Nakouknutí do administrace WEDOS Global Protection

[gtranslate]

První službu, kterou spustíme na naší celosvětové síti WEDOS Global, bude WEDOS Global Protection. Má důležitý úkol – ochránit všechny weby našich zákazníků před různými druhy útoků a zároveň i naši infrastrukturu. Časem zpřístupníme administraci WEDOS Global Protection každému, aby si mohl upravit nastavení ochran podle svých představ.

Co je WEDOS Global Protection

Zjednodušeně řečeno WEDOS Global Protection funguje jako reverzní proxy, za kterým je schovaný váš web před světem. Doménu nasměřujete na naše DNS a v ten okamžik už se útočníci nedostanou dál, než k nejbližší reverzní proxy WEDOS Global Protection, kterých budou po světě desítky. Ta se stává prostředníkem pro komunikaci mezi celosvětovou sítí Internet a serverem, kde máte vaše data.

WEDOS Global Protection obsahuje:

  • Náš SYN filtr s obřím seznamem problémových IP adres, z kterých jdou jen útoky.
    • IP adresy napadených zařízení z kterých jdou útoky, detekované 3. stranou (placené blacklisty).
    • IP adresy z kterých detekujeme útoky (naše vlastní).
    • IP adresy z kterých jde problémový provoz, ale nemusí znamenat útok (omezujeme, podle potřeby).
  • DDoS ochranu
    • Ochrana před útoky přes síťovou vrstvu (3. vrstva) – IP/ICMP
    • Ochrana před útoky přes transportní vrstvu (4. vrstva) – TCP/UDP (včetně SYN-ACK)
  • Webovou ochranu na aplikační vrstvě (7. vrstva)
    • Vlastní blacklisty IP.
    • Filtrování podle zemí.
    • Různé možnosti zastavení útoků.

WEDOS Global Protection tak chrání váš web jednak před útoky, ale také útočník neví, kde máte fyzicky server. Můžete tak zamaskovat i to, kde hostujete. Což má další výhody.

U služeb NoLimit, NoLimit Extra, LowCost, WebSite a WMS budeme zahazovat veškerý provoz, který nepůjde přes WEDOS Global Protection. Tím si zajistíme, že útočníci nebudou moct ochranu obejít.

WEDOS Global Protection navíc pojede na všech bodech WEDOS Global. Děláme vše proto, abychom si do konce jara zajistili 30 bodů po celém světě. Více v článku Budování WEDOS Global – První domluvená místa pro infrastrukturu. Jedná se o BGP Anycast, takže IP adresy reverzních proxy jsou rozmístěné po celém světě a každý se k nim připojuje podle toho, který má nejblíže.

Administrace WEDOS Global Protection

Administrace WEDOS Global Protection bude oddělená od naší zákaznické administrace. Mohli jsme si tak dovolit zkusit vytvořit vše úplně od základu. Budeme postupně sbírat zpětnou vazbu, i pro budoucí vylepšení naší zákaznické administrace.

Administrace WEDOS Global Protection je už od začátku postavena s ohledem na používání na mobilních telefonech. Zákazník v případě útoku musí mít možnost, co nejdříve reagovat i když není u počítače.

Hned po přihlášení se dostanete na stránku Přehled. Na té se prozatím nic nenachází. Poslouží jako nástěnka, kde budou kromě důležitých událostí a upozornění i statistiky. Tato data prozatím sbíráme mimo a pracujeme s nimi pro ladění služby jako takové.

Další stránku, kterou tak zřejmě navštívíte jsou Domény. Najdete zde seznam domén, které jsou v systému. Jak vidíte na screenshotu níže, tak už tam pomalu začínáme sypat všechny domény, kde mají naši zákazníci weby. Tento proces je zdlouhavý a jdeme na to postupně, protože je nutné vygenerovat certifikáty, které zajistí šifrovanou komunikaci.

Z této stránky se můžete dostat na konkrétní profil domény. Do budoucna zde budou dominovat hlavně statistiky. Najdete zde i rychlé akce jako je například Smazat cache. I cache je jeden ze způsobů, jak se bránit útokům.

Přejdeme dále na Blacklist. Jedná se o základní ochranu. Pokud zjistíte, že vám někdo dělá na webu neplechu, tak můžete zablokovat jeho IP adresu anebo celý rozsah. Zároveň jde dát na rozsah výjimku pro konkrétní IP adresu.

Další je GeoIP. Jedná se dlouhodobě o nejpoptávanější a nejpoužívanější funkci našich ochran. Můžete totiž ovlivnit přístup na vaše stránky podle státu. Každý stát má přidělené určité rozsahy IP adres a vy je můžete všechny jedním klikem zakázat. Vybrat můžete konkrétní stát anebo celý kontinent.

