{"id":48015,"date":"2020-10-23T19:12:25","date_gmt":"2020-10-23T17:12:25","guid":{"rendered":"https:\/\/blog.wedos.cz\/?p=48015"},"modified":"2020-10-26T06:40:48","modified_gmt":"2020-10-26T05:40:48","slug":"pocet-blokovanych-prenosu-presahl-60-aneb-jak-jsme-pokrocili-s-ochranou-vasich-webu","status":"publish","type":"post","link":"https:\/\/blog.wedos.com\/cs\/pocet-blokovanych-prenosu-presahl-60-aneb-jak-jsme-pokrocili-s-ochranou-vasich-webu","title":{"rendered":"Po\u010det blokovan\u00fdch p\u0159enos\u016f p\u0159es\u00e1hl 60 % aneb jak jsme pokro\u010dili s ochranou va\u0161ich web\u016f"},"content":{"rendered":"

Je to zhruba \u010dty\u0159i a p\u016fl roku, co jsme hromadn\u011b spustili filtraci provozu pro webhostingy na\u0161\u00ed IPS\/IDS ochranou. Syst\u00e9m pokro\u010dil\u00e9 detekce a eliminace hrozeb. P\u016fvodn\u00ed pravidla pro filtrov\u00e1n\u00ed se s t\u011bmi dne\u0161n\u00edmi u\u017e nedaj\u00ed srovn\u00e1vat. Jsou daleko benevolentn\u011bj\u0161\u00ed, ale p\u0159esto efektivn\u011bj\u0161\u00ed ne\u017e kdykoliv p\u0159edt\u00edm.<\/p>\n

<\/p>\n

T\u0159i stupn\u011b ochrany<\/h3>\n

Ne\u017e se n\u011bkdo dostane na v\u00e1\u0161 web, mus\u00ed proj\u00edt p\u0159es t\u0159i stupn\u011b ochrany.<\/p>\n

    \n
  1. DDoS ochrana<\/strong> – Nejd\u0159\u00edve jsou to senzory na\u0161\u00ed masivn\u00ed DDoS ochrany. Ty hledaj\u00ed hlavn\u011b nestandardn\u00ed (nadlimitn\u00ed) podez\u0159el\u00fd provoz. Pokud jej najdou, tak provoz odklon\u00ed p\u0159es v\u00fdhybku na v\u00fdkonn\u00e9 servery, kde se za\u010dne s filtrov\u00e1n\u00edm. V b\u0159eznu 2020 jsme zastavili DDoS \u00fatok o s\u00edle 44,5 Gbps<\/a>. Nikdo si ni\u010deho nev\u0161iml.<\/li>\n
  2. P\u0159edsazen\u00e1 ochrana<\/strong> – P\u0159edsazenou ochranu jsme v\u00e1m p\u0159edstavili v dubnu 2019<\/a>. Jedn\u00e1 se o velice rychlou filtraci postavenou na anal\u00fdze p\u0159\u00edstup\u016f ze v\u0161ech na\u0161ich webserver\u016f, kter\u00e9 stahujeme na jedno centr\u00e1ln\u00ed m\u00edsto a v re\u00e1ln\u00e9m \u010dase vyhodnocujeme.<\/li>\n
  3. IPS\/IDS ochrana<\/strong> – A te\u010f p\u0159ich\u00e1z\u00ed na \u0159adu IPS\/IDS ochrana, kter\u00e1 detailn\u011b zkoum\u00e1 p\u0159\u00edchoz\u00ed i odchoz\u00ed provoz. Na z\u00e1klad\u011b v\u00edce jak dvaceti tis\u00edc pravidel, kter\u00e9 se pr\u016fb\u011b\u017en\u011b p\u0159id\u00e1vaj\u00ed a upravuj\u00ed (manu\u00e1ln\u011b i automaticky), dok\u00e1\u017ee zachytit jak zn\u00e1m\u00e9 hrozby, tak i ty potenci\u00e1ln\u00ed. Nev\u00fdhodou je, \u017ee prozat\u00edm neum\u00edme filtrovat provoz p\u0159es HTTPS. Ji\u017e brzo budeme um\u011bt i to.<\/li>\n<\/ol>\n

