[FIREWALLS] Comprarías lo siguiente...

Personalmente no compraria jamas un firewall y mucho menos una coleccion de scripts que yo mismo puedo hacer.
Y mucho mucho menos una coleccion de scripts para supuestamente "evitar" el efecto de un DDOS cuyo resultado es mas que dudoso.
El problema REAL de un buen DDOS es que te come el ancho de banda, poco importa si estas filtrando la ip o no. De cualquier otro DDOS berreton te libras en 5 segundos de tipear un comando. No veo que es lo que hace tu "producto".

Siempre preferiria comprar un producto de una empresa reconocida, aunque sea mas caro. En caso de fallar y tener que justificar mi inversion ante mis superiores, es mas facil explicar como es que fallo un producto que le compre a Symantec que explicar porque me ahorre algo de guita en comprarle a Arseniko un producto y lo que perdi por no comprar una marca conocida.

No. No lo compraría. Personalmente por que la seguridad es particular de cada ambiente por lo que hay que configurarla para cada ambiente diferente.
Saludos!

no compraria jamas eso, buscaria algo que sea gratis o que salga menos de 20 dolares.salu2

no vas a encontrar algo similar para freebsd, y la idea es que realmente sea bueno y estable.

Argentinos...

Si a eso me quiero dedicar directamente a diferentes tipo de configuraciones y demás, por el momento yo lo tengo en varios lugares y funciona bastante bien, por no decir que el margen de error es practicamente nulo.


Claro, primero para empezar no es una colección de scripts.
Segundo, si te comen todo el ancho de banda tu datacenter es muy malo.
Tercero: el efecto de un ddos puede ser multiple, tenés desde Los que floodean cada uno de tus servicios, los cuales hacen que tu memoria y cpu overlodeen consecutivamente, limitando los recursos de una manera impresionante (son los más jodidos y no con dos clicks los manejas )
Conozco empresas que para no caer ante dichos ataques pusieron algo como
Puerto 21 --> Conexiones totales 4
Puerto 110 --> conexiones totales 10

Un dedicado real no podría tener esa configuración si realmente buscamos que multiples clientes se conecten. (hablando de webhosting o cualquier servicio que se pueda ofrecer)

Si entras en los foros de Cpanel.net vas a ver mucha gente lidiando con ataques ddos, y los mismos tienen tantos clientes que ese tipo de limites no sirven y solo lo implementan empresas chicas para no caer... sin pensar en un futuro.


Esto no va realmente pensado para gente que sabe programar, sabe hacer determinadas cosas, por que ellos con tiempo y dedicación podrían hacerlo ... o tambien ser vagos y usar mi sistema.

Así y todo, las configuraciones de seguridad las podes implementar vos, sin necesidad de tener que saberte los comandos de ipfw.

La idea es que una parte sea grafica, facilitando al usuario las tareas que comunmente se hacen por SSH y tipeando los comandos.

La segunda parte es la que testea conexiones, y demás, conjugada con la primer parte en tiempo real podes tener las estádisticas y demás.

No es tan simple como pensaste realmente, y lo único que hiciste fue decir "un buen ataque ddos te come el ancho de banda"
en realidad no... eso es un ataque UDP, los cuales son controlados por los routers para que eso no suceda.. (Datacenters malos hay en todos lados)
un DDOS por TCP es controlable, y solamente te tiraría en el momento del overload, y la idea es que eso no llegue a suceder, quitando de por sí un down o un posible restart para reestablecer los servicios floodeados. (Este creo yo es uno de los más potentes ataques que hoy en día la comunidad NOOB está realizando y de la cual se quejan miles de personas por día.. y es la que quiero combatir)
luego porsupuesto tenés los DDOS mochos que realizan un syn al mismo puerto tras otro... hoy en dia no es tan complicado combatirlo, por eso empezaron a buscar nuevas técnicas.

