Как грамотно скрыть сервер за Cloudflare?

[MapsMiner]

1)Как можно скрыть реальный ip сервера помимо проксирования CF, смены DNS?

2)Почему они даже если ты подключил CF реальный ip в Censys , Fofa , Shodan etc , учитывая , что SSL сертификат создал без косяков?

3)Как можно защититься от краувлеров и ботов?

4)Как можно настроить WAF?

Спасибо!

 

[mixerbitcoins]

1) Чтобы скрыть реальный IP сервера помимо использования Cloudflare и смены DNS, можно использовать следующие методы:
1. Обратные прокси-серверы (Reverse Proxy): Вы можете разместить сервер между пользователями и вашим основным сервером, так чтобы все запросы шли через этот промежуточный сервер. Пользователи будут видеть IP-адрес прокси-сервера, а не реального сервера.
2. Виртуальные частные сети (VPN): Использование VPN для маршрутизации трафика вашего сервера через сторонний IP-адрес. При этом пользователи будут видеть только VPN-адрес, а реальный IP останется скрытым.
3. Сеть анонимизации (Tor): Можно настроить ваш сервер для работы через сеть Tor. Это поможет скрыть реальный IP-адрес и обеспечит дополнительный уровень анонимности.
4. Балансировщики нагрузки (Load Balancers): Вы можете использовать внешний балансировщик нагрузки (например, от AWS, Google Cloud или других провайдеров). Запросы будут обрабатываться балансировщиком, который скрывает реальный IP вашего сервера.
5. Хостинг в облаке (Cloud Hosting): Использование облачного хостинга от крупных провайдеров (AWS, Google Cloud, Azure) позволяет абстрагироваться от реального физического IP-адреса, так как облачные инфраструктуры используют динамические и внешние IP-адреса.
6. Настройка firewall для ограничения трафика: Можно настроить брандмауэр (firewall) на сервере таким образом, чтобы он принимал соединения только от определённых доверенных IP-адресов (например, от Cloudflare или других прокси), тем самым напрямую пользователи не смогут получить доступ к серверу по его реальному IP.7. **Anycast-сети:** Использование Anycast для распределения запросов через несколько серверов с одним IP-адресом. Это делает сложнее отслеживание реального местоположения конкретного сервера.Комбинация этих методов может значительно усложнить определение реального IP-адреса вашего сервера.

 

[c0d3x]

1)Как можно скрыть реальный ip сервера помимо проксирования CF, смены DNS?

2)Почему они даже если ты подключил CF реальный ip в Censys , Fofa , Shodan etc , учитывая , что SSL сертификат создал без косяков?

3)Как можно защититься от краувлеров и ботов?

4)Как можно настроить WAF?

Спасибо!

Запретить доступ к серверу и всем его портам полностью кроме подсетей CloudFlare - https://www.cloudflare.com/ips/ и своего IP или подсети с которой администрируешь сервер. Если уже спалился на этих сканнерах интернета (censys, fofa etc..) то после проведения вышеупомянутых действий IP твоего сервера из выдачи пропадет через 3-7 суток. Но лучше все таки поменять IP. Помимо этого можно отдавать 444 или 403 тем, кто коннектится к http/https с хидером host отличным от твоего.

Что касается краулеров и ботов, ну здесь смотря от каких защищаться, во первых нужно банить даунов которые юзают дефолтные юзер-агенты типа Go-http-client, libcurl, python и так далее, сделать это можно через правила WAF в самом CloudFlare. Во вторых нужно юзать Super BotFight Mode, детект JS. В третьих включить в настройках JS челлендж для тех стран, из которых к тебе идет больше всего говна, например Индия, Бразилия, Китай и так далее. WAF в самом CloudFlare неплохо справляется (Cloudflare OWASP Core Ruleset + Cloudflare Managed Ruleset), можно дополнительно настроить уровень паранои. Настраивается это все в Security > WAF > Managed rules. Ну для особо тревожных можно и на бэкенд запилить WAF, например тот же ModSecurity, опенсорсный + обновляется регулярно.

 

[botnets]

2 - на сайте самом, в content у тебя есть твой же домен. Варианты - поблокать юзерагенты сенсиса и шодана (насчет юза фофы я не знаю) или разрешить запросы только с клоудфлейр айпи адресов.
3 - блок их юзерагентов / включение Legacy Captcha
4 - Если обычный сайт только на https и 443 порту, то можешь поблокать HTTP/1.1 HTTP/1.2 и если хостнейм в запросе содержит символ ":" (если есть порт в hostname) то блок. Браузер не отправляет порт в hostname

 

[MapsMiner]

Спасибо за ответы , забавно как мой вопрос на форуме разлетается по телеграм каналам , раз вызвал такой ажиотаж попробуем немного углубиться в тему для решение моего вопроса

Представим, что у меня есть веб-приложение, оно не мое , в коде я не могу более досконально для того , что бы менять логику запросов и добавлять свои заголовки , но я знаю , что оно ходит только по путям /page/new , /page/test/* , как я могу через NGINX тоже ограничить этот момент?

На главное странице есть приветственное сообщение , например , "Nginx work" , но сама логика только ходит по /page/new , /page/new/* , какой статус код я могу указать для того , чтобы боты , краулеры и просто любопытные глаза забыли мой домен как страшный сон?

 

[MapsMiner]

Запретить доступ к серверу и всем его портам полностью кроме подсетей CloudFlare - https://www.cloudflare.com/ips/ и своего IP или подсети с которой администрируешь сервер. Если уже спалился на этих сканнерах интернета (censys, fofa etc..) то после проведения вышеупомянутых действий IP твоего сервера из выдачи пропадет через 3-7 суток. Но лучше все таки поменять IP. Помимо этого можно отдавать 444 или 403 тем, кто коннектится к http/https с хидером host отличным от твоего.

Что касается краулеров и ботов, ну здесь смотря от каких защищаться, во первых нужно банить даунов которые юзают дефолтные юзер-агенты типа Go-http-client, libcurl, python и так далее, сделать это можно через правила WAF в самом CloudFlare. Во вторых нужно юзать Super BotFight Mode, детект JS. В третьих включить в настройках JS челлендж для тех стран, из которых к тебе идет больше всего говна, например Индия, Бразилия, Китай и так далее. WAF в самом CloudFlare неплохо справляется (Cloudflare OWASP Core Ruleset + Cloudflare Managed Ruleset), можно дополнительно настроить уровень паранои. Настраивается это все в Security > WAF > Managed rules. Ну для особо тревожных можно и на бэкенд запилить WAF, например тот же ModSecurity, опенсорсный + обновляется регулярно.

Вы бы не могли более подробно и с примерами показать этот момент?

 

[i0pht]

Here is the solution of your questions 3 and 4 : https://xss.pro/threads/116846/