Get best of the week

Proxy inverso superado: tecnología para protección remota y optimización del sitio sin cambiar los registros A de DNS



Durante el mes pasado, la carga promedio en los recursos de Internet ha crecido significativamente debido a la transición generalizada hacia el trabajo a distancia y la capacitación (vea exactamente cómo leer nuestro artículo "Pandemia y tráfico: una visión del operador de telecomunicaciones" . Los cines y juegos en línea, las plataformas en línea tienen una gran demanda. ..? servicios de capacitación a pedido de entrega de alimentos en tales circunstancias, el daño económico potencial causado por la falta de disponibilidad del recurso, incluso debido a los ataques DDoS, especialmente alto ¿Qué solución elegir para defender su proyecto

en el material que encontrará:

  • Limitaciones de protección a través del proxy inverso clásico con el cambio de registros A de DNS, sobre los cuales los proveedores a menudo guardan silencio.
  • ¿Qué solución debería elegir para evitar los riesgos asociados con estas limitaciones?
  • Un caso real con la protección de un gran proyecto, sin mover y cambiar los registros A.
  • Recomendaciones generales para organizar la protección del recurso de Internet.

Entonces, lo primero es lo primero. Decidió proteger su proyecto en crecimiento de los ataques DDoS. La base de cualquier protección es el análisis y el filtrado del tráfico entrante. Pero para despejar el tráfico, primero debe ser entregado al centro de limpieza. De aquí en adelante, bajo la "decisión de protección" nos referiremos a una combinación de tecnologías para la entrega y purificación del tráfico.

Lo más probable es que la primera solución que se le presente se base en la tecnología de proxy inverso con un cambio de registros A de DNS. Por lo tanto, primero consideramos el principio de la tecnología, sus capacidades (si está familiarizado con el proxy inverso, no dude en omitir estas dos subsecciones) y las restricciones asociadas con la entrega de tráfico (esto no debe omitirse). Luego, mostraremos cómo se pueden eludir estas restricciones con el ejemplo de un caso real. Al final, daremos algunas recomendaciones generales sobre cómo proteger el recurso de Internet.

Proxy inverso: cómo funciona


Aquí vemos el proxy inverso como un medio para entregar tráfico. El esquema de su trabajo es bien conocido por todos, pero es simplemente imposible no mencionarlo aquí.



  1. Cambio de registros A de DNS: en lugar de la dirección IP del servidor web, se indica la dirección IP del servidor proxy. Distribución de cambios en todo el mundo (propagación de DNS).
  2. El sistema operativo visitante solicita la dirección IP correspondiente al nombre de dominio del sitio (resolución DNS).
  3. El servidor DNS responde a la solicitud informando la dirección IP del servidor proxy.
  4. El navegador visitante abre una sesión HTTP (s) y envía solicitudes al servidor proxy, que restablece una conexión con el servidor web de destino y le pasa las solicitudes.

Funciones de proxy inverso


¿Qué oportunidades ofrecen soluciones que funcionan a través de proxy inverso con cambio de registro A?

  • Supervisar solicitudes y proteger el sitio de ataques a nivel de aplicación. La tecnología le permite procesar cada solicitud de nivel de aplicación que llega al servidor de destino.
  • Reduzca la carga en el servidor web de destino y acelere el sitio. En los servidores proxy, puede comprimir y almacenar en caché los datos: esta es la base del trabajo de Content Delivery Network (CDN).
  • Equilibrio de carga flexible entre múltiples servidores web de destino. La tecnología le permite distribuir la carga de solicitudes de procesamiento entre múltiples máquinas. Esto mejora la resistencia y el rendimiento del sistema.
  • Fácil de conectar Para habilitar la protección, simplemente cambie los registros A de DNS y espere a que los cambios surtan efecto. No se requiere reubicación, nuevo hardware y software.
  • Ocultar la dirección IP real del servidor web de destino. El visitante usa la dirección IP del servidor proxy para el contacto, y también recibe respuestas de él, lo que garantiza el anonimato del recurso web de destino.

Restricciones de proxy inverso


Esta tecnología tiene una serie de dificultades, de las cuales no es muy habitual hablar. Sus limitaciones incluyen:

  • DDoS- - . IP- -, , DNS-. DDoS- .
  • IP-, . , IP- . IP- , IP .
  • / .  DNS (DNS propagation). , . DNS propagation TTL (Time to Live) DNS-, .
  • -, TCP-, 80 443. - , , UDP-, . .



Las desventajas de las soluciones para la protección contra ataques DDoS basados ​​en el proxy inverso "clásico" comienzan a sentirse a medida que un proyecto en crecimiento se enfrenta a un número creciente de limitaciones tecnológicas. ¿Qué soluciones técnicas pueden nivelar o reducir significativamente los riesgos de inaccesibilidad del sitio debido a las desventajas mencionadas? - Lee abajo.

