Защита веб-сайта без раскрытия сертификатов

Область применения: HTTPS-ресурсы без раскрытия сертификатов, платформа Облако VMware.

Если по каким-либо причинам заказчик не готов использовать раскрытие сертификатов, то можно использовать альтернативную схему.

При таком подключении сервис защиты работает как TCP-Proxy, принимая на себя все входящие соединения к защищаемому веб-сайту и перенаправляя их на реальный сайт заказчика. При этом выполняются механизмы очистки, только как для L4 трафика.

Чтобы было возможно реализовать более глубокую очистку, опционально заказчик настраивает веб-сервер/балансировщик своего веб-сайта для направления access log в сторону сервиса защиты. Получая access log от веб-сервера, сервис защиты может обнаруживать атаки на уровне L7 и добавлять IP-адреса источников атаки в черный список.

../../_images/schm__ddos-protect_2.svg

Особенности реализации схемы у разных сервисов защиты:

  • QRator. При работе TCP Proxy происходит подмена Source IP на адрес из пула адресов сервиса защиты. В этой схеме используется Proxy Protocol, через него заказчик может получить реальный IP адрес пользователя.

  • StormWall. TCP Proxy не изменяет Source IP. Заказчик получает реальные IP-адреса пользователей обычным образом, из заголовков пакета. При этом исходящий трафик не проходит систему защиты, то есть имеет место асимметричность прохождения трафика.

Для перенаправления трафика на систему очистки необходимо:

  1. Заказать необходимое количество IP-адресов сервиса защиты (ddos_provider_ip).

  2. Заказать IP-адреса, выделенные под систему защиты (protected_real_ip) и опубликовать защищаемые ресурсы в эти адреса.

  3. В личном кабинете сервиса защиты настроить upstream-адрес, указывающий на адрес защищаемого ресурса в Cloud.ru (protected_real_ip).

  4. (для QRator) Настроить балансировщик трафика/веб-сервер, чтобы он принимал запросы по Proxy Protocol (NGINX, HaProxy).

  5. Изменить A-записи в DNS для защищаемых доменов на полученные адреса сервиса защиты.

  6. (для QRator) на пограничном шлюзе платформы Cloud.ru (edge gateway на платформе Облако VMware, security group на платформе Advanced, группа безопасности на платформе Evolution) настроить ограничение доступа к защищаемому ресурсу только с IP-адресов сервиса защиты. Список IP-адресов необходимо уточнить в личном кабинете сервиса защиты.

Перед изменением A-записи рекомендуется проверить работоспособность сервиса с помощью команды curl:

curl -I --resolve example.com:443:ddos_provider_ip https://example.com/

Также важно помнить, что после обновления A-записи изменения проявляются не моментально, а в течении времени, указанном как TTL для A-записи (в секундах).

Запустили Evolution free tier
для Dev & Test
Получить