WEDOS Global Protection bude první služba postavená na WEDOS Global. Aktuálně už jsme ve stavu otevřeného testování. V rámci testování můžete zdarma přidat vaši doménu na wedos.global a zkoušet různé formy ochran a filtrování provozu. V polovině října se počet testerů přehoupl přes 100. Doménu ani hosting u nás nemusíte mít. Potřeba je jen používat naše nameservery.
Nyní službu WEDOS Global využívá přes 1 000 velkých webů, a dokonce jeden e-shop s obratem kolem miliardy korun. Každou sekundu tam odbavíme několik tisíc stránek.
Aktuálně ještě není proces přidávání nových domén ideální, protože je určen spíše zkušenějším uživatelům – ti to zvládnou nastavit tak, aby se vyhnuli výpadku. Musíme to trochu poladit, aby to zvládl každý a bez výpadku (nejdříve je třeba importovat/vložit NS záznamy a pak když budou správně, tak u domény nastavit DNS na naše). Takhle bylo v době psaní článku, ale my se vyvíjíme a už to neplatí. Nyní je to tak, že zadáte doménu a my vše zařídíme. Vy si nakonec jen změníte DNS servery a vše jede od nás, bez výpadku. I tu změnu DNS serverů chceme nakonec zajistit. Ale to až třeba za týden. Pro domény, které mají naše DNS ještě proces není automatizovaný z důvodů bezpečnosti a příští týden přijdeme s novým řešením.
Jakmile si u domény nastavíte naše nameservery, tak jde provoz přes WEDOS Global, to znamená, využíváte všechny aktivní body, kterých je aktuálně 15. Hardware máme ale nakoupený na 50 bodů.
Aktuální body:
Evropa
- 🇳🇱 Amsterodam
- 🇪🇸 Barcelona
- 🇨🇭 Curych
- 🇫🇮 Helsinky
- 🇨🇿 Hluboká nad Vltavou DC1
- 🇨🇿 Hluboká nad Vltavou DC2 (v oleji)
- 🇬🇧 Londýn
- 🇪🇸 Madrid
- 🇫🇷 Paříž
- 🇸🇪 Stockholm
- 🇦🇹 Vídeň
- 🇵🇱 Varšava
Asie
- 🇭🇰 Hongkong
- 🇸🇬 Singapur
- 🇯🇵 Tokyo
Dnes (4.11.) byl doručen hardware do Sydney, a tak tam za pár dní budeme v provozu. To bude 16. lokalita.
Máme podepsaných 5 lokalit v USA, jednu v Jihoafrické republice a Turecku. Tu chceme spustit v listopadu. Dále jednáme o Bulharsku, Ománu, Dubaji, Mexiku, Argentině, Brazílii, Kolumbii, Chile. Pokud to vyjde, tak to stihneme do konce roku.
Co se týká ochran, tak na každém bodě je naše stávající DDoS ochrana proti hrubým útokům. Dále tam je ochrana před tradičními L3/L4 DDoS útoky. Dále je tam náš předsunutý SYN filtr, který blokuje stovky tisíc problémových IP adres. Ty tam mohou být na pár minut, hodin, dnů anebo trvale. Postupně je tam přidávají/ubírají roboti anebo kolegové na základě analýzy provozu z více jak 150 tisíc webů.
To je dobrý základ, který vám ušetří náklady na provoz (zákazníci, kteří mají chráněná VPS, nám potvrdili, že by jim stačila i nižší varianta, protože odfiltrujeme všechny přetěžovače a roboty). To se vzhledem k rostoucím cenám elektřiny (a následně i hostingových služeb) může hodit. Počítáme, že WEDOS Global Protection bude stát “pár stovek” měsíčně pro firmy. Pokud jim ušetří nějakou tu tisícovku měsíčně, tak je to o důvod víc, proč WEDOS Global používat 🙂
Další nastavení ochran je už na vás. Sami si nastavíte, jaké země, kontinenty anebo IP chcete blokovat, případně u nich můžete nastavit test captcha anebo cookie a redirect.
V podstatě se tak jedná o manuální ochranu, kterou si musíte zapnout. Když se na vás rozjede útok, tak máte okamžitě možnost jednat. Například pro všechny mimo ČR/SK nastavíte captcha. Do pár minut máte klid.
Rádi bychom to ale posunuli dál a vytvořili nějaký model automatické ochrany. Když bude nějaký útok, tak se o vše postará robot. S tímhle počítáme, že nasadíme za několik dní na ostré testy.
K tomu slouží různé modely, které sledují, jak by si který filtr vedl v reálném provozu.
