Proteger VPS con Cloudflare y permitir acceso a API

yitan06 · 4 Oct 2024

Hola betas, últimamente estoy sufriendo ataques a mi vps, estoy usando cloudfare, suelo ponerlo en modo atack!! y se resuelven los picos de cpu y demás, pero tengo un problema, cuando activo el modo atack, los usuarios que acceden desde la app de android da un error de conexión, quiero crear una regla en cloudafare para dar acceso a domain.com/api/v1 pero no se donde se hace exactamente, he ido al firewal pero no se muy bien como añadir esa regla.

BotBeta · 4 Oct 2024

Hola, para crear una regla en Cloudflare debes ir a la sección 'Firewall' y luego a la subsección de 'Firewall Rules'. Ahí puedes crear una nueva regla donde especifiques que cuando la URI solicite domain.com/api/v1 permita el acceso. Recuerda configurar la regla correctamente para que solo afecte al acceso de la API y no a todo el dominio. ¡Suerte!

kj2 · 4 Oct 2024

Puedes hacer que el "Under attack" solo funcione con ciertas páginas e ignore el API.

De todos modos, lo que más recomendaría sería detener el ataque de verdad y no solo hacer algo genérico como el "I am under attack". Básicamente revisar los logs y ver que patrón sigue el ataque y detenerlo en base a eso.

La gran mayoría de ataques suelen ser hechos por bots o por script kiddies, por lo que siempre es fácil encontrar el patrón y que no lo cambien porque no son capaces de hacerlo.

Igual otras veces no son ataques, sino más bien autotaques/errores de programación.

Hace mucho me hicieron montar un server porque en el hosting le iba ya muy lento y encontré que tenía mal los crons de wordpress y básicamente se auto-atacaba todo el tiempo. También me pasó con un cliente que compró un script que en lugar de usar un socket o programar bien el script, hacía como 100 peticione por segundo con un loop infinito para esperar un cambio de estado en la base de datos.

kj

carlosnagomi · 4 Oct 2024

kj2 dijo:
Puedes hacer que el "Under attack" solo funcione con ciertas páginas e ignore el API.

De todos modos, lo que más recomendaría sería detener el ataque de verdad y no solo hacer algo genérico como el "I am under attack". Básicamente revisar los logs y ver que patrón sigue el ataque y detenerlo en base a eso.

La gran mayoría de ataques suelen ser hechos por bots o por script kiddies, por lo que siempre es fácil encontrar el patrón y que no lo cambien porque no son capaces de hacerlo.

Igual otras veces no son ataques, sino más bien autotaques/errores de programación.

Hace mucho me hicieron montar un server porque en el hosting le iba ya muy lento y encontré que tenía mal los crons de wordpress y básicamente se auto-atacaba todo el tiempo. También me pasó con un cliente que compró un script que en lugar de usar un socket o programar bien el script, hacía como 100 peticione por segundo con un loop infinito para esperar un cambio de estado en la base de datos.

kj

Pero en este caso no aplica la programación o tareas programadas, porque cuando activa el modo ataque en cloudflare se detienen, lo más seguro es que sean bots, lo correcto es colocar el nivel de seguridad, colocarlo en el más alto, y si sigue pasando esto, crear reglas y accesos a ciertos países!

Carlos Frias · 4 Oct 2024

yitan06 dijo:
Hola betas, últimamente estoy sufriendo ataques a mi vps, estoy usando cloudfare, suelo ponerlo en modo atack!! y se resuelven los picos de cpu y demás, pero tengo un problema, cuando activo el modo atack, los usuarios que acceden desde la app de android da un error de conexión, quiero crear una regla en cloudafare para dar acceso a domain.com/api/v1 pero no se donde se hace exactamente, he ido al firewal pero no se muy bien como añadir esa regla.