Proxy inverso de superación


Veamos el problema con un ejemplo real de nuestra práctica. El año pasado, un gran cliente nos contactó con una lista específica de requisitos para los servicios de protección. No podemos revelar el nombre de la empresa por razones obvias, pero las necesidades del cliente: por favor:

  • Proteja los sitios de ataques a nivel de aplicación.
  • Para eliminar parte de la carga de los servidores web de destino y acelerar la carga de sitios, el cliente tiene mucho contenido estático y está interesado en almacenar en caché y comprimir datos en nodos CDN.
  • Proporcione protección contra ataques directos en la dirección / red IP (protección contra ataques DDoS en los niveles L3-L4 OSI). 
  • Los servicios deben conectarse sin cambiar las direcciones IP externas de los recursos. El cliente tiene su propio AS y bloques de direcciones.
  • La gestión de los servicios de procesamiento de tráfico y el cambio a canales de respaldo deben realizarse en tiempo real: el nivel de disponibilidad de recursos es crítico para el cliente.

Las soluciones basadas en el proxy inverso "clásico" con registros DNS A cambiantes le permiten cerrar los dos primeros elementos de la lista.

Los servicios como alojamiento seguro, servidores virtuales y dedicados le permiten protegerse de los ataques en los niveles L3-L7 OSI, pero requieren reubicación y significa utilizar un único proveedor de seguridad. ¿Qué hacer?

Protección DDoS dentro de la red con servicios protegidos.


La instalación de equipos de filtrado en su red le permite proteger los servicios en los niveles OSI L3-L7 y administrar libremente las reglas de filtrado. Usted incurre en un capital sustancial (CaPex) y gastos operativos (OpEx) al elegir esta solución. Estos son gastos para:

  • equipo de filtrado de tráfico + licencias de software (CapEx);
  • renovación de licencias de software (OpEx);
  • especialistas a tiempo completo para configurar equipos y monitorear su operación (OpEx); 
  • Canales de acceso a Internet suficientes para recibir ataques (CapEx + OpEx);
  • pago del tráfico "basura" entrante (OpEx).

Como resultado, el precio efectivo por megabit de tráfico no tratado se vuelve excesivamente alto. En cualquier caso, la capacidad de filtrar el tráfico para tal solución será menor que la de los proveedores especializados. Además, para aumentar la velocidad del sitio, de una forma u otra tendrá que recurrir a los servicios de los proveedores de CDN. De las ventajas de la solución, vale la pena señalar que el tráfico descifrado no abandona el perímetro de la red protegida. Discutiremos este tema con más detalle más adelante.

Incluso para las grandes empresas, una solución de este tipo a menudo no es económicamente viable, sin mencionar las pequeñas y medianas empresas. Tampoco se adaptaba a nuestro cliente.

Proxying sin cambiar los registros A.


Para satisfacer las necesidades de dichos clientes, desarrollamos una tecnología para interceptar el tráfico web y la implementamos como parte del servicio de protección remota sin cambiar los registros A. La solución se basa en el principio: todas las conexiones entre el AS del cliente y las redes públicas deben estar protegidas. El cliente nos envía anuncios de sus direcciones IP / redes a través de BGP, y los anunciamos en Internet.



Todo el tráfico destinado a recursos protegidos pasa a través de nuestra red. El cliente puede dejar varias conexiones de respaldo y usarlas en caso de circunstancias imprevistas al eliminar los anuncios de la red DDoS-GUARD. En modo normal, recomendamos utilizar solo nuestras conexiones para acceder a Internet, de modo que podamos garantizar la protección de los servicios del cliente.

El siguiente diagrama muestra cómo se organiza el procesamiento del tráfico en nuestra red utilizando el ejemplo del tráfico web.



  1. IP-, , L7. API
  2. . «» L3-4 OSI.
  3. . TCP 80 443 , HTTP , -, .
  4. - . .
  5. Todo el tráfico especificado por las direcciones IP / dominios del cliente se procesa en el nivel L7. Los servidores proxy filtran el tráfico, optimizan el contenido y lo almacenan en caché.

Las reglas para redes y dominios se pueden crear independientemente una de la otra. Al crear una regla para un dominio, no necesita especificar la dirección IP de su servidor web. Este enfoque permite no realizar cambios en las reglas de filtrado al migrar dominios entre servidores web dentro de la red protegida. A pedido del cliente, podemos cambiar las reglas de procesamiento de tal manera que intercepten el tráfico en cualquier otro puerto.

Conclusión


Ahora verifiquemos si la solución DDoS-GUARD desarrollada satisface la lista de requisitos de la sección "Proxy inverso excedido".

  • El cliente recibe protección contra ataques en los niveles L3-L7 OSI.
  • El contenido se comprime y almacena en caché en los nodos de nuestra CDN, lo que reduce la carga en los servidores web de destino.
  • La gestión de la protección se realiza en tiempo real. El cliente administra las reglas de filtrado de tráfico para subredes, direcciones IP y dominios individuales a través de una cuenta personal o API. Los cambios surten efecto en 1 minuto. En una emergencia, el cliente puede redirigir todo el tráfico para evitar la red DDoS-GUARD simplemente eliminando los anuncios BGP.
  • Las direcciones IP propiedad de la empresa se han mantenido sin cambios. El cliente no necesita comprar nuevos equipos, software, contratar personal adicional y pagar el tráfico no tratado.

Además, es posible proteger servicios y aplicaciones que se ejecutan en puertos no estándar.

PD


Recomendaciones generales sobre cómo proteger su proyecto:

  • , .. — MTU (Maximum Transmission Unit). MTU, , .. , ) .
  • — — , .
  • (), , , . DDoS «-», . , 100% , I II .
  • -, . , 100% , I II .

More articles:


All Articles