Cloudflare: Como proteger un sitio aplicando reglas de cloudflare



Hola amigos, les habla, Facundo salgado, en este articulo vamos a repasar las utilidades que nos ofrece Cloudflare, ya que muchos piensan que cloudflare sirve solamente para bloquear ataques DoS y DDoS y la realidad es que cloudflare nos ofrece una gran variedad de protecciones a nuestro sitio web.
Cloudflare nos permite aplicar reglas que pueden ser utiles para salvar nuestro sitio web de los atacantes, y su funcion principal es proteger y ocultar la direccion IP original del servidor, para evitar que los atacantes derriben o ataquen nuestro sitio.

¿Como protegerse con cloudflare?


Con el simple hecho de ocultar la IP de origen de nuestro servidor donde almacenamos nuestro sitio, estamos impidiendo muchisimos tipos de ataques y no solamente DDoS sino ataques que van a vulnerabilidades del propio servidor, ya que el atacante no podra saber la IP de origen de tal servidor y por ende no podra realizar dichos ataques.
Algunos consejos que te doy para utilizar Cloudflare son los siguientes:
en las opciones de DNS para agregar registros al dominio que tenemos asignado en cloudflare, es importante no revelar nunca la ip de origen del servidor, ya que los registros de un dominio se pueden analizar a travez de distintos escaneres y si en algun registro se revela la IP de origen del servidor, estas permitiendole al atacante que ataque tu sitio a la IP de origen y quedas expuesto a todo tipo de ataques por ende la proteccion que te ofrece Cloudflare quedaria inutilizable.
En este articulo veremos las distintas utilidades que nos ofrece el Cloudflare
Under Attack Mode

Este modo de Cloudflare sirve solamente cuando estamos bajo un ataque y queremos que cada visitante se le muestre un verificador JavaScript con un captcha para acceder al sitio, este modo sirve generalmente cuando estamos recibiendo un ataque DoS o DDoS y queremos disminuir las peticiones que llegan a nuestro servidor para evitar una saturacion o caida del sitio
Para activar este modo simplemente podemos ir al panel donde tenemos alojado el dominio en cloudflare y activarlo
Es recomendable activar este modo solo en situaciones extremas donde estemos siendo victimas de un ataque, ya que el Modo Under Attack sera aplicado a todos los visitantes y puede resultar algo molesto para los que visitan nuestro sitio estar completando un captcha cada vez que quieran ingresar, sin embargo para situaciones criticas este modo es fundamental tenerlo activado.

2. Firewall Rules – users agents

Firewall rules de cloudflare es muy util porque nos permite agregar reglas para controlar el trafico entrante por ejemplo, nos permite bloquear el trafico a ciertos paises, tambien permite bloquear user agents, nos permite bloquear Cookies y mucho mas que podemos controlarlo.
Yo en este caso dare ejemplos practicos de como usar las reglas del firewall de Cloudflare, para que podais entenderlo mejor.
Generalmente los ataques DDos provienen de sistemas Linux y scripts programados en lenguajes como Python, en este ejemplo envie una peticion a travez del modulo Requests de python a mi sitio web
Despues de verificar en Cloudflare me di cuenta el User agent de Python que habia pasado por un JS-challenge y por eso como veran el Response de la fotografia de arriba es 503, este codigo response sigfica que el servicio esta fuera de linea.

Ahora bien para bloquear peticiones requests provenientes de Python, es muy sencillo nos dirigimos al apartado de cloudflare y agregamos una regla que diga que si el user-agent contiene la palabra python bloquee automaticamente la peticion, la regla aplicada en cloudflare se veria de la siguiente forma

ahora bien una vez que activamos esta regla vamos a volver a ejecutar python y vamos a volver a enviar otra peticion para ver el header status de respuesta
Si se dan cuenta ahora el header de respuesta es 403, este codigo significa acceso denegado, esta regla aplica para cualquier requests de cualquier version de Python, ya que todos los users agents de python empiezan con python, al incluir esta palabra en la regla estamos bloqueando todas peticiones que provengan de un script de Python.
Sin embargo esto solo sirve como refuerzo de seguridad, ya que existen herramientas escritas en python que permiten sustituir el user agent con el cual se manda las peticiones, en tal caso que se modifiquen los users agents esta regla dejaria de ser util
Otras reglas que podemos incluir de este tipo son las siguientes

En la regla de arriba estamos impidiendo todo el trafico de sistemas operativos Linux, ya que estamos incluyendo la palabra linux, debian y untubu en los users agents, como resultado cualquier navegador que entremos desde sistemas Linux como Kali o otros sistemas veremos que no podremos ingresar al sitio
El user agent de este navegador Chrome seria el siguiente:

De igual manera si intentaramos entrar con otro navegador dentro del mismo sistema operativo, no podriamos, aca un ejemplo si quisieramos entrar desde Firefox

3. Firewall rules – Countrys/Paises


Podemos bloquear todos los paises de los cuales no queremos recibir trafico, esta opcion tambien es muy util ya que podemos evitar que los visitantes hagan uso de VPN publicas con paises como, USA, CANADA, FRANCIA, AUSTRALIA etec.. y tambien estamos impidiendo ataques DDos muy comunes que provienen de esos paises


Ayer fui victima de un ataque DDoS provenientes de paises europeos si pueden observar las solicitudes en esta regla es de 3.37k un numero bastante elevado para solicitudes normales, lo cual indica que fue un ataque, sin emargo como tenemos todos estos paises bloqueados, las solicitudes directamente ni entraron por cloudflare y nunca llegaron al sitio destino, por lo cual esas solicitudes nunca afectaron al servidor origen.
Para agregar estas reglas se puede agregar de esta manera



4. Page rules – rutas especificas



Por ultimo esta opcion nos permite configurar ciertas opciones en algunas rutas especificas de nuestro sitio, por ejemplo
si quisieramos implementar que se active el Under Attack mode al entrar a una zona especifica de nuestra web, es recomendable aplicar esta regla en formularios de registro, login y todo lo que tenga que ver con una comunicacion con nuestra base de datos, para prevenir ataques DDoS, les dejare un ejemplo de esta regla aplicada
Estas son algunas de las utilidades mas comunes que son muy utiles en cloudflare y les repito nuevamente, todas estas protecciones sirven porque cloudflare oculta el servidor origen y todo el trafico pasa por un proxy directo de los servidores de Clouflare.
Todas estas medidas de proteccion no nos servirian de nada si en un registro DNS del dominio, mostramos o revelamos la ip original, damos la opcion al atacante de atacar el servidor original saltandose la proteccion de cloudflare, por ende la proteccion no tendria exito.

Post a Comment

Artículo Anterior Artículo Siguiente