Introducción
Cloudflare es una empresa que proporciona servicios de red de distribución de contenido (CDN) y DNS distribuido actuando como un proxy inverso para sitios web. Los servicios gratuitos y de pago de Cloudflare se pueden utilizar para mejorar la seguridad, velocidad y disponibilidad de un sitio web de diversas maneras.
En este tutorial, aprenderás cómo utilizar el servicio gratuito de Cloudflare para proteger tus servidores web contra ataques de denegación de servicio distribuido (DDoS) basados en HTTP habilitando el modo “Estoy bajo ataque”. Este modo de seguridad puede mitigar los ataques DDoS al presentar una página intersticial para verificar la legitimidad de una conexión antes de pasarla a tu servidor web.
Prerrequisitos
Este tutorial asume que tienes lo siguiente:
- A web server
- A registered domain that points to your web server
- Acceso al panel de control del registrador de dominios que emitió el dominio
También debes registrarte para obtener una cuenta de Cloudflare antes de continuar.
Nota: Este tutorial requerirá el uso de los servidores de nombres de Cloudflare.
Paso 1 – Configurar tu dominio para usar Cloudflare
Antes de usar cualquiera de las características de Cloudflare, debes configurar tu dominio para usar el DNS de Cloudflare.
Si aún no lo has hecho, inicia sesión en Cloudflare.
Agregar un sitio web y escanear registros DNS
Después de iniciar sesión, serás llevado a la página Empezar con Cloudflare. Aquí, debes hacer clic en el botón Agregar sitio en la parte superior para agregar tu sitio web a Cloudflare:
Ingresa el nombre de dominio que deseas usar con Cloudflare y haz clic en el botón Agregar sitio. Deberías ser llevado a una página que se vea así:
En este tutorial, seleccionaremos la opción Plan Gratuito. Si deseas pagar por un plan diferente porque deseas funciones adicionales de Cloudflare, siéntete libre de hacerlo. Luego, haz clic en el botón Continuar.
La siguiente página muestra los resultados del escaneo de registros DNS para tu sitio. Asegúrate de que todos tus registros DNS existentes estén presentes, ya que estos son los registros que Cloudflare usará para resolver las solicitudes a tu dominio. En nuestro ejemplo, usamos flippeddev.com como el dominio:
Tenga en cuenta que, para sus registros A y CNAME que apuntan a su(s) servidor(es) web, la columna Estado debe tener un nube naranja con una flecha atravesándola. Esto indica que el tráfico pasará a través del proxy inverso de Cloudflare antes de llegar a su(s) servidor(es).
Cambiar los servidores de nombres
La próxima página mostrará los servidores de nombres que deben eliminarse y los servidores de nombres de Cloudflare que deben agregarse. Aquí hay un ejemplo de cómo podría verse la página:
Para cambiar los servidores de nombres de su dominio, inicie sesión en el panel de control de su registrador de dominios y realice los cambios DNS que Cloudflare presentó. Por ejemplo, si compró su dominio a través de un registrador como Google o NameCheap, deberá iniciar sesión en el panel de control del registrador correspondiente y realizar los cambios allí.
El proceso varía según el registrador de dominios en particular. Si no puede averiguar cómo hacerlo, es similar al proceso descrito en Cómo apuntar a los servidores de nombres de DigitalOcean desde registradores de dominios comunes, excepto que utilizará los servidores de nombres de Cloudflare en lugar de los de DigitalOcean.
En el caso del ejemplo, el dominio está utilizando los servidores de nombres de DigitalOcean y necesitamos actualizarlo para usar el DNS de Cloudflare.
Cuando hayas terminado de cambiar tus servidores de nombres, haz clic en el botón Continuar. Puede tardar hasta 24 horas en cambiar los servidores de nombres, pero generalmente solo lleva varios minutos.
Espera a que se actualicen los servidores de nombres
Debido a que la actualización de servidores de nombres lleva una cantidad de tiempo impredecible, es probable que veas esta página a continuación:
El estado Pendiente significa que Cloudflare está esperando que se actualicen los servidores de nombres a los que prescribió (por ejemplo, olga.ns.Cloudflare.com y rob.ns.Cloudflare.com). Si cambiaste los servidores de nombres de tu dominio, todo lo que tienes que hacer es esperar y volver más tarde para ver un estado Activo. Si haces clic en el botón Revisar servidores de nombres o navegas al panel de control de Cloudflare, verificará si los servidores de nombres se han actualizado.