    Do toho nepo\u010d\u00edt\u00e1me trval\u00e1 pravidla na samotn\u00fdch serverech a routerech. Ka\u017ed\u00fd paket sm\u011b\u0159uj\u00edc\u00ed k n\u00e1m na servery je tedy 3x posouzen a teprve potom se dostane k server\u016fm. Cel\u00e9 to zabere n\u011bkolik mikrosekund. To mal\u00e9 zdr\u017een\u00ed za to stoj\u00ed.\u00a0<\/p>\n

    Syst\u00e9m ochran vyv\u00edj\u00edme n\u011bkolik let a neust\u00e1le ho vylep\u0161ujeme.<\/p>\n

    Po\u010det zablokovan\u00fdch p\u0159\u00edstup\u016f roste<\/h3>\n

    Tento t\u00fdden jsem si v\u0161imli, \u017ee po\u010det zablokovan\u00fdch p\u0159\u00edstup\u016f na p\u0159edsazen\u00e9 a IPS\/IDS ochran\u011b se p\u0159ehoupl p\u0159es 60 % provozu. P\u0159ev\u00e1\u017en\u00e1 v\u011bt\u0161ina p\u0159\u00edstup\u016f se blokuje pr\u00e1v\u011b na p\u0159edsazen\u00e9 ochran\u011b. Trochu n\u00e1s znejist\u011blo, jestli toho u\u017e neblokujeme t\u0159eba moc, ale oproti p\u0159edchoz\u00edm rok\u016fm jsme benevolentn\u011bj\u0161\u00ed t\u0159eba k robot\u016fm a to d\u00edky chyt\u0159ej\u0161\u00edm pravidl\u016fm. T\u00edm jsme tak\u00e9 sn\u00ed\u017eili pod\u00edl fale\u0161n\u011b pozitivn\u00edch blokac\u00ed a blokujeme na krat\u0161\u00ed dobu.<\/p>\n

    Vysv\u011btlen\u00ed je asi jednoduch\u00e9. Hardware, konektivita a dal\u0161\u00ed v\u011bci spojen\u00e9 s Internetem jsou levn\u011bj\u0161\u00ed. \u00dato\u010dn\u00edci prost\u011b maj\u00ed v\u00edce zdroj\u016f. Je to jako s e-mailov\u00fdm SPAMem. Je ho v\u00edce a v\u00edce (ale i ten um\u00edme blokovat velmi dob\u0159e).<\/p>\n

    Hodn\u011b blokovan\u00fdch p\u0159\u00edstup\u016f nemus\u00ed p\u0159\u00edmo cht\u00edt n\u011bjakou zranitelnost zneu\u017e\u00edt, ale jen hledaj\u00ed, zda-li se na c\u00edlov\u00e9m webu n\u00e1hodou nenach\u00e1z\u00ed. Tohle samoz\u0159ejm\u011b blokujeme. V\u011bt\u0161inou automaticky, ale um\u00edme zakro\u010dit i manu\u00e1ln\u011b, jako tomu bylo v p\u0159\u00edpad\u011b zranitelnosti PHP framework Nette <\/a>a nebo jako v p\u0159\u00edpad\u011b, kde jsme zase blokovali zneu\u017eit\u00ed „d\u011brav\u00e9ho“ pluginu pro WordPress<\/a>. A takov\u00fdch p\u0159\u00edklad\u016f je mnohem v\u00edce…<\/p>\n

    R\u016fzn\u00e1 pravidla pro r\u016fzn\u00e9 servery anebo nejd\u016fle\u017eit\u011bj\u0161\u00ed je \u010dlov\u011bk a\u017e potom robot<\/h3>\n

    V\u0161e je velmi komplikovan\u00e9 a funguje zde ur\u010dit\u00fd syst\u00e9m reputac\u00ed. Jde o velk\u00e9 mno\u017estv\u00ed dat a jejich anal\u00fdzu a nastaven\u00ed pr\u00e1zdn\u00fdch pravidel. Sb\u00edr\u00e1me logy ze v\u0161ech server\u016f, vyu\u017e\u00edv\u00e1me des\u00edtky r\u016fzn\u00fdch blacklist\u016f (i placen\u00fdch) a stahujeme r\u016fzn\u00e9 datab\u00e1ze hrozeb (i placen\u00fdch) a z\u00e1rove\u0148 se na\u0161e filtry chovaj\u00ed inteligentn\u011b. To v\u0161e m\u011bn\u00ed na\u0161e filtrace dynamicky a v re\u00e1ln\u00e9m \u010dase a i n\u011bkolikr\u00e1t za sekundu.\u00a0<\/p>\n

