Релиз WAF Admin - свой маленький уютный CloudFlare

July 19, 2021 - Reading time: ~1 minute

WAF Admin это средство для создания и управления собственной сетью, аналогичной сети CloudFlare. С тем лишь отличием, что закуп ип и нод будет осуществляться самим юзером. Как и CloudFlare, WAF Admin умеет выпускать практически неограниченное количество бесплатных SSL сертификатов от Let's Encrypt. Основной же целью работы WAF Admin является сокрытие основных узлов внутренней инфраструктуры.

Например, мы можем закупить с десяток дешевых впс, обвешать их доп ип адресами, а весь трафик с них направить на свои бекенды, которые уже будут этот трафик обрабатывать. В этом случае, домены мы привязываем на купленные ип дешевых впс, а наш основной сервер будет надежно сокрыт от посторонних глаз. И, как следствие, любые атаки на наши домены просто не попадут в цель, а источники трафика будут видеть уникальный ип для каждого домена, хотя фактически вся обработка будет производиться на скрытом бекенде.

Вообще, базовые принципы и достоинства этого метода изложены в этой статье , крайне рекомендую для ознакомления.

Термины

Нода (node) - недорогой ВНЕШНИЙ сервер, возможно с пачкой дополнительных IP адресов

Бекенд (backend) - основной сервер, на котором непосредственно работает наше ПО: трекер, клоака, генератор сайтов и т.д.

Безлимитные бесплатные SSL сертификаты

Большой головной болью для аффилиейтов после недавних обновлений стала работа с SSL сертификатами (для HTTPS на доменах): источники трафика перестали пропускать сайты без SSL сертификатов. WAF Admin позволяет выпускать и обслуживать практически неограниченное количество сертификатов (на тесте было около 30 000 доменов с сертификатами). Для выпуска сертификатов достаточно пары кликов.

Защита

Так как все наши домены будут привязаны к нодам, то извне (посетители, модераторы, боты и т.д.) будут видеть, что, якобы, конечной точкой маршрута пользователя и обработчиком трафика является наша нода, и все, что находится за ней (бекенды, пробросы) будут невидимы. Как следствие всего этого, все атаки будут заканчиваться на ноде, и что бы с ней не произошло - перегрузка канала, блок, DDoS - это никак не затронет наш бекенд. Отдельно стоит отметить, что при получении абуз на домен, абуза упадет к хостеру этой ноды, но не бекенда. И, в случае блока учетки или бана ноды, наше основное ПО (трекер например) останется в безопасности и готов работать с оставшимися нодами и доменами.

Сокрытие инфраструктуры (серверов)

Скрипт позволяет прятать за собой группы серверов с самым разным ПО: трекеры, генераторы, блоги, сайты и вообще практически все, что работает на 80 или 443 портах. Для каждого домена можно установить собственный бекенд, настроить маскировку домена и активировать автоматический редирект на HTTPS версию.

Маскировка доменов.

Некоторое ПО привязывается к одному домену. WAF Admin позволяет обойти это ограничение, подменяя оригинальный домен на заданный. Например:

У нас есть лицензированный домен domain1.com, но мы хотим использовать это ПО и на других доменах. Тогда просто задаем маскировку domain[2...].com на domain1.com и указываем бекендом IP с копией скрипта. При такой реализации ПО будет думать, что работает только с одним доменом, хотя фактически, мы можем настроить маскировку на неограниченном количестве других доменов.

Подключение нод

Подключение нод максимально автоматизировано: достаточно добавить на нее ssh ключ админа и добавить ее в веб-интерфейсе. Скрипт автоматически настроит все и установит заданные IP адреса на ноде. Никаких специфических технических знаний не требуется - все делается в пару кликов.