Krom zamezení útoků z konkrétních zemí, můžete také omezit provoz, pokud o něj nemáte zájem. Máme řadu klientů, kteří mají web anebo software na VPS určený jen pro omezený okruh známých a kamarádů. Například herní servery, komunikační software (TeamSpeak), firemní systémy atd.

Další položkou v menu je Captcha, nejsilnější obrana proti robotům. Můžete pomocí ní chránit web před celým světem anebo před vybranými zeměmi, rozsahy atd. Nastavit půjde zda-li chcete rozlišovat velikost písmen a délka. Řadu robotů odradí, že musí vyplnit cokoliv, tak proč trápit uživatele dlouhou captchou.

Útočit velice efektivně může i prohlížeč. Při prvním pokusu může captchu vyplnit člověk a pak přepnout na automatiku. Proto je možné nastavit délku držení cookies, než je nutné vyplnit captchu znovu. Vyhnete se tak útokům, kde by útočník jednou captchu vyplnil a nechal běžet počítač celou noc.

Stránka s captchou vypadá aktuálně následovně. Je to jediná, kterou používáme. Do budoucna však plánujeme, že by si zákazník mohl udělat vlastní ve WEDOS WebSite. Ta by se používala i pro cookie + redirekt.

Cookie a přesměrování je jednoduchá ochrana, která dokáže zastavit většinu robotů. Na rozdíl od captcha od uživatele nevyžaduje nic jiného, než pár vteřin počkat. Konkrétně než se mu uloží do prohlížeče cookie a dojde k přesměrování přes JavaScript. Tohle převážná většina robotů nedokáže.

Samozřejmě počítáme i s tím, že můžete narazit na uživatele, který má z bezpečnostních důvodů zakázané všechny cookie anebo dokonce JavaScript. Tyto můžete přesměrovat například na statickou stránku.

Podobně jako u ostatních ochran, lze zadat i výjimku pro různé IP adresy a rozsahy.

Ochrana pomocí uložení souborů do cache proxy serveru se ukázala jako velmi efektivní proti některým druhům útoků. Například pokus o útoky na neexistující soubory, které nedokáže anebo ještě nemá redakční systém cachované. Dále jsme ji úspěšně otestovali i pro webové útoky, proti takzvaným dezinformačním webům. Na seznamy k útoku se totiž často dostaly i weby, které nemají s Ruskem nic společného.

Jednou z hlavních výhod reverzní proxy také je, že může posloužit i pro rozložení zátěže anebo v případě výpadku cílového serveru jej nahradit jiným. Tato funkce se skrývá v menu pod Cílové IP adresy.

WEDOS Global Protection můžete tedy použít i pro rozložení zátěže mezi více serverů a/nebo nadefinovat si záložní. Klidně můžete mít webovou prezentaci u více hostingových společností anebo ve více kopiích.

Závěr

Jak vidíte, se službou jsme opravdu pohnuli kupředu a už teď toho umí celkem dost. Úspěšně chrání weby před různými druhy útoků a jejich provozovatelé se v klidu mohou věnovat svému podnikání.

Lehká ukázka provozu na zhruba padesáti chráněných webech za poslední hodinu.

Ale to je teprve začátek. Další rozšíření bude postaveno na sběru a vyhodnocení dat. Máme v plánu připravit například balíček filtračních pravidel pro WordPress, filtr který zabrání stahování souborů (blokuje volání všech potenciálně stažitelných souborů), filtr robotů, kteří šmírují a sbírají marketingová data atd. Vše si budete moct zapnout, případně upravit výjimky.

A to nejlepší je, že máme v plánu i variantu zdarma pro osobní weby. Nepůjde tam toho zas tak moc nastavovat, ale už od začátku bude velice efektivní, srovnatelná s placenými od konkurence.

Další výhodu vidíme v tom, že máme zkušenosti s ochranou evropských webů. Nejlepší ochrany na podobném principu jsou od firem z USA, které se na evropský trh zas tak moc nehrnou. Je to znát z toho, co projde na naše zákazníky, i když jejich weby jsou chráněné. K tomuto už máme více dat i více zkušeností. Přeci jen se ochranám služeb a infrastruktury věnujeme od roku 2013.

No a samozřejmě je tu i problém legislativy. EU má přísnější podmínky, co do ochrany osobních údajů. Získat například zpracovatelskou smlouvu může být problém, přitom pro řadu firem z EU je zásadní.

Ale to bychom předbíhali. Ještě nás čeká hodně práce 🙂