Reverse Proxy UDP Zabezpieczanie serwera VPS [#TS3]

[Анонимный]

Witam,

 

Dziś poruszmy kwestię ochrony przeciwko atakom sieciowym na serwery vps lub serwer dedykowane. Temat jest trudny, gdyż rzadko spotyka się ataki typu DOS. Ataki "DOS" (Denial OF Service) jest łatwy do wykrycia oraz unieszkodliwienia. W dzisiejszych czasach większość osób korzysta z serwerów z dodatkiem Bulletproof, które pozwalają na wykorzystywanie łącz do niecnych celów. Jednym z niecnych celów jest atak DDOS (Distributed Denial OF Service), który charakteryzuje się już atakami o większej sile rażenia, a opcja spoofing (fałszowanie adresów / podszywanie się pod nie) blokuje możliwość blokady / ograniczenia w pewnym stopniu.

 

Na przykładzie zaprezentuje zwykłe reverse proxy na protokole udp dla aplikacji teamspeak3.

 

Objaśnienie :

iptables -t nat -A PREROUTING -p udp --dport 9987 -j DNAT --to-destination 87.98.237.163:9987

Port : 9987 przed argumentem --dport oznacza, który port z maszyny chronionej mamy przekierować na
serwer bez ochrony.

W przypadku moim będzie to port domyślny czyli 9987, a adresem serwera niechronionego jest 87.98.237.163:9987.
* Ważne jest aby po adresie ipv4 dodać po dwukropku port!

Komendy dot. instalacji :

# iptables -t nat -A PREROUTING -p udp --dport twójport* -j DNAT --to-destination adresipv4:9987**
# iptables -t nat -A POSTROUTING -j MASQUERADE
# nano /etc/sysctl.conf 

~ Wyszukujemy linijki 
#net.ipv4.ip_forward=1 i musimy usunąć przed nią tzw hash "#"

~ SS po prawidłowym wykonaniu : http://screenshot.sh/n9nTR5HxqAzh4 
Wystarczy zapisać i działa 

Komendy dot. odinstalowania :

# iptables -F
# iptables -X
# iptables -F -t nat
# iptables -X -t nat 

Plusy : 

• ukrywa realny adres ipv4 naszego serwera głosowego
• daje większą ochronę

Minusy :

• każdy użytkownik posiada adres serwera chronionego ( posiada taką samą flagę )
• zwiększa się opóźnienie (tzw. ping / ms), gdyż pakiety przechodzą przez dodatkowy serwer (* jeżeli serwer z chronionym adresem ipv4 nie jest w tym samym dc)
• jeżeli zbanujemy użytkownika na adres ipv4 to wtedy nikt nie będzie mógł wejść, gdyż każdy ma ten sam adres

 

Informację :

     #1

Szczerze powiem to jeszcze nie liznąłem dobrze kwestii związanej z Reverse Proxy dla protokołu UDP,
ale bacznie przyglądam się temu rozwiązaniu.

Myślę, że pomoże wielu serwerom oraz właścicielom, którzy borykają się z problemami ataków.

     #2

Szczerze powiem sprawdzić się to może w kwestiach jeżeli :

 - serwer chroniony jak i serwer bez ochrony stoją w tym samym data center np.
  
Przykład I :
  Serwery Dedykowane w Hosteam.pl bez filtracji premium + serwer KVM z ochroną 
   * hosteam nie zezwala na filtrowanie usług wychodzących poza ich data center, czyli wszystko co jest
     w ich serwerowni jest leglane.

Przykład II :
   LVLUP.pro [kvm pro] lub Gametris.com [vps] jako serwer filtrujący + https://www.kimsufi.com/pl/serwery.xml
   jako serwer trzymający całą infrastrukturę pod serwery głosowe.
   * Serwery w sieci ovh mają większą przepustowość oraz są w sieci "Low Latency", która pozwoli bez większych 
   strat opóźnienia / pingu korzystać z serwera
    

Powodzenia i życzę udanego filtrowania  

 

[Gość]

Chronienie w ten sposób nie ma sensu.

QQ
 

RIP (*jeżeli zbanujemy użytkownika na adres ipv4 to wtedy nikt nie będzie mógł wejść, gdyż każdy ma ten sam adres)

+ za chęci.

[`.Łukasz.]

Poradnik świetny jednakże szkoda że:

(*jeżeli zbanujemy użytkownika na adres ipv4 to wtedy nikt nie będzie mógł wejść, gdyż każdy ma ten sam adres)

[Hackstalk]

Leci +