Come proteggere l’origine con il tunnel Argo Cloudflare?

Non lasciare che qualcuno ignori la protezione Cloudflare e usi impropriamente il tuo server di origine!


Cloudflare è una delle piattaforme CDN e di sicurezza più diffuse, che alimenta milioni di siti dalle piccole alle aziende. Quando si implementa Cloudflare per il tuo sito Web, tutto il traffico è protetto e accelerato. Questo è vero quando si accede a un sito utilizzando un nome di dominio. Che ne dici se qualcuno scopre l’effettivo IP del server (Origin) e lo usi impropriamente?

Trovare l’IP del server per il sito dietro Cloudflare non richiede molto. Puoi scoprire come, come spiegato qui e qui. Vedete, l’implementazione di WAF basati su CDN e cloud non è sufficiente. Dovresti anche considerare la protezione dell’origine.

Quindi, qual è la soluzione?

Tunnel di Argo – una soluzione intelligente di Cloudflare per proteggere il server di origine dagli attacchi diretti.

È un demone che devi installare sul tuo server che crea un tunnel crittografato tra il server e la rete Cloudflare. Vi è zero complicata configurazione della tabella ACL / IP.

La buona notizia è che non è necessario essere in possesso di un piano PRO o superiore. Puoi iniziare anche se sei nel piano GRATUITO. Tutto quello che paghi è per l’abbonamento Argo, che parte da $ 5 al mese.

Iniziamo con l’installazione e la configurazione.

Installazione del demone Cloudflare

  • Accedere al server di origine con privilegio root o sudo
  • Scarica l’ultimo pacchetto stabile. Sono su Ubuntu quindi, file .deb per altri sistemi operativi, dai un’occhiata a pagina di download ufficiale.

wget https://bin.equinox.io/c/VdrWdbjqyF/cloudflared-stable-linux-amd64.deb

  • Installa il pacchetto scaricato

dpkg -i cloudflared-stable-linux-amd64.deb

  • Verifichiamo la versione per assicurarci che sia installata

[Email protected]: ~ # cloudflared –version
cloudflared versione 2020.2.0 (costruito 2020-02-07-1653 UTC)
[Email protected]: ~ #

grande!

Demone autenticato

Il prossimo sarebbe di autenticarsi su Cloudflare usando il demone. Esegui il comando seguente

accesso al tunnel cloudflared

  • Ti verrà richiesto l’URL che puoi utilizzare per accedere a Cloudflare e autorizzare il sito.

[Email protected]: ~ # login tunnel cloudflared
Apri il seguente URL e accedi con il tuo account Cloudflare:

https://dash.cloudflare.com/argotunnel?callback=https%3A%2F%2Flogin.argotunnel.com%XXXXX-XXX-XXXXXX%3B

Lascia in esecuzione cloudflared per scaricare automaticamente il certificato.
INFO [0030] In attesa di accesso…
INFO [0060] In attesa di accesso…
INFO [0090] In attesa di accesso…
INFO [0120] In attesa di accesso…
hai effettuato il log in con successo.
Se desideri copiare le tue credenziali su un server, sono state salvate in:
/root/.cloudflared/cert.pem
[Email protected]: ~ #

  • Una volta autorizzato, dovresti vedere qualcosa del genere.

Avvio del tunnel

Iniziamo il tunneling di seguito.

tunnel cloudflared –hostname [HOSTNAME] http: // localhost: 80

Ex:

[Email protected]: ~ # tunnel cloudflared – nomehost tunnel.geekflare.com http://0.0.0.0:80
WARN [0000] Impossibile determinare il percorso di configurazione predefinito. Nessun file [config.yml config.yaml] in [~ / .cloudflared ~ / .cloudflare-warp ~ / cloudflare-warp / usr / local / etc / cloudflared / etc / cloudflared]
INFO [0000] Versione 2020.2.0
INFO [0000] GOOS: linux, GOVersion: go1.12.7, GoArch: amd64
INFO [0000] Flag hostname = tunnel.geekflare.com proxy-dns-upstream ="https://1.1.1.1/dns-query, https://1.0.0.1/dns-query"
INFO [0000] cloudflared non si aggiornerà automaticamente quando eseguito dalla shell. Per abilitare gli aggiornamenti automatici, eseguire cloudflared come servizio: https://developers.cloudflare.com/argo-tunnel/reference/service/
INFO [0000] Avvio server metriche addr ="127.0.0.1:35597"
INFO [0000] Proxy proxy richieste a http://0.0.0.0:80
INFO [0000] Connesso a LAX connectionID = 0
INFO [0001] ID tunnel di ogni connessione HA: map [0: xxx] connectionID = 0
INFO [0001] Propagazione del percorso, potrebbero essere necessari fino a 1 minuto affinché il nuovo percorso diventi funzionale connectionID = 0
INFO [0003] Connesso a LAX

Congratulazioni! l’origine è bloccata ora. Prova ad accedere al tuo sito Web utilizzando l’IP di origine e dovresti visualizzare il messaggio “Connessione rifiutata”.

Avvio di Argo Tunnel all’avvio

Assicuriamo che Argo Tunnel sia avviato al riavvio del server. Esegui il comando seguente sul server.

installazione del servizio cloudflared

Conclusione

Cloudflare Argo Tunnel sembra promettente. In circa 30 minuti puoi proteggere il server di origine.

TAGS:

  • Cloudflare

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map