Introduzione
Cloudflare è un’azienda che fornisce servizi di rete di distribuzione dei contenuti (CDN) e DNS distribuito agendo come un proxy inverso per i siti web. I servizi gratuiti e a pagamento di Cloudflare possono essere utilizzati per migliorare la sicurezza, la velocità e la disponibilità di un sito web in vari modi.
In questo tutorial, imparerai come utilizzare il servizio gratuito di Cloudflare per proteggere i tuoi server web contro attacchi distribuiti basati su denial of service (DDoS) abilitando “Sono sotto attacco”. Questa modalità di sicurezza può mitigare gli attacchi DDoS presentando una pagina interstiziale per verificare la legittimità di una connessione prima di passarla al tuo server web.
Prerequisiti
Questo tutorial presuppone che tu abbia quanto segue:
- A web server
- A registered domain that points to your web server
- Accesso al pannello di controllo del registrar di dominio che ha emesso il dominio
Devi anche registrarti per un account Cloudflare prima di continuare.
Nota: Questo tutorial richiederà l’uso dei server DNS di Cloudflare.
Passo 1 – Configurare il Tuo Dominio per Utilizzare Cloudflare
Prima di utilizzare qualsiasi funzionalità di Cloudflare, devi configurare il tuo dominio per utilizzare il DNS di Cloudflare.
Se non l’hai già fatto, effettua l’accesso a Cloudflare.
Aggiungi un Sito e Scansiona i Record DNS
Dopo aver effettuato l’accesso, verrai indirizzato alla pagina Inizia con Cloudflare. Qui, devi fare clic sul pulsante Aggiungi sito in alto per aggiungere il tuo sito a Cloudflare:
Inserisci il nome di dominio che desideri utilizzare con Cloudflare e fai clic sul pulsante Aggiungi sito. Dovresti essere indirizzato a una pagina che assomiglia a questa:
In questo tutorial, selezioneremo l’opzione Piano gratuito. Se desideri pagare per un piano diverso perché vuoi ulteriori funzionalità di Cloudflare, sentiti libero di farlo. Quindi, fai clic sul pulsante Continua.
La pagina successiva mostra i risultati della scansione dei record DNS per il tuo sito. Assicurati che tutti i tuoi record DNS esistenti siano presenti, poiché questi sono i record che Cloudflare utilizzerà per risolvere le richieste per il tuo dominio. Nel nostro esempio, abbiamo utilizzato flippeddev.com come dominio:
Nota che, per i tuoi record A e CNAME che puntano ai tuoi server web, la colonna Status dovrebbe avere una nuvola arancione con una freccia che la attraversa. Questo indica che il traffico passerà attraverso il proxy inverso di Cloudflare prima di raggiungere i tuoi server.
Cambia i tuoi nameserver
La pagina successiva mostrerà i nameserver che devono essere rimossi e quelli di Cloudflare che devono essere aggiunti. Ecco un esempio di come potrebbe apparire la pagina:
Per cambiare i nameserver del tuo dominio, accedi al pannello di controllo del tuo registrar di dominio e apporta le modifiche DNS presentate da Cloudflare. Ad esempio, se hai acquistato il tuo dominio attraverso un registrar come Google o NameCheap, dovrai accedere al pannello di controllo appropriato del registrar e apportare le modifiche lì.
Il processo varia in base al tuo registrar di dominio specifico. Se non riesci a capire come farlo, è simile al processo descritto in Come Puntare i Nameserver di DigitalOcean Dai Registrar di Domini Comuni, tranne che utilizzerai i nameserver di Cloudflare invece di quelli di DigitalOcean.
Nel caso dell’esempio, il dominio sta utilizzando i nameserver di DigitalOcean e dobbiamo aggiornarlo per utilizzare il DNS di Cloudflare.
Quando hai finito di cambiare i tuoi nameserver, clicca sul pulsante Continua. Potrebbe richiedere fino a 24 ore per il passaggio dei nameserver, ma di solito ci vogliono solo alcuni minuti.
Attendi l’Aggiornamento dei Nameserver
Poiché l’aggiornamento dei nameserver richiede un tempo imprevedibile, è probabile che vedrai la seguente pagina successiva:
Lo stato In attesa significa che Cloudflare sta aspettando che i nameserver si aggiornino a quelli prescritti (ad esempio, olga.ns.Cloudflare.com e rob.ns.Cloudflare.com). Se hai cambiato i nameserver del tuo dominio, tutto ciò che devi fare è attendere e controllare più tardi lo stato Attivo. Se clicchi sul pulsante Ricontrolla Nameserver o accedi al pannello di controllo di Cloudflare, verrà verificato se i nameserver sono stati aggiornati.