Výhody, které jsme dříve neměli
WEDOS Global přináší dvě nové výhody, jak se vypořádat s problémovým provozem.
Máte k dispozici jednotlivé body, které stahují lokální provoz k sobě a posílají jej dál. Ten je vždy něčím specifický a můžete se k němu chovat jinak. Standardně vám dorazí provoz z celého světa na server a vy musíte pracovat s tím, co o něm víte. To není ideální. Podle IP třeba víte, že patří české firmě, ale ve skutečnosti se jedná o zahraniční provoz. U WEDOS Global toto poznáte, protože ten provoz jde nejkratší cestou.
Schválně se podívejte na následující tabulku. Všechny IP adresy “tvrdily”, že jsou české. Přitom české jdou jen přes Hlubokou nad Vltavou a Prahu.
IP adresy, které jdou třeba přes Tokio, protože to je pro ně nejkratší cesta, jsou podezřelé a můžeme se k nim chovat jinak.
Druhou výhodou je, že nemusíte hned podezřelý provoz blokovat. Stačí mu do cesty dát překážku, kterou bez problému překoná člověk ovšem útočící robot už ne. Nám se osvědčila třeba cookie + javascriptové přesměrování. Pro internetový prohlížeč to není problém. Uloží a ověří cookie a z javascriptu se dozví, kam má jít. Takovýto uživatel je označen a nemusí test několik minut opakovat (je na vás, kolik mu dáte času).
Samozřejmě jsou pokročilí roboti, kteří tohle umí řešit, a dokonce i metody, jak to obejít. No a na ty můžeme nasadit captchu. Ovšem k masivním útokům se nepoužívají, protože to je nákladnější než prostě pálit desítky tisíc requestů za vteřinu.
Jak budeme ověřovat provoz
Změřit anomálii v rámci celého provozu není tak snadné, zvláště když jste na vysoký provoz zvyklí. Ovšem když sledujete provoz na každém bodě zvlášť, tak ty anomálie poměrně dobře vidíte. Většina útoků jde totiž z celého světa.
To znamená, že stačí měřit každý bod samostatně. Pokud váš web cílí na Čechy, tak uvidíme jen nepatrný nárůst na bodě Hluboká a Praha, ovšem markantní na ostatních bodech. Na ostatních bodech tak pustíme třeba ten redirect s cookie. Není to nic, co by běžnému návštěvníkovi vadilo a útoky to zastaví. Nepatrný nárůst z ČR web ustojí. A pokud by nebyl nepatrný, tak se spustí ochrana.
V následující tabulce vidíte jednoduchou tabulku postavenou na reálném provozu v jednom z 15 bodů. V prvním sloupci jsou domény, v druhém je provoz za posledních 5 minut, v třetím za předchozích 5 minut a ve čtvrtém jsou 5 minutové průměry za poslední hodinu.
Řekněme, že by přišel útok a počet requestů by byl třeba 5x oproti 5 minutovým průměrům (s nějakým minimem). Tak v tom bodě můžeme prostě pustit kontrolu cookie + redirekt.
Tohle je úplně nejednoduší koncept. Při vyhodnocení můžeme pracovat s jakýmikoliv daty z access logu včetně toho, jak dlouho trvají požadavky. Můžeme tak udělat i ochranu, která bude omezovat v daném bodě provoz, protože jeho vyřízení trvá dlouho (útok na necachované stránky). A to pro celou doménu anebo pro IP adresu.
Možností je nespočet. Máme spousty nápadů a hlavně dostatek provozu, na kterém to jde reálně nasimulovat.
V budoucnu je v plánu toto vše posunout dál s využitím AI (strojového učení).
Co se nepovedlo #1
Některé metody detekce útoků byly tak dobré, že poskytovaly slušný seznam kompromitovaných IP adres. Když takové IP zablokujete, tak to nikomu nevadí a naopak ušetříte spoustu serverových zdrojů, protože IP patří počítači (serveru) v botnetu, který pořád něco dělá. Ráno hledá zranitelnosti, odpoledne zkouší brute force útoky a v noci spamuje komentáře.
Jeden takový “honeypot” sledoval brute force útoky na přihlašovací stránku WordPress. Funguje perfektně. Každý den to bylp desítky nových IP adres zapojených v nějakém botnetu. No a jednou kolegové z podpory napsali, proč máme na blacklistech Uptimerobot, což je služba na sledování dostupnosti služeb. Že by opravu prováděl brute force útoky?
