Descripción de la configuración
Configurar los servicios del servidor web para proteger contra pequeños ataques, inundaciones, ataques de adivinación de contraseñas. Este tipo de ataque está diseñado para aumentar la carga del servicio web, consumiendo recursos del servidor y denegación de servicio por agotamiento y falta de recursos. Esta guía le permite configurar su servidor para una protección básica contra varios tipos de ataques a nivel de servidor. En nuestros ejemplos de configuración, usamos el sistema operativo Centos 7.
¿Cuál es la diferencia con la protección contra ataques DDOS?
Servicio de protección contra ataques DDOS se proporciona en forma de una dirección IP segura, cuyo tráfico pasa por equipos especiales y protege contra ataques medianos y grandes que están más diseñados para deshabilitar equipos de red. Pero no protegerá el servicio de pequeñas inundaciones, que también pueden ser perjudiciales, ya que simplemente no lo reconoce en vista de la pequeña cantidad de bots que acceden al servidor web. En el caso de un enfoque correcto para la protección del servidor, se aplican ambas reglas, protección contra inundaciones y protección contra ataques ddos. Aquí describimos cómo configurar su servidor web para protegerlo de inundaciones.
Servicios web
Dependiendo de su servidor web elegido, existen diferentes métodos y tipos de configuración. Hemos enumerado los servicios web más populares en la lista y describimos la configuración de cada.
Protección contra ataques de fuerza bruta
Este tipo de ataque aumenta considerablemente la carga del servicio web. Un atacante apunta a un enlace al formulario de inicio de sesión en el panel de administración del sitio y se ejecuta en varios bots que comienzan a recoger contraseñas utilizando los métodos get y post. En los registros verá cientos, miles de llamadas de las mismas direcciones IP. Pueden crear una carga significativa y deshabilitar el servicio web. Para protección utilizaremos el servicio Fail2Ban que, en caso de exceder el límite de llamadas al mismo enlace durante 10 minutos, bloqueará la dirección IP durante un tiempo determinado. De nuestra experiencia y observaciones con este tipo de ataque, el servicio es capaz de bloquear alrededor de 5000 direcciones IP en un corto período de tiempo sin crear una carga en el servidor.
Protección contra ataques SYN Flood
Este tipo de ataque emula una solicitud de un visitante habitual al sitio, pero a diferencia de un cliente real, el bot no espera una respuesta del servidor y envía una nueva solicitud al servicio web, cuando hay varios miles de solicitudes, el el servicio se congela y deja de responder. Este tipo de ataque es muy popular porque no requiere grandes recursos para desactivar un servidor inseguro. El servicio ddos deflate refleja perfectamente este tipo de ataque.
Establecer límites de conexión
Aquí hablaremos sobre las reglas del firewall, debe establecer un límite en la cantidad de conexiones desde una dirección IP para todos los servicios. Esta regla ayudará a evitar el desbordamiento de la pila, cuyo límite se establece en la configuración del kernel. Configuraremos en iptables en Centos.
Protección contra sobrecarga y crecimiento de carga promedio
De una forma u otra, hay un tipo diferente de ataque, y si los servicios de seguridad no lograron funcionar o no se establecieron todos los filtros, la carga en el servidor durante el ataque aumentará y finalmente perderá el acceso al servidor. , dejará de responder. Para no perder el acceso al atacar el servidor, recomendamos configurar un script que, en caso de alta carga, reiniciará los servicios necesarios y realizará otras acciones.
Conclusión
Este tipo de configuración reflejará la mayoría de los pequeños ataques ddos sin pérdida de rendimiento y también evitará que el sitio adivine contraseñas. Esta configuración debe realizarse 1 vez. Después de un tiempo, debe verificar los archivos de registro, asegurarse de que logrotate esté funcionando y que los archivos no ocupen más de 5-10 megabytes. En el caso de un tamaño grande, es posible que el servicio Fail2Ban no funcione correctamente debido a la gran cantidad de datos. Con esta configuración, incluso un servidor con una pequeña cantidad de recursos de memoria y procesador funcionará de manera estable. También recibirás notificaciones por correo electrónico y siempre estarás al tanto de qué direcciones IP y cuándo fue bloqueada.