Como proteger a origem com o Cloudflare Argo Tunnel?

Não permita que alguém ignore a proteção do Cloudflare e faça mau uso do servidor de origem!


O Cloudflare é uma das populares plataformas de CDN e segurança, fornecendo milhões de sites, de pequenos a corporativos. Quando você implementa o Cloudflare no seu site, todo o tráfego é protegido e acelerado. Mas isso é verdade quando um site é acessado usando um nome de domínio. Que tal se alguém descobrir o IP real do servidor (Origem) e usá-lo mal??

Encontrar o IP do servidor para o site por trás do Cloudflare não leva muito tempo. Você pode descobrir como, conforme explicado aqui e aqui. Veja, apenas implementar CDN e WAF baseado em nuvem não é suficiente. Você também deve considerar proteger a origem.

Então, qual é a solução?

Túnel Argo – uma solução inteligente da Cloudflare para proteger o servidor de origem contra ataques diretos.

É um daemon que você precisa instalar no servidor que cria um túnel criptografado entre o servidor e a rede Cloudflare. Não há configuração complicada de tabela ACL / IP.

A boa notícia é que você não precisa estar no plano PRO ou superior. Você pode começar mesmo que esteja sob o plano GRATUITO. Tudo o que você paga é pela assinatura do Argo, que começa em US $ 5 por mês.

Vamos começar com a instalação e configuração.

Instalando o daemon Cloudflare

  • Efetue login no servidor de origem com privilégio root ou sudo
  • Baixe o pacote estável mais recente. Estou no Ubuntu, então, arquivo .deb para outro sistema operacional, confira o página oficial de download.

wget https://bin.equinox.io/c/VdrWdbjqyF/cloudflared-stable-linux-amd64.deb

  • Instale o pacote baixado

dpkg -i cloudflared-stable-linux-amd64.deb

  • Vamos verificar a versão para garantir que ela foi instalada

[protegido por email]: ~ # cloudflared –version
versão cloudflared 2020.2.0 (construído 2020-02-07-1653 UTC)
[protegido por email]: ~ #

Ótimo!

Autenticar Daemon

Em seguida, seria autenticar no Cloudflare usando o daemon. Execute o comando abaixo

login do túnel cloudflared

  • Ele solicitará o URL que você pode usar para acessar o Cloudflare e autorizar o site.

[protegido por email]: ~ # login no túnel com nuvem limpa
Abra o seguinte URL e faça login com sua conta Cloudflare:

https://dash.cloudflare.com/argotunnel?callback=https%3A%2F%2Flogin.argotunnel.com%XXXXX-XXX-XXXXXX%3B

Deixe o cloudflared em execução para baixar o certificado automaticamente.
INFO [0030] Aguardando login…
INFO [0060] Aguardando login…
INFO [0090] Aguardando login…
INFO [0120] Aguardando login…
Você fez login com sucesso.
Se você deseja copiar suas credenciais para um servidor, elas foram salvas em:
/root/.cloudflared/cert.pem
[protegido por email]: ~ #

  • Uma vez autorizado, você verá algo parecido com isto.

Iniciando o túnel

Vamos começar o tunelamento abaixo.

túnel cloudflared –hostname [HOSTNAME] http: // localhost: 80

Ex:

[protegido por email]: ~ # túnel cloudflared –hostname tunnel.geekflare.com http://0.0.0.0:80
WARN [0000] Não é possível determinar o caminho de configuração padrão. Nenhum arquivo [config.yml config.yaml] em [~ / .cloudflared ~ / .cloudflare-warp ~ / cloudflare-warp / usr / local / etc / cloudflared / etc / cloudflared]
INFO [0000] Versão 2020.2.0
INFO [0000] GOOS: linux, GOVersion: go1.12.7, GoArch: amd64
INFO [0000] Sinaliza o nome do host = tunnel.geekflare.com proxy-dns-upstream ="https://1.1.1.1/dns-query, https://1.0.0.1/dns-query"
INFO [0000] cloudflared não será atualizado automaticamente quando executado a partir do shell. Para ativar as atualizações automáticas, execute cloudflared como um serviço: https://developers.cloudflare.com/argo-tunnel/reference/service/
INFO [0000] Iniciando o servidor de métricas addr ="127.0.0.1:35597"
INFO [0000] Proxying solicitações de túnel para http://0.0.0.0:80
INFO [0000] Conectado ao LAX connectionID = 0
INFO [0001] Cada ID de túnel da conexão HA: map [0: xxx] connectionID = 0
INFO [0001] Propagação de rota, pode levar até 1 minuto para que sua nova rota se torne funcional connectionID = 0
INFO [0003] Conectado ao LAX

Parabéns! a origem está bloqueada agora. Tente acessar seu site usando o IP de origem e você verá a mensagem “conexão recusada”.

Iniciando o Argo Tunnel na inicialização

Vamos garantir que o Argo Tunnel seja iniciado quando o servidor reiniciar. Execute o comando abaixo no servidor.

instalação de serviço cloudflared

Conclusão

O Cloudflare Argo Tunnel parece promissor. Em cerca de 30 minutos, você pode proteger o servidor de origem.

TAG:

  • Cloudflare

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map