База знаний Администрирование TrueConf Server Интеграция с IT-службами (LDAP и SMTP)

Защита от DDoS-атак с помощью сервиса DDoS-Guard

Антон Бааджи

27 июня 2022

4 мин.

В 2022 году участились DDoS-атаки на российские информационные сервисы и государственные порталы, а также на коммерческие платформы и бизнес.

Ранее мы подробно рассказали о хакерских атаках на отказ в обслуживании и защите от них с помощью сервиса Stormwall.

В этой статье мы расскажем вам как защититься от атак подобного типа с помощью сервиса DDos-Guard.

DDos-Guard — оператор связи по обеспечению защиты ИТ-инфраструктуры от DDoS-атак и доставке контента.

Предоставляемые DDos-Guard защищенные туннели поднимаются до вашего сервера сразу с нескольких узлов провайдера по принципу anycast, из-за чего достигается максимум резервирования и минимальные задержки в соединении. Например, в ходе нашего тестирования была достигнута задержка 3 мс.

Введение

Для защиты TrueConf Server на стороне DDoS-Guard вам потребуется подключить услугу Защита сети (аналог Magic Transit от CloudFlare). Она применима как для защиты на сетевом и транспортном уровне единичных хостов, так и автономных систем со всеми префиксами в рамках BGP-взаимодействия.

В рамках данной услуги можно массово активировать L7-защиту и CDN для всех имеющихся доменов без необходимости редактировать DNS-записи каждого, как это делается при стандартном подходе при Reverse Proxy.

Вам будет выдан новый внешний IP-адрес, который присваивается защищаемому ресурсу. Доставка чистого трафика осуществляется через туннелирование (GRE/IPIP) или физическое подключение к сети DDoS-Guard.

При таком способе защиты фильтруется трафик по всем портам, и нет надобности указывать явно те из них, которые необходимы для TrueConf Server.

Прежде чем приступить к настройке защиты, проверьте поддерживает ли ваша ОС туннелирование.

Активация услуги

Для активации требуется:

Создать аккаунт.
В личном кабинете нажать Добавить услугу → Защита сети и выбрать подходящий план.
Ввести технические параметры и добавить платежную информацию. После оплаты услуги вы сможете перейти к следующему шагу.
Настроить туннелирование с защищённым IP-адресом, который вы увидите в личном кабинете после оплаты.

Технические параметры

После выбора подходящего плана, в личном кабинете произведите следующие настройки:

Выберите Другое.
Укажите внешний IP вашего сервера.
Выберите тип подключения: GRE или IPIP туннель.
Выберите точку подключения: Российская Федерация.

Платежная информация

На данном шаге вы можете ознакомиться с суммой оплаты, выбрать тип оплаты и подтвердить заказ.

Настройка туннелирования

Linux

Автоматическая настройка

Для создания туннеля мы рекомендуем использовать автоматическую настройку с помощью файла tunnel-configure.sh, который доступен в личном кабинете пользователя.

На шаге настройки оборудования в блоке Как настроить туннель выберите Автоматическая настройка, и нажмите кнопку Скачать .sh файл.

Запустите скачанный файл на выполнение с правами суперпользователя, после чего туннель будет настроен, и вы сможете начать работу с услугой.

Ручная настройка

В случае каких-либо проблем при использовании автоматических настроек можно воспользоваться ручным способом. Необходимые команды указаны на вкладке Ручная настройка.

При возникновении проблем с настройкой рекомендуем обратится в техническую поддержку.

Windows

Для ОС Windows не существует настройки через автоконфигуратор, поэтому для создания туннеля вам нужно использовать алгоритм, представленный на вкладке Ручная настройка.

Примеры настроек предоставлены для ОС Linux

Проверка корректности настроек

Для проверки работоспособности туннеля в левом меню нажмите и выберите услугу Защита сети. В правом верхнем углу будет отображаться зеленая галочка и уровень текущей задержки при выполнении команды ping сервисом DDoS-Guard и машиной с вашим TrueConf Server.

А также в статистике начнет отображаться график с вашим трафиком:

Итоги тестирования

Порты, которые защищались в нашем тестировании, отвечают за все основные возможности видеосвязи TrueConf. В итоге при активированной защите и верно настроенным лимитам корректно работал следующий функционал:

1. Работа клиентских приложений по проприетарному протоколу trueconf:
  - показ презентаций;
  - демонстрация экрана;
  - все виды коммуникации между различными экземплярами TrueConf Server с помощью режима федерации;
  - чаты;
  - передача файлов в чате;
  - статусы;
  - управление удалённым рабочим столом.
2. WebRTC:
  - показ презентаций;
  - демонстрация экрана;
  - чат.
3. Трансляция на внешние сервисы с помощью встроенных шаблонов.
4. HTTPS.
5. LDAP.
6. Участие с видеозвонках и конференциях из клиентских приложений TrueConf.
7. Работа клиентских приложений по протоколу SIP/H.323/RTSP (исходящие соединения).

Желаем удачных конференций!

Предыдущая статья Следующая статья

Рубрики