Kako zaščititi izvor s tunelom Cloudflare Argo?

Ne dovolite, da nekdo obide zaščito pred Cloudflare in zlorabi vaš izvorni strežnik!


Cloudflare je ena izmed priljubljenih CDN in varnostnih platform, ki napaja milijone spletnih mest od malih do podjetij. Ko implementirate Cloudflare za svoje spletno mesto, je ves promet zavarovan in pospešen. To pa velja, ko do spletnega mesta dostopate z imenom domene. Kaj pa če nekdo ugotovi dejanski IP strežnika (izvor) in ga zlorabi?

Iskanje IP strežnika za spletno mesto za Cloudflare ne traja veliko. Izvedite lahko, kako je, kot je razloženo tukaj in tukaj. Vidite, samo implementacija CDN in WAF v oblaku ni dovolj. Razmislite tudi o zaščiti izvora.

Kakšna je torej rešitev?

Predor Argo – pametna rešitev Cloudflare za zaščito izvornega strežnika pred neposrednim napadom.

To je demon, ki ga morate namestiti na strežnik, ki ustvari šifriran tunel med strežnikom v omrežje Cloudflare. Konfiguracija tabele ACL / IP ni nič zapletena.

Dobra novica je, da vam ni treba imeti PRO ali višjega načrta. Začnete ga lahko tudi, če ste pod BREZPLAČNIM načrtom. Vse, kar plačate, je za naročnino Argo, ki se začne od 5 dolarjev na mesec.

Začnimo z namestitvijo in nastavitvijo.

Namestitev demona Cloudflare

  • Prijavite se na izvorni strežnik s privilegijem root ali sudo
  • Prenesite najnovejši stabilni paket. Sem na Ubuntu-ju, zato .deb datoteko za druge OS, oglejte uradna stran za prenos.

wget https://bin.equinox.io/c/VdrWdbjqyF/cloudflared-stable-linux-amd64.deb

  • Namestite naloženi paket

dpkg -i stabilno v oblaku-linux-amd64.deb

  • Preverimo različico, da zagotovimo, da je nameščena

[zaščitena e-pošta]: ~ # cloudflared – pretvorba
različica z oblakom 2020.2.0 (zgrajena 2020-02-07-1653 UTC)
[zaščitena e-pošta]: ~ #

Super!

Overi Daemon

Naslednja bi bila overitev za Cloudflare z uporabo demona. Zaženite spodnji ukaz

prijava v tunel z oblakom

  • Povedal vam bo URL, s katerim se lahko prijavite v Cloudflare in pooblastite spletno mesto.

[zaščitena e-pošta]: ~ # prijava v tunel z oblakom
Odprite naslednji URL in se prijavite s svojim računom v Cloudflare:

https://dash.cloudflare.com/argotunnel?callback=https%3A%2F%2Flogin.argotunnel.com%XXXXX-XXX-XXXXXX%3B

Pustite, da teče v oblakih, da samodejno prenesete cert.
INFO [0030] Čakanje na prijavo…
INFO [0060] Čakanje na prijavo…
INFO [0090] Čakanje na prijavo…
INFO [0120] Čakanje na prijavo…
Uspešno ste se prijavili.
Če želite kopirati poverilnice na strežnik, so bile shranjene v:
/root/.cloudflared/cert.pem
[zaščitena e-pošta]: ~ #

  • Ko ste pooblaščeni, bi morali videti nekaj takega.

Zagon predora

Začnimo s tuneliranjem spodaj.

tunel z oblakom – ime imena [HOSTNAME] http: // localhost: 80

Primer:

[zaščitena e-pošta]: ~ # tunel z oblakom – ime imena tunel.geekflare.com http://0.0.0.0:80
OPOZORILO Ne morem določiti privzete konfiguracijske poti. V datoteki [~ / .cloudflared ~ / .cloudflare-/ warp ~ / cloudflare-warp / usr / local / etc / cloudflared / etc / cloudflared] ni datoteke [config.yml config.yaml]
INFO Različica 2020.2.0
INFO [0000] GOOS: linux, GOVersion: go1.12.7, GoArch: amd64
INFO [0000] Označi ime gostitelja = tunnel.geekflare.com proxy-dns-upstream ="https://1.1.1.1/dns-query, https://1.0.0.1/dns-query"
INFO Območje oblakov se ne bo samodejno posodobilo, ko se zažene iz lupine. Če želite omogočiti samodejne posodobitve, zaženite oblak kot storitev: https://developers.cloudflare.com/argo-tunnel/reference/service/
INFO [0000] Zagon strežnika metričnih podatkov addr ="127.0.0.1:35597"
INFO [0000] Posredovanje prošenj za predor na http://0.0.0.0:80
INFO [0000] Povezana z LAX povezavoID = 0
INFO [0001] ID-ji tunela vsake povezave HA: preslikava [0: xxx] povezavaID = 0
INFO [0001] Poti, ki se širi, lahko traja do ene minute, da nova funkcija postane funkcionalna povezavaID = 0
INFO [0003] Povezana z LAX

Čestitamo! izvor je zdaj zaklenjen. Poskusite odpreti svoje spletno mesto s pomočjo izvornega IP-ja in prikazati bi se moralo sporočilo “povezava zavrnjena”.

Zagon predora Argo pri Boot-u

Zagotovimo, da se predor Argo zažene ob ponovnem zagonu strežnika. Zaženite spodnji ukaz na strežniku.

namestitev storitve z oblakom

Zaključek

Predor Cloudflare Argo izgleda obetavno. V približno 30 minutah lahko zaščitite izvorni strežnik.

Oznake:

  • Cloudflare

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map