Get best of the week

Superação do proxy reverso - tecnologia para proteção remota e otimização de sites sem alterar os registros A do DNS



No mês passado, a carga média em recursos da Internet aumentou significativamente devido à transição generalizada para trabalho e treinamento a distância (veja exatamente como ler nosso artigo “Pandemia e tráfego - uma visão do operador de telecomunicações . ..? serviços de treinamento sob solicitação de entrega de alimentos em tais circunstâncias, os possíveis danos econômicos causados ​​pela indisponibilidade do recurso, inclusive devido a ataques DDoS, especialmente altos Qual solução escolher para defender seu projeto

no material que você encontrará:

  • Limitações de proteção por meio do proxy reverso clássico com a alteração dos registros A do DNS, sobre os quais os provedores costumam ficar calados.
  • Qual solução você deve escolher para evitar os riscos associados a essas limitações?
  • Um caso real com a proteção de um grande projeto, sem mover e alterar registros-A.
  • Recomendações gerais para organizar a proteção do recurso da Internet.

Então, as primeiras coisas primeiro. Você decidiu proteger seu projeto crescente de ataques DDoS. A base de qualquer proteção é a análise e a filtragem do tráfego recebido. Mas, para limpar o tráfego, ele deve primeiro ser entregue ao centro de limpeza. Daqui em diante, sob a "decisão de proteção", significaremos uma combinação de tecnologias para a entrega e purificação do tráfego.

Provavelmente, a primeira solução que você encontrar será baseada na tecnologia de proxy reverso com uma alteração dos registros A do DNS. Portanto, primeiro consideraremos o princípio da tecnologia, seus recursos (se você estiver familiarizado com o proxy reverso - fique à vontade para ignorar essas duas seções) e as restrições associadas à entrega do tráfego (isso não deve ser ignorado). Em seguida, mostraremos como essas restrições podem ser contornadas pelo exemplo de um caso real. No final, daremos algumas recomendações gerais sobre como proteger os recursos da Internet.

Proxy reverso - como funciona


Aqui, examinamos o proxy reverso como um meio de fornecer tráfego. O esquema de seu trabalho é bem conhecido por todos, mas é simplesmente impossível não mencioná-lo aqui.



  1. Alterar registros A do DNS - em vez do endereço IP do servidor web, o endereço IP do servidor proxy é indicado. Distribuição de mudanças em todo o mundo (propagação de DNS).
  2. O sistema operacional visitante solicita o endereço IP correspondente ao nome de domínio do site (resolução DNS).
  3. O servidor DNS responde à solicitação relatando o endereço IP do servidor proxy.
  4. O navegador do visitante abre uma sessão HTTP (s) e envia solicitações ao servidor proxy, que restabelece uma conexão com o servidor da Web de destino e passa as solicitações para ele.

Recursos de proxy reverso


Quais oportunidades oferecem soluções que funcionam por meio de proxy reverso com a alteração do registro A?

  • Monitorando solicitações e protegendo o site contra ataques no nível do aplicativo. A tecnologia permite processar cada solicitação em nível de aplicativo que chega ao servidor de destino.
  • Reduza a carga no servidor da web de destino e acelere o site. Nos servidores proxy, você pode compactar e armazenar em cache os dados - essa é a base do trabalho da CDN (Content Delivery Network).
  • Balanceamento de carga flexível entre vários servidores web de destino. A tecnologia permite distribuir a carga de solicitações de processamento entre várias máquinas. Isso melhora a resiliência e o desempenho do sistema.
  • Fácil de conectar. Para ativar a proteção, basta alterar os registros A do DNS e aguardar que as alterações entrem em vigor. Realocação, novo hardware e software não são necessários.
  • Ocultando o endereço IP real do servidor web de destino. O visitante usa o endereço IP do servidor proxy para contato e também recebe respostas dele, o que garante o anonimato do recurso da web de destino.

Restrições de proxy reverso


Essa tecnologia tem várias armadilhas, das quais não é muito comum falar. Suas limitações incluem:

  • DDoS- - . IP- -, , DNS-. DDoS- .
  • IP-, . , IP- . IP- , IP .
  • / .  DNS (DNS propagation). , . DNS propagation TTL (Time to Live) DNS-, .
  • -, TCP-, 80 443. - , , UDP-, . .



As desvantagens das soluções para proteção contra ataques DDoS baseadas no Proxy Reverso "clássico" estão começando a ser sentidas à medida que um projeto em crescimento enfrenta um número crescente de limitações de tecnologia. Quais soluções técnicas podem nivelar ou reduzir significativamente os riscos de inacessibilidade do site devido às desvantagens listadas? - Leia abaixo.

Superando o proxy reverso


Vejamos o problema com um exemplo real de nossa prática. No ano passado, um grande cliente entrou em contato conosco com uma lista específica de requisitos para serviços de proteção. Não podemos divulgar o nome da empresa por razões óbvias, mas pelas necessidades do cliente - por favor:

  • Proteja os sites contra ataques no nível do aplicativo.
  • Para remover parte da carga dos servidores da web de destino e acelerar o carregamento dos sites - o cliente tem muito conteúdo estático e está interessado em armazenar em cache e compactar dados nos nós CDN.
  • Fornecer proteção contra ataques diretos no endereço IP / rede (proteção contra ataques DDoS nos níveis L3-L4 OSI). 
  • Os serviços devem se conectar sem alterar os endereços IP externos dos recursos. O cliente tem seu próprio AS e blocos de endereço.
  • O gerenciamento dos serviços de processamento de tráfego e a mudança para os canais de backup devem ocorrer em tempo real - o nível de disponibilidade de recursos é crítico para o cliente.