PERO NO ES UNA COLECCION DE SCRIPTS. es algo que estoy haciendo yo completamente.

Otra cosa, esto sale con patente y a nombre de una empresa :\

sip lo mios es 100x100 argentino

Dijiste que estaba en php... como es que algo hecho en php no es una coleccion de scripts?
Digo por lo de "estoy creando un firewall basado en php"

No tenes idea. Los DDOS mas insoportables que han habido eso es lo que hacian. tener 50000 maquinas mandadote paquetes a full te mataba el ancho de banda. Para parar algo asi tenias que hablar con tu proveedor que es quien tiene la posibilidad de filtrar sin que lleguen a tu caño.
Y no se trata de que tu "data center" sea una mierda o no, se trata de que si tenes 2 millones de maquinas tirandote mierda no hay caño a usuario final que aguante. Sino fijate que le pasa a los sitios que salen publicados en lugares como slashdot (ver mas abajo el slashdot effect)
Un BUEN DDOS te rompe el ancho de banda, por eso mismo es que podes ver por todos lados tipos comentando como tuvieron que llamar a su proveedor para que filtren ELLOS y asi no saturar la conexion, de nada te sirve en esos casos filtrar en tu maquina.
Y esto no quiere decir que sea el unico DDOS pero es de lo mas complicado desde el punto de vista de que solucionarlo no depende de uno exclusivamente.
En la epoca donde se usaban modems yo tenia acceso a un ancho de banda de varios megas si yo queria tiraba a cualquier tipo que haya estado usando un modem. Solo con ping -f (y ni hablar si ponia -s 65500) y no habia ni podia haber firewall que lo salve. Asi el tipo filtre mi ip o lo que quieras, no se salva. Lo mismo puede pasar ahora solo que los numeros son distintos, pero el concepto sigue intacto.

La descripcion "tecnica" para alguien que se esta jactando de hacer un producto "avanzado" deja mucho que desear.
Tu memoria y cpu no tienen por que "overlodear" (dios mio) simplemente porque te floodean. Si hay un buen admin atras NINGUN servicio que corre en una maquina deberia estar configurado sin limite en el uso de recursos. Si tenes por ejemplo un apache y no tenes limitado cuanto de memoria y cpu (entre otras cosas a traves de la cantidad de procesos/threads que le dejas levantar) el problema que tenes en esa maquina no es el DDOS, es la administracion deficiente.
Si tenes servicios, muy comun en windows dicho sea de paso, que se taran ante un floodeo, el problema no es el floodeo sino a) no patchear/actualizar esa mierda b) lisa y llanamente usar windows para algo serio.
A priori encima te diria que esos DDOS son los mas simples, y no hay diferencia entre una conexion normal y la del DDOS.
Y cuesta unos 5 segundos tipear lo necesario para evitar el problema.