    A\u010dkoli sb\u00edr\u00e1me data ze v\u0161ech hosting\u016f NoLimit a WMS, tak jednotliv\u00e9 servery mohou m\u00edt individu\u00e1ln\u00ed pravidla a nastaven\u00ed, kter\u00e1 se dynamicky m\u011bn\u00ed v \u010dase.<\/p>\n

    Nap\u0159\u00edklad pokud m\u00e1me server, kde se v d\u016fsledku t\u0159eba \u00fasp\u011b\u0161n\u00e9 reklamn\u00ed kampan\u011b zvedne n\u011bkolika web\u016fm nar\u00e1z n\u00e1v\u0161t\u011bvnost nad r\u00e1mec v\u0161ech rezerv, tak m\u016f\u017ee doj\u00edt k omezov\u00e1n\u00ed p\u0159\u00edstup\u016f t\u0159eba robot\u016f. Tyto situace jsou pom\u011brn\u011b extr\u00e9mn\u00ed, ale ob\u010das se mohou p\u0159ihodit. C\u00edlem je zachovat chod slu\u017eeb i za cenu, \u017ee si roboti budou muset t\u0159eba hodinku po\u010dkat.<\/p>\n

    Samoz\u0159ejm\u011b to neznamen\u00e1, \u017ee v\u00e1m hned za\u010dnou chodit varov\u00e1n\u00ed o nedostupnosti z monitoringu. Restrikce se t\u00fdkaj\u00ed opakovan\u00fdch p\u0159\u00edstup\u016f, kter\u00e9 z\u00e1sadn\u011b zat\u011b\u017euj\u00ed server nadm\u011brnou aktivitou.<\/p>\n

    Jen abyste m\u011bli p\u0159edstavu, tak „b\u011b\u017en\u00fd“ agresivn\u00ed robot dok\u00e1\u017ee ud\u011blat t\u0159eba tis\u00edc po\u017eadavk\u016f za vte\u0159inu a tam nem\u016f\u017eete \u010dekat, proto\u017ee by to okam\u017eit\u011b z\u00e1kazn\u00edci poznali. Takto p\u0159et\u00ed\u017een\u00fd webserver m\u00e1 probl\u00e9m to rozd\u00fdchat a v n\u011bkter\u00fdch p\u0159\u00edpadech by to muselo skon\u010dit i restartem webov\u00e9ho serveru. To jsou dlouh\u00e9 minuty pomal\u00e9ho na\u010d\u00edt\u00e1n\u00ed va\u0161eho webu s n\u00e1sledn\u00fdm v\u00fdpadkem. Proti tomu se prost\u011b mus\u00edme br\u00e1nit a tak\u00e9 br\u00e1n\u00edme. Na prvn\u00edm m\u00edst\u011b jsou u n\u00e1s z\u00e1kazn\u00edci.\u00a0<\/p>\n

    U robot\u016f rozhoduje co d\u011blaj\u00ed, ne co jsou za\u010d<\/h3>\n

    V dne\u0161n\u00ed dob\u011b se nem\u016f\u017eete spol\u00e9hat na to, \u017ee n\u011bjak\u00fd robot o sob\u011b tvrd\u00ed, \u017ee je t\u0159eba GoogleBot. Pokud bychom v\u0161em „googlebot\u016fm“ dovolili neomezen\u00fd pohyb po serverech v r\u00e1mci n\u011bjak\u00e9ho whitelistu, tak to nedopadne dob\u0159e.<\/p>\n

    Mimochodem m\u00e1me specializovan\u00e9 filtry, kter\u00e9 hledaj\u00ed fale\u0161n\u00e9 roboty. Pokud se n\u011bkdo vyd\u00e1v\u00e1 za robota, kter\u00fd p\u0159istupuje jen z ur\u010dit\u00fdch IP adres a najednou tu m\u00e1me p\u0159\u00edstup z jin\u00e9 IP adresy, tak tento p\u0159\u00edstup m\u016f\u017eeme zablokovat, v\u00fdrazn\u011b omezit po\u010det p\u0159\u00edstup\u016f (zku\u0161ebn\u00ed provoz) anebo jej limitujeme v tom, co m\u016f\u017ee d\u011blat – nesm\u00ed t\u0159eba odes\u00edlat formul\u00e1\u0159e anebo p\u0159istupovat do administrace WordPress.<\/p>\n