As soluções baseadas no proxy reverso "clássico" com a alteração dos registros A do DNS permitem fechar os dois primeiros itens da lista.

Serviços como hospedagem segura, servidores virtuais e dedicados permitem que você se proteja de ataques nos níveis L3-L7 OSI, mas exigem realocação e significa usar um único provedor de segurança. O que fazer?

Proteção DDoS dentro da rede com serviços protegidos


A instalação do equipamento de filtragem na sua rede permite proteger serviços nos níveis L3-L7 OSI e gerenciar livremente as regras de filtragem. Você suporta capital significativo (CaPex) e despesas operacionais (OpEx) ao escolher esta solução. São despesas para:

  • equipamento de filtragem de tráfego + licenças de software (CapEx);
  • renovação de licenças de software (OpEx);
  • especialistas em tempo integral para instalar equipamentos e monitorar sua operação (OpEx); 
  • Canais de acesso à Internet suficientes para receber ataques (CapEx + OpEx);
  • pagamento do tráfego "indesejado" de entrada (OpEx).

Como resultado, o preço efetivo por megabit do tráfego não tratado se torna excessivamente alto. De qualquer forma, a capacidade de filtrar o tráfego para uma solução desse tipo será menor do que a de fornecedores especializados. Além disso, para aumentar a velocidade do site, de uma forma ou de outra, será necessário recorrer aos serviços dos provedores de CDN. Das vantagens da solução, vale ressaltar que o tráfego descriptografado não sai do perímetro da rede protegida. Discutiremos esse problema com mais detalhes posteriormente.

Mesmo para grandes empresas, essa solução geralmente não é economicamente viável, sem mencionar as médias e pequenas empresas. Também não se adequava ao nosso cliente.

Proxying sem alterar os registros A.


Para atender às necessidades desses clientes, desenvolvemos uma tecnologia para interceptar o tráfego da Web e o implementamos como parte do serviço de proteção remota sem alterar os registros A. A solução é baseada no princípio: todas as conexões entre o SA do cliente e as redes públicas devem ser protegidas. O cliente nos envia anúncios de seus endereços IP / redes via BGP, e os anunciamos na Internet.



Todo o tráfego destinado a recursos protegidos passa por nossa rede. O cliente pode deixar várias conexões de backup e usá-las em casos imprevisíveis, removendo os anúncios da rede DDoS-GUARD. No modo normal, recomendamos usar apenas nossas conexões para acessar a Internet, para garantir a proteção dos serviços ao cliente.

O diagrama abaixo mostra como o processamento de tráfego em nossa rede é organizado usando o exemplo de tráfego da web.



  1. IP-, , L7. API
  2. . «» L3-4 OSI.
  3. . TCP 80 443 , HTTP , -, .
  4. - . .
  5. Todo o tráfego especificado pelos endereços IP / domínios do cliente é processado no nível L7. Os servidores proxy filtram o tráfego, otimizam o conteúdo e o armazenam em cache.

Regras para redes e domínios podem ser criadas independentemente uma da outra. Ao criar uma regra para um domínio, você não precisa especificar o endereço IP do servidor da web. Essa abordagem permite não fazer alterações nas regras de filtragem ao migrar domínios entre servidores da Web na rede protegida. A pedido do cliente, podemos alterar as regras de processamento de forma a interceptar o tráfego em quaisquer outras portas.

Conclusão


Agora vamos verificar se a solução DDoS-GUARD desenvolvida atende à lista de requisitos da seção “Superando o proxy reverso”.

  • O cliente recebe proteção contra ataques nos níveis L3-L7 OSI.
  • O conteúdo é compactado e armazenado em cache nos nós da nossa CDN, o que reduz a carga nos servidores web de destino.
  • O gerenciamento de proteção ocorre em tempo real. O cliente gerencia regras de filtragem de tráfego para sub-redes, endereços IP e domínios individuais por meio de uma conta pessoal ou API. As alterações entram em vigor dentro de 1 minuto. Em caso de emergência, o cliente pode redirecionar todo o tráfego para ignorar a rede DDoS-GUARD simplesmente removendo os anúncios BGP.
  • Os endereços IP de propriedade da empresa permaneceram inalterados. O cliente não precisa comprar novos equipamentos, software, contratar pessoal adicional e pagar pelo tráfego não tratado.

Além disso, é possível proteger serviços e aplicativos em execução em portas não padrão.

PS


Recomendações gerais sobre como proteger seu projeto:

  • , .. — MTU (Maximum Transmission Unit). MTU, , .. , ) .
  • — — , .
  • (), , , . DDoS «-», . , 100% , I II .
  • -, . , 100% , I II .

More articles:


All Articles