehe http://isc.sans.org/index.php?on=toptrends )