Здравствуйте! Считаю этот форум высокопрофесиональным, поэтому решил поделится с вами своей проблемой и попросить помощи.Преамбула.
Итак, я имею неплохой канал интернет (100Мб/с - UA-IX, 5Мб/с - все остальное, нахожусь я в Украине), давным-давно у меня установлен сервер, на нем Ubuntu, где крутится мой proFTPd ,Apache, также одной конторе предоставляю его как шлюз с Украины в мир с помощью SQUID. Сам я программист, и хоть в системном администрировании немного разбираюсь, все же есть вопросы, которые мне либо на собственном опыте либо кто-то просветит, иначе я их не осилю. Я программирую время от времени веб-сайты для разового зароботка и было бы неплохо еще и зарабатывать на этих сайтах посредством хостинга плюс предоставить более полный спектр услуг по созданию и размещению сайта.Итак, решил создать свой хостинг, собственно все новое вызывает проблемы.
Поначалу буду использовать один сервер, пока не наберу определенное количество клиентов и не увижу, что они забивают канал.
Первый вопрос: как мне организовать железо для правильной работы хостинга, чтобы был защищен по-максимуму от DDos атак?
Сейчас у меня стоит обыкновенный D-link 400, в который входит интернет, и по кабелю 100 Мб/с он соединяется с моим сервером. Этот длинк служит и файрволом, и пропускает только 80 порт для моего HTTP, 21 порт для FTP и 22 для SSL, плюс еще на сервере настроен iptables. Итого, я считаю, что я защищен из вне. Но проблема: мой Длинк часто падает и не работает. его нужно перегружать руками. Я так понимаю, что мой длинк явно не подходит для стабильной работы.Нужно покупать какой-то крутой файрволл CISCO, чтобы бы можно было бороться с DDos эффективно. Или может интернет сразу воткнуть в сервер и пользоватся только iptables? В общем, в этом вопросе я плаваю, опишите подробно те, кто сталкивались, пожалуйста. Как организовано у серьезных провайдеров?
Я так понимаю, организовано оборудование должно так:ИНТЕРНЕТ ----> CISCO FIREWALL (посоветуйте) -----> SERVER #1
|
| -----> SERVER #2
| -----> SERVER #3я прав? что за железки мне выбрать, чтобы хорошо защититься? что нужно еще из оборудования? хватит ли пока моей скорости (100Мб/с - UA-IX, 5Мб/с - все остальное, нахожусь я в Украине) на 50-100 обычных сайтов??
В общем, рад буду услышать любые мнения и любую помощь, любой ответ! кроме, ответов типа "Зачем вам это надо?, Это не выгодно! Вы не осилите! и т.д."
>[оверквотинг удален]
>иначе я их не осилю. Я программирую время от времени веб-сайты
>для разового зароботка и было бы неплохо еще и зарабатывать на
>этих сайтах посредством хостинга плюс предоставить более полный спектр услуг по
>созданию и размещению сайта.
>
>Итак, решил создать свой хостинг, собственно все новое вызывает проблемы.
>Поначалу буду использовать один сервер, пока не наберу определенное количество клиентов и
>не увижу, что они забивают канал.
>Первый вопрос: как мне организовать железо для правильной работы хостинга, чтобы был
>защищен по-максимуму от DDos атак?считайте что это не реально, защититься от DDOS.
Вы думаете что файрволл только для этого нужен ? Ошибаетесь....>Сейчас у меня стоит обыкновенный D-link 400, в который входит интернет, и
>по кабелю 100 Мб/с он соединяется с моим сервером. Этот длинк
>служит и файрволом, и пропускает только 80 порт для моего HTTP,
>21 порт для FTP и 22 для SSL, плюс еще на
>сервере настроен iptables. Итого, я считаю, что я защищен из вне.
>Но проблема: мой Длинк часто падает и не работает. его нужно
>перегружать руками. Я так понимаю, что мой длинк явно не подходит
>для стабильной работы.Нужно покупать какой-то крутой файрволл CISCO, чтобы бы можно
>было бороться с DDos эффективно. Или может интернет сразу воткнуть в
>сервер и пользоватся только iptables?D-Link внутри - тот же линукс с тем же iptables. Считайте что крутой файрволл вам не нужен.
