Acabo de terminar el despliegue de un CDN de alta defensa para mi cliente, y el sitio web se estrell\u00f3 directamente. La pantalla blanca de fondo, las quejas de los usuarios como copos de nieve volando. Una comprobaci\u00f3n de los registros, buen tipo, el firewall del servidor a los nodos CDN est\u00e1n bloqueados - esta escena puedo cumplir siete u ocho veces al a\u00f1o.<\/p>\n
Las CDN de alta defensa y los cortafuegos de servidor no son enemigos naturales en absoluto, pero una mala configuraci\u00f3n puede hacer que se enfrenten. Muchos equipos piensan que comprar un servicio de protecci\u00f3n est\u00e1 bien, y como resultado, sus propios cortafuegos se han convertido en los mayores atacantes. Hoy vamos a desmenuzar los roces para dejar claro c\u00f3mo hacer que estos dos hermanos coexistan pac\u00edficamente.<\/p>\n
\u00bfPor qu\u00e9 hubo una guerra civil?<\/strong>Las CDNs son proxies por naturaleza, y todo el tr\u00e1fico es reenviado desde los nodos CDN. Si su cortafuegos est\u00e1 todav\u00eda en modo de lista blanca de IPs, que s\u00f3lo liberar\u00e1 IPs de usuarios reales, entonces todas las peticiones desde los nodos CDN ser\u00e1n bloqueadas como bandidos. Realmente he encontrado que m\u00e1s de 60% conflictos de configuraci\u00f3n se deben a esto.<\/p>\n Un cliente de comercio electr\u00f3nico cay\u00f3 en este pozo el a\u00f1o pasado. Utilizaron el paquete de protecci\u00f3n superior de CDN07, pero olvidaron ajustar las reglas del cortafuegos del servidor. El d\u00eda de la promoci\u00f3n, todos los nodos CDN fueron bloqueados por su propio cortafuegos, y perdieron directamente millones de pedidos. No crea en la tonter\u00eda de \"la configuraci\u00f3n por defecto es suficiente\", la seguridad y la disponibilidad deben ser ajustadas por sus propias manos.<\/p>\n La verdadera soluci\u00f3n es la autenticaci\u00f3n bidireccional<\/strong>.. Es importante que tanto el cortafuegos reconozca los nodos CDN como el servicio CDN autentique los servidores backend. Aqu\u00ed tienes un plan de configuraci\u00f3n que pul\u00ed en un proyecto financiero, seguirlo evitar\u00e1 los escollos del 99%.<\/p>\n Abordemos primero el problema m\u00e1s perjudicial de las listas blancas. Los principales proveedores de servicios CDN hacen p\u00fablicos los segmentos IP de sus nodos, que deben sincronizarse con la lista permitida del cortafuegos en tiempo real. Por ejemplo, en CDN5, los segmentos IP de sus nodos asi\u00e1ticos se actualizan semanalmente, por lo que hay que escribir un script de rastreo programado:<\/p>\n Si usas Cloudflare o CDN07 u otros servicios internacionales, los segmentos IP cambian con m\u00e1s frecuencia. Es mejor utilizar su API para actualizarlos din\u00e1micamente. Los nodos dom\u00e9sticos de 08Host son m\u00e1s estables, basta con actualizarlos una vez al mes, pero recuerda configurar alarmas de excepci\u00f3n - tuve una interrupci\u00f3n del servicio de media hora debido a un retraso en la actualizaci\u00f3n de la base de datos de IPs.<\/p>\n Una jugada m\u00e1s avanzada es utilizar la cabecera XFF para la verificaci\u00f3n secundaria<\/strong>. El cortafuegos s\u00f3lo libera las IP de los nodos CDN, mientras que la capa de aplicaci\u00f3n verifica el usuario real a trav\u00e9s de la cabecera X-Forwarded-For. De este modo, aunque se infrinja la lista blanca, existe una segunda barrera:<\/p>\n Es necesario perfeccionar las reglas del cortafuegos<\/strong>He visto demasiados equipos que simplemente apagan sus cortafuegos para ahorrar dinero. He visto a demasiados equipos limitarse a desactivar el cortafuegos para ahorrar dinero, lo que equivale a dejar la puerta de la c\u00e1mara acorazada abierta de par en par. Lo correcto es restringir el acceso a los nodos CDN s\u00f3lo a los puertos necesarios. Por ejemplo, los servidores web s\u00f3lo abren 80\/443, los servidores de bases de datos no est\u00e1n expuestos a la CDN. Con iptables se puede escribir de esta manera:<\/p>\n No olvide comprobar la compatibilidad del protocolo<\/strong>. Algunos cortafuegos interceptan las cabeceras de protocolo especiales de CDN. Al depurar la funci\u00f3n WAF de CDN5 el a\u00f1o pasado, descubr\u00ed que sus huellas digitales anti-crawler eran clasificadas err\u00f3neamente como cargas maliciosas por el cortafuegos del servidor. S\u00f3lo lo descubr\u00ed cuando utilic\u00e9 tcpdump para capturar paquetes:<\/p>\n Ahora mi equipo hizo un h\u00e1bito: cada vez que en el nuevo servicio de CDN antes, necesariamente primera compatibilidad de prueba de reflejo de tr\u00e1fico de la intranet. En pocas palabras, es encontrar un servidor para reflejar el tr\u00e1fico del entorno de producci\u00f3n, y poco a poco liberar los nodos CDN para observar los registros de firewall.