Ochrana – IP adresy WEDOS – Dokumentace a znalostní databáze WEDOS

V tomto článku se dozvíte:

Jak WGP ovlivňuje provoz směřující na váš původní server
Jak povolit IP adresy WGP na vašem původním serveru
Příklady nastavení brány firewall
Proč byste měli zablokovat veškerý ostatní provoz
Jak ověřit nastavení
Jak udržovat seznam IP adres aktuální
Často kladené otázky

Provoz směřující na váš původní server

Pokud je vaše doména chráněna službou WEDOS Protection (WGP), veškerý webový provoz je předtím, než se dostane k vašemu původnímu serveru, směrován přes naši proxy síť. Z tohoto důvodu vnímá váš původní server příchozí provoz odlišně:

Skutečné IP adresy návštěvníků nelze přímo vidět. Místo toho se zdá, že veškerý provoz pochází z globálních IP adres společnosti WEDOS.
Velké množství požadavků přichází z malého počtu IP adres. Bezpečnostní nástroje (firewally, ochrana hostingu, pluginy) mohou:
- Zablokujte tyto IP adresy
- Nastavit omezení počtu požadavků
- Označte je jako podezřelé

Pokud váš původní server z jakéhokoli důvodu zablokuje globální IP adresy společnosti WEDOS, vaše webové stránky budou pro všechny návštěvníky nedostupné.

Povolit IP adresy WEDOS Global

Aby vaše webové stránky fungovaly správně, nezapomeňte na svém původním serveru vždy povolit provoz z IP adresových rozsahů společnosti WEDOS Global.

Kompletní seznam najdete zde:

Tuto možnost lze obvykle nastavit v:

Soubor .htaccess na vašem webu
Serverový firewall (iptables, ufw, firewalld)
Konfigurace webového serveru (Apache, Nginx)
Cloudový firewall (bezpečnostní skupiny AWS atd.)

Příklady konfigurace brány firewall

Následující příklady ukazují, jak povolit příchozí provoz na portech 80 a 443 pouze z IP rozsahů WEDOS.global. Jedná se o výchozí nastavení, které je třeba přizpůsobit konkrétnímu prostředí, distribuci a stávajícím pravidlům firewallu. Ve všech příkladech nahraďte zástupné IP rozsahy aktuálními údaji zadres https://ips.wedos.global/ips.json nebo https://ips.wedos.global/ips.txt.

iptables

# Povolit přenos dat na portech 80 a 443 z IP rozsahů WEDOS.global
iptables -A INPUT -p tcp -m multiport --dports 80,443 -s 1.2.3.0/24 -j ACCEPT
iptables -A INPUT -p tcp -m multiport --dports 80,443 -s 5.6.7.0/24 -j ACCEPT

# Odmítnout veškerý ostatní provoz na portech 80 a 443
iptables -A INPUT -p tcp -m multiport --dports 80,443 -j DROP

Pro IPv6 použijteip6tabless příslušnými rozsahy IPv6 ze seznamu IP adres.

nftables

table inet filter {
    set wedos_ips_v4 {
        type ipv4_addr
        flags interval
        elements = { 1.2.3.0/24, 5.6.7.0/24 }
    }

    set wedos_ips_v6 {
        type ipv6_addr
        flags interval
        elements = { 2a02:2b88::/32 }
    }

    chain input {
        type filter hook input priority 0; policy drop;

        tcp dport { 80, 443 } ip saddr @wedos_ips_v4 accept
        tcp dport { 80, 443 } ip6 saddr @wedos_ips_v6 accept
    }
}

Zablokujte přímý přístup ke svému serveru

Pro zajištění maximální bezpečnosti byste měli zablokovat také veškerý další příchozí provoz směřující na váš webový server. Důvodem je to, že pokud se vaše původní IP adresa stane známou prostřednictvím historických záznamů DNS, hlaviček e-mailů, přímého skenování nebo jiných technik, může útočník odesílat provoz přímo na váš server a obejít tak WGP a jeho WAF, omezení rychlosti a ochranu proti DDoS útokům.

Proto se doporučuje:

Povolit pouze rozsahy globálních IP adres společnosti WEDOS a vaše vlastní důvěryhodné IP adresy (např. pro přístup správce, monitorovací nástroje)
Zablokujte veškerý ostatní provoz na portech 80 (HTTP) a 443 (HTTPS)

Ověřte konfiguraci

Po nastavení omezení IP adres ověřte, zda je původní server řádně chráněn:

Otevřete webovou stránku přes její veřejnou doménu. Stránka by se měla načíst normálně, protože provoz je přesměrován přes proxy server WGP.
Zkuste se připojit přímo na IP adresu původního serveru z vnější sítě. Připojení by mělo být odmítnuto nebo by mělo dojít k vypršení časového limitu.
Zkontrolujte protokoly původního serveru a ověřte, zda příchozí požadavky pocházejí výhradně z IP rozsahů WEDOS.global.

Pokud přímé připojení k původnímu serveru stále funguje, zkontrolujte nastavení brány firewall a webového serveru, abyste se ujistili, že je seznam IP adres WEDOS.global správně nastaven a že v konfiguraci nezůstala žádná pravidla, která by s ním byla v rozporu.

Udržujte seznam povolených IP adres aktuální

Seznam IP adres WEDOS.global se rozšiřuje s tím, jak jsou do sítě Anycast přidávány nové proxy uzly. Aby nedocházelo k výpadkům služeb, je třeba konfiguraci původního serveru udržovat v souladu s oficiálním seznamem.

Doporučeným postupem je nastavit automatický proces aktualizace, který:

Jednou nebo dvakrát denně pravidelně stahuje nejnovější soubor ips.json nebo ips.txt.
Aktualizujte podle toho seznam povolených adres v bráně firewall nebo na webovém serveru.
Znovu načte příslušnou službu, aby se změny projevily bez výpadku.

Ruční aktualizace jsou sice možné, ale s sebou nesou riziko zastaralých konfigurací, což může vést k blokování legitimního provozu přes proxy.

ČASTO KLADENÉ DOTAZY

Používám sdílený hosting, takže si pravidla firewallu nemohu nastavit sám. Co mám dělat?

I u sdíleného hostingu si často můžete sami upravit bezpečnostní pluginy, jako jsou například pluginy pro firewall ve WordPressu.

Pokud jsou IP adresy WEDOS Global blokovány bezpečnostními opatřeními vašeho poskytovatele hostingu, obraťte se na jeho technickou podporu a požádejte ji o zařazení IP adres WEDOS Global na seznam povolených adres.

Bylo to užitečné?

Děkujeme za váš názor!

Ochrana – IP adresy WEDOS