Защита TrueConf Server от DDoS-атак с помощью сервиса EdgeЦентр

Недоброжелатели и конкуренты могут совершить атаку на ваши сервисы, направив вредоносный трафик на веб-службу TrueConf, которая “смотрит” наружу корпоративной сети. В связи с этим процесс веб-службы будет перегружать ЦП, из-за чего может произойти отказ в обслуживании интернет-запросов и как следствие – недоступность страниц конференций и прочих работающих по протоколам HTTP/HTTPS элементов системы видеосвязи.

В этой статье вы узнаете как настроить защиту сервисов TrueConf Server, работающих через веб, с помощью сервиса EdgeЦентр.

EdgeЦентр — провайдер облачных и edge-решений для бизнеса: глобальная CDN (сеть доставки контента), управляемый хостинг, технологичное облако, стриминговая платформа, защита от DDoS-атак и облачное хранилище.

Введение

Для защиты TrueConf Server вам потребуется подключить услугу Веб-защита. Она позволяет фильтровать трафик на уровнях L3, L4 и L7. Для защиты веб-службы вам понадобится защита TCP-портов 80 и 443 (HTTP и HTTPS порты по умолчанию).

Заказ услуги

1. Перейдите на форму авторизации или создания аккаунта чтобы там выбрать нужную услугу, либо заполните форму прямо на странице цен. Вы также можете запросить в форме бесплатный тестовый период от 14 до 30 дней.
   Если ваш экземпляр TrueConf Server находится под DDoS-атакой, то мы рекомендуем позвонить менеджерам EdgeЦентр. В этом случае подключение защиты произойдет в течении часа.
2. После этого с вами свяжется менеджер, который согласует с вами защиту и предоставит данные для авторизации (логин/пароль) в панели управления сервиса EdgeЦентр.

Оплата услуги

1. В панели управления нажмите и перейдите в Биллинг.
2. Добавьте способ оплаты.
3. Перейдите в Сервисы.
4. В пункте Web защита нажмите Активировать защиту или Возобновить сервис, если у вас был активирован пробный период.

Активация услуги

1. В панели управления перейдите в Web защита и нажмите кнопку Добавить ресурс под защиту.
2. Укажите доменное имя вашего TrueConf Server.
3. В поле Оригинальный IP-адрес введите внешний IP-адрес сервера или нажмите кнопку Определить автоматически.
4. Для продолжения нажмите кнопку Добавить ресурс под защиту.
   
5. После этого перейдите на вкладку Инструкция по настройке и нажмите кнопку Скопировать для копирования защищённого IP-адреса.
   • Вам необходимо направить все запросы на этот IP-адрес. Сделать это можно путем внесения изменений в A-запись DNS.
   • Если атакующий знает прямой IP-адрес вашего сервера, то его необходимо сменить у вашего хостинг провайдера или запретить доступ со всех IP, кроме NAT пула EdgeЦентр — 5.188.121.128/25.
   • Вся защита осуществляется только на защищенном IP-адресе.
6. После изменения А-записи перейдите на вкладку Настройки.
7. Если у вас нет своего SSL-сертификата, то:
   • Нажмите кнопку Редактировать напротив поля SSL-сертификат.
   • Выберите Let’s Encrypt и нажмите кнопку Сохранить.
8. Если у вас есть свой сертификат, то выберите Custom, заполните поля Certificate и Private key и нажмите кнопку Сохранить.
9. Активируйте флажок Редирект с www на основной домен и Включить редирект с HTTP на HTTPS.
10. Нажмите кнопку Сохранить изменения.
    
11. Через некоторое время ваш домен будет направлен на защищённый IP-адрес с включенным HTTPS.

Проверка корректности настроек

Для проверки работоспособности защиты откройте гостевую страницу вашего TrueConf Server, для этого перейдите по вашему домену (example.com).

Также в панели управления EdgeЦентр вы можете посмотреть графики с трафиком. Для этого в левом меню нажмите Отчеты и в списке найдите график с названием Web защита. На графике должны отобразиться количество входящих и легитимных (верифицированных системой защиты) запросов.

Для более подробного просмотра отчёта в левом меню перейдите в Web защита → Отчеты и выберите нужный из выпадающего списка.

Ограничения

Из-за изменения А-записи DNS подключение клиентский приложений должно осуществляться не по доменному имени (example.com), а по реальному IP-адресу.

Для упрощения подключения к серверу по реальному IP, можно использовать запуск TrueConf с параметрами командной строки. Например, для форсированного подключения можно использовать параметры -h и -fl:

где x.x.x.x — реальный IP-адрес сервера.

Вы также можете встроить эти параметры в ярлык приложения, подробнее в нашей статье. При первом запуске после изменения настроек пользователю придется заново авторизоваться в клиентском приложении.

Вывод

Порты, которые защищались в данном статье, отвечают за доступ к панели управления TrueConf Server, его гостевой странице, страницам конференций, личный кабинет пользователя, а также работу в клиентских приложениях планировщика, показа презентаций и расширенного управления конференцией. Если вы хотите защитить весь диапазон используемых в вашей инфраструктуре TrueConf портов, то вам необходимо заказать услугу с подключением GRE туннелирования.