Kaip apsaugoti išmanųjį namą nuo DDoS atakų?

22Vas

Kaip apsaugoti išmanųjį namą nuo DDoS atakų?

 

DDoS – tai paskirstyta DoS ataka, kai skirtinguose regionuose esantys kompiuteriai puola serverį. Kadangi atakos šaltinių yra daug, apsisaugoti nuo tokios atakos yra itin sunku. 

Kas atsitiks išmaniojo namo sistemai, jei ji nebus apsaugota papildomomis apsaugomis?

Išmaniojo namo sistemų gamintojai yra apgalvoję apie apsaugą nuo įsilaužimų. Loxone "miniserver" turi savo vidinę ugniasienę.  Aptikus prieš išmaniojo būsto sistemą nukreiptą DDoS ataką, ji tai aptiks ir automatiškai persikraus. Tai užtruks vos kelias sekundes ir sistema vėl veiks sklandžiai.


Virtualus privatus tinklas (VPN) – saugus ir patogus būdas pasiekti išmaniojo būsto sistemą. Visa informacija šifruojama ir pasiekiama tik iš Jūsų įrenginio.

Justinas VildžiusInžinierius ( Išmanūs sprendimai, UAB )
Prieš diegiant išmanųjį namą įvertiname kompiuterinio tinklo įrangos saugumą ir patikimumą. Atliekame visas būtinas modifikacijas.

Kaip apsaugoti išmaniojo namo sistemą nuo DDoS atakų?

Norint, kad įsibrovėlis neturėtų nė menkiausio šanso sutrikdyti įrangos darbo, išmanusis namas neturi turėti prieigos prie interneto. Tačiau namo šeimininkai nori turėti nuotolinę prieigą prie nustatymų, statistikos, nuotolinių pranešimų iš išmaniojo būsto. Kyla klausimas, ar tai saugu? Įdiegus išmanųjį "Mikrotik" maršrutizatorių sukuriamas saugus būdas pasiekti sistemą internetu. Naudojamas saugus VPN (l2tp, IPsec) tunelis, kuris šifruojamas ir inicijuojamas tik iš jūsų įrenginio. Tokiu būdu įsibrovėliai neturės galimybės įsilaužti į išmaniojo namo sistemą.

Pateikiame kelias ištraukas iš „Mikrotik“ ugniasienės

Apriboti iš 1 IP adreso susijungimų kiekį iki 100 sesijų.

/ip firewall filter add chain=input protocol=tcp connection-limit=LIMIT,32 action=add-src-to-address-list address-list=blocked-addr address-list-timeout=1d

 

Vietoje taisyklės DROP galima naudoti TARPIT, tokiu būdu sulėtinsime DDoS atakas.

/ip firewall filter add chain=input protocol=tcp src-address-list=blocked-addr connection-limit=3,32 action=tarpit

 

Galima pritaikyti nuodugnesnį filtravimo būdą, stebint TCP syn paketų būseną.  

/ip firewall filter add chain=forward protocol=tcp tcp-flags=syn connection-state=new action=jump jump-target=SYN-Protect comment="SYN Flood protect" disabled=yes

/ip firewall filter add chain=SYN-Protect protocol=tcp tcp-flags=syn limit=400,5 connection-state=new action=accept comment="" disabled=no

/ip firewall filter add chain=SYN-Protect protocol=tcp tcp-flags=syn connection-state=new action=drop comment="" disabled=no