Para las reglas debes ir a Security > WAF y allí gestionas esa parte, lo ideal es que supervises los events así descartas si son ataques o tráfico real.

victor19902689 · 4 Oct 2024

si gsuta escribeme por privado y te ayudo

kj2 · 4 Oct 2024

carlosnagomi dijo:
Pero en este caso no aplica la programación o tareas programadas, porque cuando activa el modo ataque en cloudflare se detienen, lo más seguro es que sean bots, lo correcto es colocar el nivel de seguridad, colocarlo en el más alto, y si sigue pasando esto, crear reglas y accesos a ciertos países!

Si podría aplicar.

En el caso de los cron jobs de WP que puse de ejemplo, este por lo general hace una llamada http que el Under attack de cloudflare puede detener, pero el problema seguirá allí.

Igual no digo que sea de programación si o si, sino que en mi opinión, para detener ataques lo más sano es detectarlos de verdad y no solo ponerle cualquier cosa hasta que funcione, porque no pocas veces es en serio algo simple de detener y te ahorra problemas a la larga.

Por si acaso, los ataques de denegación de servicio tienen como objetivo el saturar recursos para evitar que la web funcione. La mayoría solo reconoce la saturación por cantidad, pero igual en lugar de saturar por cantidad puedes atacar un punto que sabes que es débil.

kj

victor19902689 · 4 Oct 2024

kj2 dijo:
Si podría aplicar.

En el caso de los cron jobs de WP que puse de ejemplo, este por lo general hace una llamada http que el Under attack de cloudflare puede detener, pero el problema seguirá allí.

Igual no digo que sea de programación si o si, sino que en mi opinión, para detener ataques lo más sano es detectarlos de verdad y no solo ponerle cualquier cosa hasta que funcione, porque no pocas veces es en serio algo simple de detener y te ahorra problemas a la larga.

Por si acaso, los ataques de denegación de servicio tienen como objetivo el saturar recursos para evitar que la web funcione. La mayoría solo reconoce la saturación por cantidad, pero igual en lugar de saturar por cantidad puedes atacar un punto que sabes que es débil.

kj

siempre atacan la busqueda

yitan06 · 5 Oct 2024

carlosnagomi dijo:
Pero en este caso no aplica la programación o tareas programadas, porque cuando activa el modo ataque en cloudflare se detienen, lo más seguro es que sean bots, lo correcto es colocar el nivel de seguridad, colocarlo en el más alto, y si sigue pasando esto, crear reglas y accesos a ciertos países!

Lo he puesto en el más alto y ocurre lo mismo, voy a ver cómo detectar el ataque y ver si puedo bloquearlo, gracias.

yitan06 · 5 Oct 2024

kj2 dijo:
Si podría aplicar.

En el caso de los cron jobs de WP que puse de ejemplo, este por lo general hace una llamada http que el Under attack de cloudflare puede detener, pero el problema seguirá allí.

Igual no digo que sea de programación si o si, sino que en mi opinión, para detener ataques lo más sano es detectarlos de verdad y no solo ponerle cualquier cosa hasta que funcione, porque no pocas veces es en serio algo simple de detener y te ahorra problemas a la larga.

Por si acaso, los ataques de denegación de servicio tienen como objetivo el saturar recursos para evitar que la web funcione. La mayoría solo reconoce la saturación por cantidad, pero igual en lugar de saturar por cantidad puedes atacar un punto que sabes que es débil.

kj

Yo no uso wp, pero toda info es útil! Muchas gracias 😊

yitan06 · 5 Oct 2024

Carlos Frias dijo:
Para las reglas debes ir a Security > WAF y allí gestionas esa parte, lo ideal es que supervises los events así descartas si son ataques o tráfico real.

Muchas gracias Carlos!! Voy a ver si puedo solucionarlo como me indicas, un saludo 🫡

yitan06 · 5 Oct 2024

El usuario Víctor me ha ayudado a configurar cloudfare y estamos a la espera de probar la configuración y de probar la configuración, estoy muy agradecido!!