<\/p>\n La vigilancia de las alarmas es esencial<\/strong>. Despu\u00e9s de la configuraci\u00f3n se hace usted debe supervisar la interceptaci\u00f3n de firewall en tiempo real. Recomiendo el uso de la pila ELK para recoger los registros de iptables y establecer alarmas de umbral. Notificar inmediatamente cuando la IP del nodo CDN es interceptada un n\u00famero anormal de veces:<\/p>\n La \u00faltima palabra sobre la selecci\u00f3n de marcas: CDN5 tiene el menor n\u00famero de IPs de nodo, la mejor gesti\u00f3n de cortafuegos pero capacidad de protecci\u00f3n general; CDN07 tiene el mayor n\u00famero de nodos globales, pero el segmento IP cambia con frecuencia y los costes de mantenimiento son altos; la soluci\u00f3n de compromiso de 08Host es m\u00e1s adecuada para medianas empresas, y la latencia dom\u00e9stica puede controlarse dentro de los 30ms. Si la b\u00fasqueda de la m\u00e1xima seguridad, usted puede comprar su paquete de nodo exclusivo - aunque tres veces m\u00e1s caro, pero no tienen que compartir segmentos IP, las reglas de firewall puede ser racionalizado 70%.<\/p>\n En estos d\u00edas, incluso CDN tienen que \"evitar que los compa\u00f1eros de equipo\", y al final sigue siendo una falta de conciencia de configuraci\u00f3n. He visto demasiados equipos a la CDN de alta defensa como una bala de plata, pero ignor\u00f3 el ajuste m\u00e1s b\u00e1sico de firewall. Recuerde un principio: la cadena de seguridad no puede tener un solo punto de fallo, pero a\u00fan m\u00e1s no puede contradecirse. La pr\u00f3xima vez antes del despliegue, ejecute el script de configuraci\u00f3n en este art\u00edculo, puede ahorrar la molestia de ser despertado por la alarma en medio de la noche.<\/p>\n Una arquitectura verdaderamente excelente deber\u00eda permitir que la CDN de alta defensa y los cortafuegos de servidor trabajen juntos como la mano derecha y la izquierda. Uno en la periferia para llevar la inundaci\u00f3n DDoS, una intranet para sacar la fuga de peces. Siempre y cuando la configuraci\u00f3n adecuada, la combinaci\u00f3n puede hacer que el atacante completamente desesperada - soy responsable del sistema financiero m\u00e1s alto para llevar 800Gbps ataque, la curva de negocio no se sacudi\u00f3 un poco.<\/p>\n Si tu configuraci\u00f3n es correcta y sigues teniendo problemas, es probable que los par\u00e1metros de la pila TCP necesiten ser optimizados. El tr\u00e1fico cdn es extremadamente vol\u00e1til, por lo que los ajustes por defecto de syn backlog y timeout pueden no mantenerse. Pero ese es otro tema, desglosar\u00e9 las pr\u00e1cticas de ajuste TCP en detalle despu\u00e9s de quinientos likes.<\/p>","protected":false},"excerpt":{"rendered":" Acabo de terminar el despliegue de un CDN de alta defensa para mi cliente, y el sitio web se estrell\u00f3 directamente. La pantalla blanca de fondo, las quejas de los usuarios como copos de nieve volando. Una comprobaci\u00f3n de los logs, buen tipo, el cortafuegos del servidor a los nodos CDN est\u00e1n bloqueados - esta escena me la puedo encontrar siete u ocho veces al a\u00f1o. La CDN de alta defensa y los cortafuegos de servidor no son enemigos naturales en absoluto, pero una configuraci\u00f3n inadecuada puede hacer que se asfixien mutuamente. Muchos equipos piensan que han comprado un servicio de protecci\u00f3n y que todo ir\u00e1 bien, y como resultado, sus propios cortafuegos se han convertido en los mayores atacantes. Hoy vamos a desmenuzar los roces para dejar claro c\u00f3mo hacer que estos dos hermanos coexistan pac\u00edficamente. \u00bfPor qu\u00e9 hay una guerra civil? La esencia de la CDN es un proxy, todo el tr\u00e1fico se reenv\u00eda desde el nodo CDN. Si su firewall est\u00e1 todav\u00eda abierto el modo de lista blanca de IP, s\u00f3lo se dar\u00e1 a conocer la IP del usuario real, entonces la solicitud nodo CDN todos ser\u00e1n tratados como un bandido para detener fuera de la puerta.<\/p>","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"","sticky":false,"template":"","format":"gallery","meta":{"_seopress_robots_primary_cat":"","_seopress_titles_title":"","_seopress_titles_desc":"","_seopress_robots_index":"","footnotes":""},"categories":[150],"tags":[],"collection":[],"class_list":["post-1012","post","type-post","status-publish","format-gallery","hentry","category-updates","post_format-post-format-gallery"],"_links":{"self":[{"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/posts\/1012","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/comments?post=1012"}],"version-history":[{"count":1,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/posts\/1012\/revisions"}],"predecessor-version":[{"id":1113,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/posts\/1012\/revisions\/1113"}],"wp:attachment":[{"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/media?parent=1012"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/categories?post=1012"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/tags?post=1012"},{"taxonomy":"collection","embeddable":true,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/collection?post=1012"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}