Как настроить защиту от DDoS-атак без передачи SSL-сертификата?

В этой статье описана процедура создания сервисной конфигурации, позволяющей обеспечить защиту веб-ресурса от DDoS-атак без передачи SSL-сертификата и без раскрытия HTTPS-трафика на стороне Платформы.

Для сервисной конфигурации необходима настройка следующих сервисов NGENIX:

Сервис

Результат настройки

Secure DNS

Серверы DNS NGENIX будут обслуживать все запросы к вашей доменной зоне, при этом Платформа будет блокировать DDoS-атаки на DNS.

Website Acceleration

Серверы доставки NGENIX будут проксировать на сервер оригинации все TCP-соединения на порт 443 (HTTPS). На любой запрос пользователя по протоколу HTTP будет возвращаться код статуса ответа 301 (редирект на этот же объект по протоколу HTTPS).

DDoS Protection

Платформа будет анализировать входящий трафик и блокировать DDoS-атаки на сетевом и прикладном уровне.

Origin Event Inspection

Сервер регистрации событий будет принимать с сервера оригинации информацию о запросах к веб-ресурсу. Полученная информация будет использоваться системой защиты от DDoS-атак для выявления и блокировки нежелательного трафика на прикладном уровне на серверах доставки.

Для завершения настройки указанные сервисы должны быть доступны в вашем Аккаунте на странице «Сервисы» клиентского портала NGENIX Multidesk.

Такое техническое решение применяется в случаях, когда требуется защитить от DDoS-атак веб-ресурс, который содержит «чувствительные данные», обработку запросов к которым невозможно по какой-то причине перенести на Платформу. В таких случаях для ускорения и повышения производительности веб-ресурса необходимо выделить данные, обработку которых можно передать на Платформу («публичные данные») в отдельный домен третьего уровня, и создать дополнительную сервисную конфигурацию для обработки HTTPS-запросов к данным такого типа на Платформе.

Пошаговое руководство

1. Делегируйте свою доменную зону в NGENIX

Настройте сервис Secure DNS, делегировав свою доменную зону на серверы DNS Платформы в разделе «Secure DNS» клиентского портала NGENIX Multidesk.

2. Сообщите информацию для настройки сервисной конфигурации и защиты от DDoS-атак

Инженеру NGENIX нужна следующая информация:

  1. Доменное имя или IP-адрес сервера оригинации. Например: www.example.com или 128.66.0.1

  2. Список своих сетевых префиксов, который будет внесен в белый список для Платформы. Белый список содержит IP-адреса, запросы от которых не будут заблокированы системами защиты NGENIX ни при каких обстоятельствах.

  3. Список IP-адресов с которых будет осуществляться потоковая передача информации по Syslog в сторону Платформы о событиях, регистрируемых сервером оригинации. Эти данные будут использоваться системами защиты NGENIX для выявления нежелательного трафика.

  4. История легитимных запросов к веб-ресурсу за последние 7 дней в виде лог-файла определенного формата. Эти данные будут загружена в систему защиты для ее обучения. Для выявления и блокировки нежелательного трафика Платформа NGENIX должна знать профиль и характер вашего легитимного трафика.

Для сервисной конфигурации может быть использовано несколько серверов оригинации.

3. Получите реквизиты сервисной конфигурации

Получите от инженера NGENIX уведомление о завершении настройки, содержащее реквизиты сервисной конфигурации:

  • Идентификатор сервисной конфигурации (ConfID), который можно использовать для управления сервисной конфигурацией через NGENIX API. Например, 12345.

  • Доменное имя сервисной конфигурации (EDGE-DOMAIN). Например: s12345.cdn.ngenix.net.

  • IP-адрес для проведения тестирования. Например: 46.235.184.98

  • Адрес, номер порта и пароль от серверов регистрации событий, Например: receiver.ngenix.net:514

4. Разрешите доступ к серверу оригинации только с IP-адресов Платформы

Для полноценной защиты нужно ограничить доступ к серверу оригинации и разрешить к нему доступ только с IP-адресов, принадлежащих Платформе NGENIX и других доверенных сетей. Доступ из остальных сетей необходимо запретить. Таким образом у злоумышленников не будет возможности атаковать ваш веб-ресурс в обход систем защиты от DDoS-атак.

5. Настройте на сервере оригинации потоковую передачу событий

Настройте свой сервер оригинации таким образом, чтобы информация о запросах отправлялась по протоколу Syslog на серверы регистрации событий в определенном формате.

Реквизиты доступа к серверам регистрации событий находятся на странице сервиса «Origin Event Inspection» клиентского портала NGENIX Multidesk.

6. Проверьте работу веб-ресурса через Платформу NGENIX

Для проверки работы веб-ресурса выполните следующие действия на своем компьютере:

  1. Найдите файл hosts в операционной системе компьютера: – В OS Windows: c:\windows\system32\drivers\etc\hosts – В OS Linux/macOS: /etc/hosts

  2. Создайте в файле hosts запись: X.X.X.X www.example.com, где вместо X.X.X.X укажите IP-адрес, который вам сообщил инженер NGENIX, а вместо www.example.net укажите имя вашего веб-ресурса.

  3. Перезапустите браузер и проверьте корректность работы веб-ресурса.

7. Согласуйте дату и время переключение запросов пользователей на Платформу NGENIX

Договоритесь с инженером NGENIX о дате и времени переключения запросов пользователей к веб-ресурсу через Платформу NGENIX.

8. Переключите запросы пользователей на Платформу

В согласованное время в клиентском портале NGENIX Multidesk в разделе «Secure DNS» выберите из списка доменную зону, содержащую A-запись вашего веб-ресурса и в панели управления зоной нажмите на символ редактирования:

  1. Поставьте галочку «Направить запросы пользователей на сервисную конфигурацию»

  2. Выберите сервисную конфигурацию.

  3. Сохраните изменения.

  4. Дождитесь изменения записей в доменной зоне, изменения происходят в течение часа.

Настройка сервисной конфигурации завершена.

Дополнительные возможности