>[оверквотинг удален]
>плаваю, опишите подробно те, кто сталкивались, пожалуйста. Как организовано у серьезных
>провайдеров?
>Я так понимаю, организовано оборудование должно так:
>
>ИНТЕРНЕТ ----> CISCO FIREWALL (посоветуйте) -----> SERVER #1
>
>я прав? что за железки мне выбрать, чтобы хорошо защититься? что нужно
>еще из оборудования? хватит ли пока моей скорости (100Мб/с - UA-IX,
>5Мб/с - все остальное, нахожусь я в Украине) на 50-100 обычных
>сайтов??Всё зависит от сайтов и размещаемого на них контента, и, соответственно, посещаемости.
>
>В общем, рад буду услышать любые мнения и любую помощь, любой ответ!
>кроме, ответов типа "Зачем вам это надо?, Это не выгодно! Вы
>не осилите! и т.д."
От серьезного DDoS реальной защиты нет по самому принципу атаки, особенно на бюджетном оборудовании. По личному опыту, крупной хостинговой компании проще выкинуть досимого клиента, чем справится с атакой. Так что можете сразу забить на этот вопрос. Разумеется защиту от примитивных атак типа syn flood поставить необходимо.
По общей организации я бы посоветовал openvz ядро с контейнерами на каждый сайт. На железной ноде оставить только nginx, который и будет распределять запросы по контейнерам. В результате при минимальном оверхеде достигаем изоляцию контента, апача и мускула для каждого клиента и возможность в будущем их на ходу прозрачно мигрировать между серверами.
>От серьезного DDoS реальной защиты нет по самому принципу атаки, особенно на
>бюджетном оборудовании. По личному опыту, крупной хостинговой компании проще выкинуть досимого
>клиента, чем справится с атакой. Так что можете сразу забить на
>этот вопрос. Разумеется защиту от примитивных атак типа syn flood поставить
>необходимо.Спасибо за ответ. Итак, для примитивных ДДоС атак постараюсь защитится, плюс хочу купить файрвол Cisco PIX 501 Firewall. Ну а против реально серьезных атак, действительно как я понял мне защищаться бесполезно, максимум договорится с провайдером чтобы реализовывать защиту на уровне прова, да и не думаю что у меня поначалу будут хоститься такие крутые проекты на которых могут заказать ДДос.
>По общей организации я бы посоветовал openvz ядро с контейнерами на каждый
>сайт. На железной ноде оставить только nginx, который и будет распределять
>запросы по контейнерам. В результате при минимальном оверхеде достигаем изоляцию контента,
>апача и мускула для каждого клиента и возможность в будущем их
>на ходу прозрачно мигрировать между серверами.Плюсы конечно очень привлекательные, но при таком подходе будет хороший расход ресурсов, смогу ли я таким способом на совем сервере, пусть это будет двухпроцесорный ксеон и 4 гб рам, запустить 100 сайтов? или имеет смысл сделать например так http://www.securitylab.ru/contest/263276.php. как на меня более легковесный, хотя и менее надежный метод. А openvz,ну или платный аналог виртуоз, отлично подойдет для целей создания VDS.
И еще родились вопросы. Как следить за системой? Что еще стоит установить на систему? Пока я думаю, что на сервер нужно установить (кроме, понятное дело, apache, php, nginx, mysql, perl, proftpd):
1. Cacti или Munin для мониторинга системы
2. Snort для анализа вторжений
3. Ну и продуманная настройка iptablesв общем, очень прошу, поделитесь опытом.
>Спасибо за ответ. Итак, для примитивных ДДоС атак постараюсь защитится, плюс хочу
>купить файрвол Cisco PIX 501 Firewall. Ну а против реально серьезных
>атак, действительно как я понял мне защищаться бесполезно, максимум договорится с
>провайдером чтобы реализовывать защиту на уровне прова, да и не думаю
>что у меня поначалу будут хоститься такие крутые проекты на которых
>могут заказать ДДос.Простой пример. У вас на сайте есть страничка с поиском в БД, если правильно подобрать критерии, то выполнятся поиск будет несколько секунд. Шлем с десяти машин каждую секунду всего по пять подобных(не идентичных) запросов. Вроде ничего нелегального, а сервер в дауне. Подобные варианты атаки можно только руками отловить.