Marketing por ahi ------>
El tema no es sacar numeros magicos ftp: 4 pop: 10
No es asi el tema.
Vos tenes una cantidad limitada de recursos en un servidor (memoria, cpu, etc) y la cantidad de clientes/conexion que podes atender esta dada por esos limites justamente. SIEMPRE SIEMPRE tenes que configurar los servicios teniendo en cuenta esos limites. No se trata de la pelotudes que pones como ejemplo de poner un limite arbitrario, estupidamente pequeño que solo sirve para tratar de presentar un argumento (que es irreal) pero tampoco se trata de dejar que la maquina haga lo que se le cante el culo.
Si un DDOS te tira un server es que esta configurado como el orto.
A mi me toco administrar un isp un dia que practicamente nos slashdotearon. http://en.wikipedia.org/wiki/Slashdotted (en realidad no era tecnicamente un slashdot effect, sino que hosteabamos un sitio sexo.com.ar del cual habian publicado passwords en algun sitio y teniamos 200000 tipos bajando TODO) el server se la banco y no estoy hablando de las brutas maquinas que hay ahora sino de un pII de hace 8 años mas o menos. Porque se la banco? porque habiamos comprado el easyfirewall 1.0? no, porque estaba bien configurado.
Igual sigo con lo de antes: un buen DDOS no lo paras con una coleccion de scripts, en general no lo paras sin trabajar juntamente con tu proveedor. Para todo lo demas un par de comandos en consola y listo.
honestamente no veo como levantar un navegador para hacer lo que puedo hacer en 5 segundos en una consola me facilita las tareas que comunmente?? hago. (y ni que cambiar politicas de firewalling sea una tarea comun)
eh?????????????
que tiene que ver UDP o TCP en todo esto?
Antes de que me cague de risa mucho mas de lo que me vengo cagando, por dios explicame que tiene que ver el protocolo
no pibe no, como te dije marketing por ahi ------->
Pero vos te pensas que estas haciendo el discurso de venta en la oficina de un gerente?
No no no.
A medida que iba leyendo me ibas sacando chabon.
Y estas mostrando una cosa tipica que se lee en estos foros, el tipo que no tiene idea de un carajo pero cree que si.
Todo lo que decis, bue el 90% es chamuyo. Es chamuyo marketinero de palabras de significado ambiguo o directamente abstractas que no dicen nada y creen que dicen mucho.
Tu post no tiene casi contenido tecnico y eso que escribis es lo mismo que le dirias a un gerente para vender tu coleccion de scripts.
El hecho de asociar un DDOS que te coma el ancho de banda con UDP es tremendamente frutero.
Por no mencionar todo el chamuyo de grandes empresas como si esta basofia que estas haciendo fuera para eso. No te engañes el mercado potencial que puede tener esa coleccion de scripts es el tipo que no tiene idea de nada y la empresita que menos idea tiene aun. El estudio de abogados que tiene 10 pc's y necesita que compartan inet o la pagina web de el convento de las carmelitas descalzas que recibe 10 hits al año.
Cualquier persona/empresa medianamente seria en terminos de seguridad jamas usaria un producto asi. Un firewall administrable por web no deja de ser ironico en terminos de seguridad a menos que sea un appliance en el cual segun como hayan hecho el webserver y que particularidades tenga el sistema operativo podria llegar a tener sentido.
Un sistema linux/bsd comun y corriente como firewall con un apache corriendo es un tanto comico.
Lo cierto es, contra cualquier DDOS jodido en serio tu coleccion de scripts no va a poder hacer nada. Y contra DDOS berretas cualquier admin decente no necesita de tu programa para resolver el tema.

Nadie dice que sea malo o inestable... simplemente... decime como te justificas ante alguien que no sabe nada de informatica (como el gerente financiero que es quien te da la guita) que comprarle algo a "Arseniko" es mejor que a una firma conocida !

Lo de "Argentinos..." (que suena mas que discriminatorio) te cuento que la relacion "Costo/Beneficio" es la principal justificacion para cualqueir inversion. Si algo gratuito o de U$S 20.- me resuelve lo mismo que tu PHP Firewall... entonces soy un idiota por comprartelo a vos mas caro.

ahora me gusta más tu respuesta.

No no fue discriminación, por lo general el argentino tira a fijarse en precios.

La idea es tener un cierto reconocimiento, no puedo pasar de venderle a 10 tipos yankees que no conoce nadie, a venderle a un banco. Yo creo que si el gerente financiero no sabe nada de informatica, para eso tienen a sus técnicos, programadores etc. para que los guien.

