База знаний Администрирование TrueConf Server

Защита TrueConf Server от DDoS-атак с помощью сервиса EdgeЦентр

Антон Бааджи

7 октября 2022

4 мин.

Недоброжелатели и конкуренты могут совершить атаку на ваши сервисы, направив вредоносный трафик на веб-службу TrueConf, которая “смотрит” наружу корпоративной сети. В связи с этим процесс веб-службы будет перегружать ЦП, из-за чего может произойти отказ в обслуживании интернет-запросов и как следствие – недоступность страниц конференций и прочих работающих по протоколам HTTP/HTTPS элементов системы видеосвязи.

Ранее мы подробно рассказали о хакерских атаках на отказ в обслуживании и защите от них с помощью сервисов Stormwall и DDoS-Guard.

В этой статье вы узнаете как настроить защиту сервисов TrueConf Server, работающих через веб, с помощью сервиса EdgeЦентр.

EdgeЦентр — провайдер облачных и edge-решений для бизнеса: глобальная CDN (сеть доставки контента), управляемый хостинг, технологичное облако, стриминговая платформа, защита от DDoS-атак и облачное хранилище.

Введение

Для защиты TrueConf Server вам потребуется подключить услугу Веб-защита. Она позволяет фильтровать трафик на уровнях L3, L4 и L7. Для защиты веб-службы вам понадобится защита TCP-портов 80 и 443 (HTTP и HTTPS порты по умолчанию).

На данный момент защита доступна только для стандартных HTTP/HTTPS портов.

Заказ услуги

Перейдите на форму авторизации или создания аккаунта чтобы там выбрать нужную услугу, либо заполните форму прямо на странице цен. Вы также можете запросить в форме бесплатный тестовый период от 14 до 30 дней.

Если ваш экземпляр TrueConf Server находится под DDoS-атакой, то мы рекомендуем позвонить менеджерам EdgeЦентр. В этом случае подключение защиты произойдет в течении часа.
После этого с вами свяжется менеджер, который согласует с вами защиту и предоставит данные для авторизации (логин/пароль) в панели управления сервиса EdgeЦентр.

Оплата услуги

В панели управления нажмите и перейдите в Биллинг.
Добавьте способ оплаты.
Перейдите в Сервисы.
В пункте Web защита нажмите Активировать защиту или Возобновить сервис, если у вас был активирован пробный период.

Активация услуги

В панели управления перейдите в Web защита и нажмите кнопку Добавить ресурс под защиту.
Укажите доменное имя вашего TrueConf Server.
В поле Оригинальный IP-адрес введите внешний IP-адрес сервера или нажмите кнопку Определить автоматически.
Для продолжения нажмите кнопку Добавить ресурс под защиту.
После этого перейдите на вкладку Инструкция по настройке и нажмите кнопку Скопировать для копирования защищённого IP-адреса.
- Вам необходимо направить все запросы на этот IP-адрес. Сделать это можно путем внесения изменений в A-запись DNS.
- Если атакующий знает прямой IP-адрес вашего сервера, то его необходимо сменить у вашего хостинг провайдера или запретить доступ со всех IP, кроме NAT пула EdgeЦентр — 5.188.121.128/25.
- Вся защита осуществляется только на защищенном IP-адресе.
После изменения А-записи перейдите на вкладку Настройки.
Если у вас нет своего SSL-сертификата, то:
- Нажмите кнопку Редактировать напротив поля SSL-сертификат.
- Выберите Let’s Encrypt и нажмите кнопку Сохранить.
Если у вас есть свой сертификат, то выберите Custom, заполните поля Certificate и Private key и нажмите кнопку Сохранить.
Активируйте флажок Редирект с www на основной домен и Включить редирект с HTTP на HTTPS.
Нажмите кнопку Сохранить изменения.
Через некоторое время ваш домен будет направлен на защищённый IP-адрес с включенным HTTPS.

На обновление DNS-настроек по всему миру требуется время — обычно от 5 минут до суток. Но при этом защита начнёт работать сразу после подключения.

Проверка корректности настроек

Для проверки работоспособности защиты откройте гостевую страницу вашего TrueConf Server, для этого перейдите по вашему домену (example.com).

Также в панели управления EdgeЦентр вы можете посмотреть графики с трафиком. Для этого в левом меню нажмите Отчеты и в списке найдите график с названием Web защита. На графике должны отобразиться количество входящих и легитимных (верифицированных системой защиты) запросов.

Для более подробного просмотра отчёта в левом меню перейдите в Web защита → Отчеты и выберите нужный из выпадающего списка.

Ограничения

Из-за изменения А-записи DNS подключение клиентский приложений должно осуществляться не по доменному имени (example.com), а по реальному IP-адресу.

Для упрощения подключения к серверу по реальному IP, можно использовать запуск TrueConf с параметрами командной строки. Например, для форсированного подключения можно использовать параметры -h и -fl:

TrueConf.exe -h x.x.x.x -fl

1	TrueConf.exe -h x.x.x.x -fl

где x.x.x.x — реальный IP-адрес сервера.

Вы также можете встроить эти параметры в ярлык приложения, подробнее в нашей статье. При первом запуске после изменения настроек пользователю придется заново авторизоваться в клиентском приложении.

Вывод

Порты, которые защищались в данном статье, отвечают за доступ к панели управления TrueConf Server, его гостевой странице, страницам конференций, личный кабинет пользователя, а также работу в клиентских приложениях планировщика, показа презентаций и расширенного управления конференцией. Если вы хотите защитить весь диапазон используемых в вашей инфраструктуре TrueConf портов, то вам необходимо заказать услугу с подключением GRE туннелирования.

Предыдущая статья Следующая статья

Рубрики