>Плюсы конечно очень привлекательные, но при таком подходе будет хороший расход ресурсов,
>смогу ли я таким способом на совем сервере, пусть это будет
>двухпроцесорный ксеон и 4 гб рам, запустить 100 сайтов? или имеет
>смысл сделать например так http://www.securitylab.ru/contest/263276.php. как на меня более легковесный, хотя
>и менее надежный метод. А openvz,ну или платный аналог виртуоз, отлично
>подойдет для целей создания VDS.OpenVZ/vserver/solaris_zones это ОЧЕНЬ легкие виртуализации, почти не отличающиеся от chroot. Вот только плюсов у них намного больше чем у chroot, в том числе и с точки зрения безопасности. Я не вижу ни одной причины выбрать chroot вместо openVZ для хостинга. Кроме того внешний nginx вместо apache может очень сильно снизить нагрузку и в конечном итоге вариант с openVZ будет производительней. Это не считая абсолютной незащищенности chroot от DOS атак.
По поводу количества сайтов, все зависит от самих сайтов, для некоторых всей мощи сервера будет мало. Если же нагрузка невелика, то 100 контейнеров на 4gb вполне возможно на openVZ.>(кроме, понятное дело, apache, php, nginx, mysql, perl, proftpd)
Еще забыли bind/djbdns/powerdns и postfix/exim. Также proftpd лучше заменить на vsftpd. Для php может пригодится eaccelerator.
>1. Cacti или Munin для мониторинга системыЕсли не нужны красивые графики, то лучше nagios
>2. Snort для анализа вторженийЕще chkrootkit и rkhunter для отловли уже свершившихся проникновений. John the Ripper для проверки паролей пользователей. nessus для проверки видных извне дырок.
>3. Ну и продуманная настройка iptablesНе помешает добавить fail2ban, но очень аккуратно, его тоже можно эксплоитнуть.
>От серьезного DDoS реальной защиты нет по самому принципу атаки, особенно на
>бюджетном оборудовании. По личному опыту, крупной хостинговой компании проще выкинуть досимогоКогда была проблема с ддосом обращался в caravan, у них есть услуга защита от ддос. Стоила она полгода назад примерно 20к.руб в месяц и разовый платеж 10к руб. за настройку. Защита у них организована на базе cisco guard. Вообщем со средними размерами ддосом справились без проблем.
А по существу вопроса скажу что d-link и cisco pix ставить необязательно, iptables со всем справляется вполне успешно.
Это целая наука... и для организации профессионального хост сервера прийдется изучать много аспектов в области организации и сети строения...
- оно вам нужно?
предоставляйте хостинг для разовых сайтов - не более... а иначе Вам прийдется привлекать спец.кадры, приобретать дорогостоящее оборудование... если будете пытаться сами лезть в эти дебри - путь слишком тернист, и в основном все приходит с практикой и огромными затрат времени и сил :(
>хватит ли пока моей скорости (100Мб/с - UA-IX,
>5Мб/с - все остальное, нахожусь я в Украине) на 50-100 обычных
>сайтов??Для энтузиастов - думаю вполне достаточно, если сделаете цену меньше остальных. Но тогда есть вероятность что проект просто не окупится.
Ну а серьезные проекты не потянуться уж точно, потому что уже в самой Украине много провайдеров, не входящих в UA-IX.50Мбит/с на мир - сейчас минимальное требование для хостеров.
Спасибо всем за подробные ответы!
>OpenVZ/vserver/solaris_zones это ОЧЕНЬ легкие виртуализации, почти не отличающиеся от >chroot. Вот только плюсов у них намного больше чем у chroot, в том числе и с точки зрения >безопасности. Я не вижу ни одной причины выбрать chroot вместо openVZ для хостинга. Кроме >того внешний nginx вместо apache может очень сильно снизить нагрузку и в конечном итоге >вариант с openVZ будет производительней. Это не считая абсолютной незащищенности chroot от >DOS атак.благодаря вам начал читать о openVZ, в частности неплохая стать у вас https://www.opennet.ru/docs/RUS/virtuozzo/ (но не лучший перевод). Очень понравился такой подход, так и буду делать, есть только 2 вопроса:
1. Насколько надежен nginx, так как он будет находится на хард ноде, а значит, взломав его можно будет получить доступ ко всем VDS установленным на этом железном ноде.