Cloudflare está activo
Una vez que se actualicen los servidores de nombres, tu dominio estará utilizando el DNS de Cloudflare y verás que tiene un estado Activo.
Esto significa que Cloudflare actúa como un proxy inverso para tu sitio web, y tienes acceso a todas las características disponibles en el precio que te registraste. Si estás utilizando la gratis nivel como lo hacemos en este tutorial, tendrás acceso a algunas de las características que pueden mejorar la seguridad, la velocidad y la disponibilidad de tu sitio.
No cubriremos todas las características en este tutorial, ya que nos estamos centrando en mitigar ataques DDoS continuos, pero incluyen CDN, SSL, almacenamiento en caché de contenido estático, un firewall (antes de que el tráfico llegue a tu servidor) y herramientas de análisis de tráfico.
Además, ten en cuenta el Resumen de Configuración, justo debajo de tu dominio, mostrará el nivel de seguridad actual de tu sitio web (medio por defecto) y otra información.
Antes de continuar, para sacar el máximo provecho de Cloudflare, querrás seguir esta guía: Pasos iniciales recomendados para todos los usuarios de Cloudflare. Esto es importante para asegurar que Cloudflare permitirá conexiones legítimas de servicios que quieras permitir, y para que los registros de tu servidor web muestren las direcciones IP originales de los visitantes (en lugar de las direcciones IP del proxy inverso de Cloudflare).
Una vez que estés configurado, echemos un vistazo a la configuración Modo bajo ataque en el firewall de Cloudflare.
Paso 2 – Habilitando el Modo bajo ataque
Por defecto, la seguridad del firewall de Cloudflare está configurada en Medio. Esto ofrece cierta protección contra visitantes que son considerados una amenaza moderada al mostrarles una página de desafío antes de permitirles continuar hacia tu sitio. Sin embargo, si tu sitio es el objetivo de un ataque DDoS, eso puede no ser suficiente para mantenerlo operativo. En este caso, el modo Estoy bajo ataque podría ser apropiado para ti.
Si activas este modo, cualquier visitante a tu sitio web verá una página intermedia que realiza algunas comprobaciones del navegador y retrasa al visitante durante unos 5 segundos antes de enviarlo a tu servidor. Se verá algo así;
Si las comprobaciones pasan, al visitante se le permitirá acceder a tu sitio web. La combinación de prevenir y retrasar a los visitantes malintencionados para que se conecten a tu sitio a menudo es suficiente para mantenerlo en funcionamiento, incluso durante un ataque DDoS.
Nota: Los visitantes del sitio deben tener JavaScript y Cookies habilitadas para pasar por la página intermedia. Si esto no es aceptable, considera usar la configuración de seguridad del firewall en “Alta” en su lugar.
Ten en cuenta que solo quieres tener el modo Estoy bajo ataque habilitado cuando tu sitio sea víctima de un ataque DDoS. De lo contrario, debería desactivarse para que no retrase a los usuarios normales de acceder a tu sitio web sin motivo.
Cómo habilitar el modo Estoy bajo ataque
Si quieres habilitar el modo Estoy bajo ataque, la forma más fácil es ir a la página de Resumen de Cloudflare (la página predeterminada) y activarlo en la barra lateral derecha:
La configuración de seguridad cambiará inmediatamente al estado Estoy bajo ataque. Ahora, cualquier visitante a tu sitio verá la página intersticial de Cloudflare que se describió anteriormente.
Cómo desactivar el modo Estoy bajo ataque
Como el modo Estoy bajo ataque solo debe usarse durante emergencias de DDoS, deberías desactivarlo si no estás siendo atacado. Para hacerlo, ve a la página de Resumen de Cloudflare y desactívalo. Esto abrirá un modal como este:
Luego selecciona el nivel de seguridad al que te gustaría cambiar. El modo predeterminado y generalmente recomendado es Medio.
Tu sitio debería volver a tener un estado Activo, y la página de protección contra DDoS se desactivará.
Conclusión
Ahora que su sitio web está utilizando Cloudflare, tiene otra herramienta para protegerlo fácilmente contra ataques DDoS basados en HTTP. También hay una variedad de otras herramientas que Cloudflare proporciona que podrían interesarle en configurar, como certificados SSL gratuitos. Por lo tanto, se recomienda que explore las opciones y vea qué le resulta útil.
Puede obtener más información sobre cómo utilizar Cloudflare para proteger sus sitios con nuestro tutorial How To Host a Website Using Cloudflare and Nginx on Ubuntu 22.04.