Cloudflare è Attivo
Una volta aggiornati i nameserver, il tuo dominio utilizzerà il DNS di Cloudflare e vedrai che ha uno stato Attivo.
Ciò significa che Cloudflare funge da proxy inverso per il tuo sito web, e hai accesso alle funzionalità disponibili nel livello di prezzo per cui ti sei registrato. Se stai utilizzando il livello gratuito, come nel nostro tutorial, avrai accesso a alcune funzioni che possono migliorare la sicurezza, la velocità e la disponibilità del tuo sito.
Non affronteremo tutte le funzionalità in questo tutorial, poiché ci concentriamo sulla mitigazione degli attacchi DDoS in corso, ma includono CDN, SSL, caching di contenuti statici, un firewall (prima che il traffico raggiunga il tuo server) e strumenti di analisi del traffico.
Nota anche il Riepilogo delle impostazioni, subito sotto il tuo dominio, che mostrerà il livello di sicurezza attuale del tuo sito web (medio per impostazione predefinita) e alcune altre informazioni.
Prima di continuare, per ottenere il massimo da Cloudflare, segui questa guida: Primi passi consigliati per tutti gli utenti di Cloudflare. Questo è importante per garantire che Cloudflare consenta connessioni legittime dai servizi che desideri consentire e affinché i log del tuo server web mostrino gli indirizzi IP originali dei visitatori (anziché gli indirizzi IP del proxy inverso di Cloudflare).
Una volta configurato tutto, diamo un’occhiata all’impostazione Modalità Sono Sotto Attacco nel firewall di Cloudflare.
Passo 2 – Abilitare Modalità Sono Sotto Attacco
Di default, la sicurezza del firewall di Cloudflare è impostata su Media. Questo offre una certa protezione contro i visitatori valutati come una minaccia moderata, presentando loro una pagina di sfida prima di consentire loro di continuare sul tuo sito. Tuttavia, se il tuo sito è bersaglio di un attacco DDoS, potrebbe non essere sufficiente per mantenerlo operativo. In questo caso, la modalità I’m Under Attack potrebbe essere appropriata per te.
Se abiliti questa modalità, ogni visitatore al tuo sito vedrà una pagina interstiziale che esegue alcuni controlli del browser e ritarda il visitatore per circa 5 secondi prima di passarlo al tuo server. Avrà un aspetto simile a questo;
Se i controlli superano, al visitatore sarà consentito l’accesso al tuo sito. La combinazione di impedire e ritardare i visitatori maligni dal connettersi al tuo sito è spesso sufficiente per mantenerlo attivo, anche durante un attacco DDoS.
Nota: I visitatori del sito devono avere JavaScript e i cookie abilitati per superare la pagina interstiziale. Se ciò non è accettabile, considera l’utilizzo dell’impostazione di sicurezza del firewall “Alta” invece.
Tieni presente che desideri avere la modalità I’m Under Attack abilitata solo quando il tuo sito è vittima di un attacco DDoS. In caso contrario, dovrebbe essere disattivata in modo da non ritardare gli utenti normali nell’accesso al tuo sito senza motivo.
Come attivare la modalità I’m Under Attack
Se vuoi attivare il Modalità Sono Sotto Attacco, il modo più semplice è andare alla pagina Panoramica di Cloudflare (la pagina predefinita) e attivarla nella barra laterale destra:
Le impostazioni di sicurezza passeranno immediatamente allo stato Sono Sotto Attacco. Ora, ogni visitatore del tuo sito verrà presentato con la pagina interstiziale di Cloudflare descritta in precedenza.
Come Disattivare la Modalità Sono Sotto Attacco
Dato che la Modalità Sono Sotto Attacco dovrebbe essere utilizzata solo durante emergenze DDoS, è opportuno disattivarla se non sei sotto attacco. Per farlo, vai alla pagina Panoramica di Cloudflare e disattivala. Si aprirà una finestra modale come questa:
Quindi seleziona il livello di sicurezza a cui desideri passare. Il livello predefinito e generalmente consigliato è Medio.
Il tuo sito dovrebbe tornare allo stato Attivo, e la pagina di protezione DDoS sarà disattivata.
Conclusione
Ora che il tuo sito web sta utilizzando Cloudflare, hai a disposizione un altro strumento per proteggerlo facilmente dagli attacchi DDoS basati su HTTP. Ci sono anche una varietà di altri strumenti che Cloudflare fornisce e potresti essere interessato a configurarli, come i certificati SSL gratuiti. Pertanto, si consiglia di esplorare le opzioni e vedere cosa ti risulta utile.
Puoi approfondire l’uso di Cloudflare per proteggere i tuoi siti con il nostro tutorial Come ospitare un sito web utilizzando Cloudflare e Nginx su Ubuntu 22.04.