2. OpenVZ предлагает в качестве хард системы использовать Red Hat, насколько это желательно? могу ли использовать ту систему которую лучше знаю (в для меня это ubuntu)?? или хард систему лучше все же Red Hat, а уже VDS можно и Ubuntu?>По поводу количества сайтов, все зависит от самих сайтов, для некоторых всей мощи сервера >будет мало. Если же нагрузка невелика, то 100 контейнеров на 4gb вполне возможно на openVZ.
ясно
>Если не нужны красивые графики, то лучше nagios
я всегда считал что nagios больше грузит систему, чем тот же munin, я не прав? и, критично если я буду делать систему мониторинга на том же сервере где у меня все эти сайты будут крутится? или лучше выделить отдельно сервер, а на веб-сервер установить только клиента мониторинга?
Напоследок, хотел бы уточнить. Если я буду использовать технология OpenVZ, мне не так уж и будет страшен DDos с той точки зрения что он может положить весь сервак. Он не положит все сайты на одном сервере, а только тот который будет атаковать, а у того VDS соответственно просто будет под завязку забита его квота. Остальные же сайты будут работать как и работали. Я прав?
ЗЫ. хотя по идее если много ресурсов у атакующего и цель атаки не сайт на хостинге, а хостинг, он может узнать размещенные на моем IP сайты и начать атаковать всех их.
ЗЗЫ. просто интересное. я не могу понять почему тот же мелкософт не придумает маленькую службу которая бы реагировала когда комп посылает кучу запросов без ведома пользователя, то есть комп является "зомби" и блокировала те процессы которые это делают. Ведь бороться на этом уровне намного эффективней чем разными squid guard
И еще один вопрос. Если я собираюсь использовать панель управления, например, ISPManager. Мне нужна всего одна панель, на хард ноде? не нужно же покупать для каждой VDS отдельно?
>1. Насколько надежен nginx, так как он будет находится на хард ноде,
>а значит, взломав его можно будет получить доступ ко всем VDS
>установленным на этом железном ноде.Абсолютно надежных программ нет, но в целом nginx имеет высокие показания надежности, по крайней мере надежней апача. Кроме того вероятность взлома master процесса очень низка, а worker можно запустить под пользователем не имеющем доступа к /vz
>2. OpenVZ предлагает в качестве хард системы использовать Red Hat, насколько это
>желательно? могу ли использовать ту систему которую лучше знаю (в для
>меня это ubuntu)?? или хард систему лучше все же Red Hat,
>а уже VDS можно и Ubuntu?У меня на дебиане работает, проблем не встречал.
>я всегда считал что nagios больше грузит систему, чем тот же munin,
>я не прав? и, критично если я буду делать систему мониторинга
>на том же сервере где у меня все эти сайты будут
>крутится? или лучше выделить отдельно сервер, а на веб-сервер установить только
>клиента мониторинга?Вам виднее, что именно вы хотите мониторить. Из обязательного увеличение счетчиков в /proc/user_beancounters
>Напоследок, хотел бы уточнить. Если я буду использовать технология OpenVZ, мне не
>так уж и будет страшен DDos с той точки зрения что
>он может положить весь сервак. Он не положит все сайты на
>одном сервере, а только тот который будет атаковать, а у того
>VDS соответственно просто будет под завязку забита его квота. Остальные же
>сайты будут работать как и работали. Я прав?Да.
>ЗЫ. хотя по идее если много ресурсов у атакующего и цель атаки
>не сайт на хостинге, а хостинг, он может узнать размещенные на
>моем IP сайты и начать атаковать всех их.Задумайтесь о том как он будет узнавать это :)
Чаще всего ddos заказывается на конкретный сайт.>ЗЗЫ. просто интересное. я не могу понять почему тот же мелкософт не
>придумает маленькую службу которая бы реагировала когда комп посылает кучу запросов
>без ведома пользователя, то есть комп является "зомби" и блокировала те
>процессы которые это делают. Ведь бороться на этом уровне намного эффективней
>чем разными squid guardМожете назвать подобную службу в никсах? Кроме того, как узнать границу количества запросов и с ведома пользователя или нет? Задавать вопрос не годится, пользователь сам такую службу прибьет :)