Y por supuesto, no soy una marca reconocida ni nada similar (ojalá algún día lo sea)

(Y SOY ARGENTINO)

La idea es que el flaco, gerente de tu banco, al ingresar al firewall note como es tan sencillo usarlo que le guste.
Pero para vos que sos programador o Sys admin, la idea es que te simplifique el trabajo ...
Como por ahí dijeron "Un comando y listo" muchas veces no lo es, o si lo es, tenés que monitorear bastante el servidor y eso requiere de tu tiempo. la idea es que esto te avise ante cualquier inconveniente... que tenga la habilidad de detener ciertos ataques y otros te los comunique inmediatamente, ya que todo programa hace lo que nosotros queremos, pero el humano tiene la capacidad de medir ciertas cosas... por ejemplo:
X persona realizó conexiones determinadas, mientras hubo un ataque... y el programa si esa persona superó el limite y encima habia un ataque... la va a banear (Este error es probable, y más probable que suceda con ataques a un solo puerto.... por más que tengas limite de conexiones y limite de conexiones por ip ... si el ataque es grande va a terminar crasheando o cerrando el puerto, en este caso el software te avisa y te coloca las ips que establecieron todas las conexiones permitidas, y te permite banearlas, tambien haré algo así para manejar por SSH en caso de que el apache sea el perjudicado, o si bien podes colocar la parte grafia en dedicado A, y en dedicado B la parte interna que monitorea y seguirá funcionando de la misma manera)

Y para terminar, no espero que una firma reconocida me compre de entrada, sino muchas personas, y que llegue al nivel que necesito para que la firma reconocida reconozca el software como un software bueno y usado.

serías bueno que me expliques con terminos más sencillos: Si el ataque consume los limites permitidos por cada aplicación que el server corre, como logras que la gent siga navegando conmunmente o usando determinados protocolos?

Disculpá, pero un ataque TCP no come ancho de banda, si lo hace un UDP (estuve de las dos caras de la moneda .... y conozco ambos ataques.... por lo menos son los más comunes hoy en dia y los que hacen cada 2 x 3)
otra cosa, yo tube en mi anterior datacenter un ataque que terminó consumiendo el ancho de banda y una transferencia de 1 GB por hora o más (algo así dijeron de giga international) en vez de solucionar el tema filtrando las ips que lo hacian, apagaron el dedicado ... Hoy en día en donde estoy detienen los ataques, y tienen reglas de filtrado para ataque DDOS comunes.

La idea es que tus servicios no caigan ante un ataque, podes limitar y si es verdad, las configuraciones de los programas son muy buenas, y podes determinar cuanto van a consumir y demás, como en apache por ejemplo.
así y todo conozco empresas grandes que limitan las conexiones por ip y conexiones totales de un puerto
allow tcp from any to any dst-port 21 in limit dst-addr 5
allow tcp from any to any dst-port 21 in limit src-addr 2

Y LAS CONOZCO por que dieron "consejos de seguridad" en foros comunes como el foro de cpanel
y son quizas empresas argentinas.
La idea de esto es que por más limites que tengas si son 5K dandote duro y parejo, no debas dejar un servicio down.
Quizas no sé dar los detalles técnicos de las cosas, por que todo lo voy haciendo a medida que surgen inconvenientes o problemas, y encima me manejo en foros en ingles, lo cual dificulta aún más mi lenguaje técnico.
pero si te digo que estuve del otro lado de la moneda, y en donde un simple ataque TCP podia tirar varios sitios webs importantes, dejandolos en PING TIME OUT , sin necesidad alguna de comerles el ancho de banda...
y cuando se empezó a infectar dedicados o servidores con grandes conexiones comenzaron a realizar ataques UDP, que si comian el ancho de banda...
probando un UDP conmigo los paquetes recibidos eran muchisimos.

y congratulations por safar de semejante cosa, pero sinceramente no pasa por ahí, y seguis sin entender el sistema en sí.

Lo que yo quiero es que los servicios NO QUEDEN INACCESIBLES


así que lo que yo digo es pura basura? o sinceramente vos contra-restas el efecto de lo que quiero hacer diciendo que hay técnicas que consumen tu ancho de banda?

Son sinceramente los ataques más comunes de la red y los que realmente combato yo diariamente, así como miles de personas más que siempre contratan sysadmins para que detengan el ataque...