Popravdě spadl tam zaslouženě, ale mohl za to uživatel. Zjistili jsme, že několik našich zákazníků (opravdu několik) se rozhodlo, že si budou kontrolovat dostupnost přihlašovacího formuláře. Všechny jsme poučili, ale když koukneme do statistik, další to začali dělat.
Tohle ale byla spíše naše chyba. Jednak je třeba kontrolovat i metodu požadavku. Tedy, zdali jsou na formulář poslána nějaká data (přes POST) a hlavně IP adresy služby jako Uptimerobot musíme mít na whitelistech. Což v době psaní článku už máme.
Vzhledem k počtu útoků na soubor wp-login.php, budou všechny tyto soubory na WEDOS Global Protection automaticky chráněné.
Co se nepovedlo #2
O prázdninách jsme detekovali rozsáhlou aktivitu botnetů, které hledala zranitelnosti přes SQLi. Dokonce jsme tomuto tématu věnovali článek na blogu. Útočníci používali dvě metody přímo z napadených VPS a přes oblíbené služby poskytující VPN. V některé dny to byly i vyšší stovky tisíc requestů z desítek tisíc IP adres.
Vzhledem k tomu, že jsme to hlídali opravdu detailně, tak jsme mimo postupného přesouvání aktivity mezi různými poskytovali VPN a VPS na tom zkoušeli i model ochrany, z kterého by byl filtr pro WEDOS Global Protection.
No a spadl nám do něj Googlebot, respektive jeden jeho rozsah, který nebyl na aktivních whitelistech. Upozornil nás na to jeden ze zákazníků, takže tam byl jen pár hodin. Nic, co by ovlivnilo pozici webu ve vyhledávačích. Google počítá s tím, že občas server odmítne požadavky.
Jednalo se o tyto požadavky. Na první pohled opravdu vypadají jako pokus o SQLi.
A šlo to z těchto IP adres.
Jedná se o podobný vzor útoků, který jsme detekovali z botnetů přes poskytovatele VPN. Systematické zkoušení v relativně malém rozsahu, z více IP na jednom /24 rozsahu, kde se mění prohlížeče. Pro úplnost prohlížeče v případě “prázdninových útoků” přes VPN jsou automaticky generovány, takže na každý přístup by byl jiný.
Tyto IP adresy patří Google a používá je pro Googlebota.
A zrovna tato konkrétní má i hezký záznam v AbuseIPDB.
Jedná se opravdu o oficiální IP adresu Googlebota, kterou si můžete ověřit přímo u nich.
Provádí tedy Googlebot SQLi útoky? To s největší pravděpodobností ne. Útočník jen připravil pro Googlebota URL, kterou má navštívit. Googlebot je všude whitelistovaný, takže mu tento útok prostě projde. A na to útočník vsází. Celkem originální, ne? 🙂
Příště naopak napíšeme o tom, co se nám povedlo. Ukážeme pár ukázek o tom, jak WEDOS Global pomohl zrychlit web, zlepšit dostupnost, vylepšil pozice ve vyhledávačích a jak chrání proti útokům nebo šetří peníze za elektřinu nebo drahý hardware.
Závěr
Na WEDOS Global Protection pracujeme na všech frontách. Hledáme nové lokality, domlouváme se s datacentry i poskytovali konektivity ve vybraných lokalitách, probíhá konfigurace HPE Moonshot 1500, který se posílá do lokalit, domlouvá se odvoz a papírování, instalace přímo na místě, vyvíjí se backend i frontend, ladí obchodní model a samozřejmě se navrhují i ochrany. Je to největší projekt, na kterém jsme kdy u WEDOS dělali. A samozřejmě hledáme i další testery. Tak neváhejte a vyzkoušejte wedos.global. Nemusíte u nás mít hosting ani doménu, stačí jen využít naše DNS, která zároveň budou maskovat, kde je váš skutečný hosting.
Brzo chceme přidat další služby založené na naší globální celosvětové síti WEDOS Global. Již brzo se dočkáte DNS serverů. Díky tomu budou vaše domény a weby bezpečnější a celosvětově dostupnější a rychleji a spolehlivěji budou odpovídat. To už testujeme v ostrém nasazení.
Potom chceme přidat inteligentní filtraci mailů a ochranu proti spamu. Tam už běží vývoj.
Ještě letos nasadíme WEDOS OnLine – náš monitoring, který bude mít sondy po celém světě.
Co dál? Plánujeme tam privátní VPN sítě a mnoho dalšího. Nechte se překvapit. Jsme sice česká firma, s dvěma datacentry na Hluboké, ale chceme být globální firmou s celosvětovým pokrytím a globální nabídkou.