    Pr\u00e1v\u011b o tom v\u0161em je chytr\u00e1 ochrana. Spousta mo\u017enost\u00ed, kde se d\u00e1 naj\u00edt kompromis t\u00e9m\u011b\u0159 pro ka\u017ed\u00e9ho.<\/p>\n

    Proto sledujeme hlavn\u011b aktivitu IP adres. Pokud n\u011bjak\u00e1 IP adresa za\u010dne spou\u0161t\u011bt jeden anebo i v\u00edce filtr\u016f nar\u00e1z, tak j\u00ed zablokujeme na omezenou dobu. Kdy\u017e si ned\u00e1 pokoj, tak na del\u0161\u00ed a pak del\u0161\u00ed…<\/p>\n

    Roboti vyhled\u00e1va\u010d\u016f maj\u00ed v\u00fdjimky, ale mus\u00ed se chovat slu\u0161n\u011b<\/h3>\n

    Vyhled\u00e1va\u010de m\u00e1me v\u0161ichni r\u00e1di a chceme, aby v\u0161echen n\u00e1\u0161 obsah co nejd\u0159\u00edve m\u011bli k dispozici v aktu\u00e1ln\u00ed podob\u011b. Proto ke v\u0161em zn\u00e1m\u00fdm vyhled\u00e1va\u010d\u016fm p\u0159istupujeme jinak, ne\u017e t\u0159eba k robot\u016fm, co sb\u00edraj\u00ed marketingov\u00e1 data.<\/p>\n

    Tv\u016frci robot\u016f vyhled\u00e1va\u010d\u016f po\u010d\u00edtaj\u00ed s t\u00edm, \u017ee mohou web anebo server p\u0159et\u00ed\u017eit, proto tak\u00e9 reaguj\u00ed na r\u016fzn\u00e9 varovn\u00e9 znamen\u00ed, jako je nap\u0159\u00edklad omezen\u00fd po\u010det p\u0159\u00edstup\u016f za ur\u010dit\u00fd \u010das anebo vzr\u016fstaj\u00edc\u00ed d\u00e9lku odezvy.<\/p>\n

    Nap\u0159\u00edklad Google dok\u00e1zal natolik p\u0159esn\u011b spo\u010d\u00edtat limity na\u0161ich server\u016f, \u017ee prakticky nenar\u00e1\u017e\u00ed na omezen\u00ed. Je to kr\u00e1sn\u011b vid\u011bt na n\u00e1sleduj\u00edc\u00edm grafu. Horn\u00ed graf ukazuje po\u010det p\u0159\u00edstup\u016f GoogleBota a doln\u00ed kolik p\u0159\u00edstup\u016f bylo zablokov\u00e1no. Jedn\u00e1 se o 7 denn\u00ed graf po hodin\u00e1ch.<\/p>\n

    \"\"<\/a><\/p>\n

    Jen zlomek p\u0159\u00edstup\u016f je zablokov\u00e1n. Pro GoogleBota evidujeme konkr\u00e9tn\u00ed IPv4 adresy.<\/p>\n

    \"\"<\/a><\/p>\n

    Je a\u017e neuv\u011b\u0159iteln\u00e9, jak hezky dok\u00e1\u017ee rozlo\u017eit Google z\u00e1t\u011b\u017e v \u010dase. Naproti tomu SeznamBot jednou za \u010das zavel\u00ed „Zte\u010d!“ a v\u011btr\u00e1ky v serverech za\u0159ad\u00ed vy\u0161\u0161\u00ed obr\u00e1tky, proto\u017ee se mus\u00ed p\u0159etaktovat procesory na vy\u0161\u0161\u00ed v\u00fdkon \ud83d\ude42<\/p>\n

    \"\"<\/a><\/p>\n

    Proto tak\u00e9 m\u00e1 v\u011bt\u0161\u00ed mno\u017estv\u00ed zablokovan\u00fdch po\u017eadavk\u016f. I tak se v\u0161ak jedn\u00e1 jen o zanedbateln\u00fd zlomek.<\/p>\n

    \"\"<\/a><\/p>\n

    Dal\u0161\u00ed zaj\u00edmavosti:<\/p>\n