Как защитить веб-сайт с помощью CloudFlare?
Что может угрожать сейчас веб-сайту в сети Интернет?
Предположим, что наш сетевой проект не содержит явных эксплойтов, вроде SQL-injection – то есть, движок сайта идеален, сферичен и сияет в вакууме.
Как будут враги бомбить ваш сайт?
Типичная атака, Zerg rush в мире сетей – эта атака DDoS, бомбардировка сетевого ресурса пакетами с целью вызвать перманентный отказ в обслуживании. Для того, чтобы стать жертвой такой атаки, веб-сайту нужно “сильно постараться” – обычно эффективная DDoS-атака требует значительных ресурсов (но, тем не менее, ваш сайт может “задеть отдачей” от атаки на вашего соседа по shared-хостингу).
Более актуальная для всех угроза – тихий сканнинг сетевых портов и служб ресурса с brute forc-ом на слабые или известные пароли. Одна ошибка, один незакрытый порт или простой пароль (возможно, даже не ваш – а хостера!) – и ваш проект успешно заражается зловредным кодом, который будет тихо ждать “дня икс”, когда по команде Центра он присоединится к botnet-сети для массированной рассылки спама, или DDoS-атаке, или в один прекрасный день все файлы окажутся надежно зашифрованы от вас, до оплаты выкупа на биткоин-кошелек.
Сервис CloudFlare работает с обоими видами угроз, и вместе с этим, предоставляет дополнительные услуги для поддержки веб-сайтов (например, загрузку сайта из более раннего “снимка”, при обрушении хостера).
Физически CloudFlare представляет собой сетевой фильтр, через который перенаправляется входящий и исходящий трафик для зарегистрированного в нем сайта.
Важный момент – CloudFlare защищает ресурс по URL, работая на уровне домена, то есть если злоумышленнику известен IP сайта в сети, работа CloudFlare теряет смысл.
После регистрации в CloudFlare, пользователь получает псевдоним для исходного домена вида your_site_name.ns.cloudflare.com, который нужно указать в настройках хостинга вместо первоначального значения. При всех атаках либо подозрительной активности, сервера CloudFlare отсекают зловредный трафик от того, который будет транслироваться дальше собственно на сайт у хостера.
Панель управления CloudFlare позволяет запретить доступ к сайту для определенных IP, для их диапазона либо даже для отдельных стран.
На случай активных DDoS-атак, в CloudFlare включается режим “I’m under attack!”, после чего перед каждым сеансом работы с сайтом происходит проверка, не участвует ли в атаке открывающий его клиент. При этом пользователи ресурса видят в браузере защитную страницу CloudFlare в течении нескольких секунд, после чего происходит загрузка требуемой страницы.
Изучить все остальные возможности сервиса CloudFlare, его тарифные пакеты, и освоить меры по защите сайта на практике вы сможете на нашем авторском курсе “L2-Security. Безопасность в Linux“.