Inleiding
Cloudflare is een bedrijf dat content delivery netwerk (CDN) en gedistribueerde DNS-diensten levert door op te treden als een reverse proxy voor websites. De gratis en betaalde diensten van Cloudflare kunnen op verschillende manieren worden gebruikt om de beveiliging, snelheid en beschikbaarheid van een website te verbeteren.
In deze handleiding leer je hoe je Cloudflare’s gratis dienst kunt gebruiken om je webservers te beschermen tegen lopende HTTP-gebaseerde distributed denial of service (DDoS) aanvallen door “Ik ben onder vuur modus” in te schakelen. Deze beveiligingsmodus kan DDoS-aanvallen verzachten door een tussenliggende pagina weer te geven om de legitimiteit van een verbinding te verifiëren voordat deze naar je webserver wordt doorgestuurd.
Vereisten
Deze handleiding gaat ervan uit dat je het volgende hebt:
- A web server
- A registered domain that points to your web server
- Toegang tot het controlepaneel van de domeinregistrar die het domein heeft uitgegeven
Je moet ook een Cloudflare-account aanmaken voordat je verder gaat.
Opmerking: Voor deze handleiding zijn de nameservers van Cloudflare vereist.
Stap 1 – Het configureren van je domein om Cloudflare te gebruiken
Voordat je gebruik maakt van een van de functies van Cloudflare, moet je je domein configureren om de DNS van Cloudflare te gebruiken.
Als je dit nog niet hebt gedaan, log in op Cloudflare.
Voeg een website toe en scan DNS-records
Na het inloggen kom je op de pagina Aan de slag met Cloudflare. Hier moet je op de knop Site toevoegen bovenaan klikken om je website aan Cloudflare toe te voegen:
Voer de domeinnaam in die je met Cloudflare wilt gebruiken en klik op de knop Site toevoegen. Je zou naar een pagina moeten gaan die er zo uitziet:
In deze handleiding selecteren we de Gratis plan-optie. Als je wilt betalen voor een ander plan vanwege extra Cloudflare-functies, voel je vrij om dat te doen. Klik vervolgens op de knop Doorgaan.
Op de volgende pagina zie je de resultaten van de DNS-recordscan voor je site. Zorg ervoor dat al je bestaande DNS-records aanwezig zijn, omdat dit de records zijn die Cloudflare zal gebruiken om verzoeken naar je domein op te lossen. In ons voorbeeld gebruikten we flippeddev.com als het domein:
Let op, voor uw A- en CNAME-records die naar uw webserver(s) wijzen, moet de kolom Status een oranje wolk hebben met een pijl erdoorheen. Dit geeft aan dat het verkeer via de omgekeerde proxy van Cloudflare zal stromen voordat het uw server(s) bereikt.
Verander uw nameservers
Op de volgende pagina worden nameservers weergegeven die moeten worden verwijderd en de Cloudflare-nameservers die moeten worden toegevoegd. Hier is een voorbeeld van hoe de pagina eruit zou kunnen zien:
Om de nameservers van uw domein te wijzigen, logt u in op het controlepaneel van uw domeinregistrar en voert u de DNS-wijzigingen uit die Cloudflare heeft gepresenteerd. Als u bijvoorbeeld uw domein hebt gekocht via een registrar zoals Google of NameCheap, moet u inloggen op het betreffende controlepaneel van de registrar en daar de wijzigingen aanbrengen.
Het proces varieert afhankelijk van uw specifieke domeinregistrar. Als u niet kunt achterhalen hoe u dit moet doen, lijkt het op het proces dat wordt beschreven in Hoe u naar DigitalOcean-nameservers wijst vanuit gangbare domeinregistrars, behalve dat u de Cloudflare-nameservers in plaats van die van DigitalOcean zult gebruiken.
In het voorbeeldgeval gebruikt het domein DigitalOcean-nameservers en moeten we het bijwerken om Cloudflare’s DNS te gebruiken.
Wanneer je klaar bent met het wijzigen van je nameservers, klik dan op de knop Doorgaan. Het kan tot 24 uur duren voordat de nameservers zijn omgeschakeld, maar meestal duurt het slechts enkele minuten.
Wachten tot Nameservers zijn bijgewerkt
Omdat het bijwerken van nameservers een onvoorspelbare hoeveelheid tijd in beslag neemt, is het waarschijnlijk dat je daarna deze pagina ziet:
De status In behandeling betekent dat Cloudflare wacht op de update van de nameservers naar degene die het voorschrijft (bijv. olga.ns.Cloudflare.com en rob.ns.Cloudflare.com). Als je de nameservers van je domein hebt gewijzigd, hoef je alleen maar te wachten en later terug te komen voor een Actieve status. Als je op de knop Nameservers opnieuw controleren klikt of naar het Cloudflare-dashboard gaat, wordt gecontroleerd of de nameservers zijn bijgewerkt.
Cloudflare is actief
Zodra de nameservers zijn bijgewerkt, maakt je domein gebruik van de DNS van Cloudflare en zie je dat het de status Actief heeft.
Dit betekent dat Cloudflare fungeert als een omgekeerde proxy voor uw website en dat u toegang heeft tot de functies die beschikbaar zijn voor het prijsniveau waarvoor u zich heeft aangemeld. Als u de gratis versie gebruikt, zoals in deze tutorial, heeft u toegang tot enkele functies die de beveiliging, snelheid en beschikbaarheid van uw site kunnen verbeteren.
We zullen niet alle functies in deze tutorial behandelen, omdat we ons richten op het beperken van lopende DDoS-aanvallen, maar ze omvatten onder andere CDN, SSL, caching van statische inhoud, een firewall (voordat het verkeer uw server bereikt) en tools voor verkeersanalyse.
Houd ook rekening met de Samenvatting van instellingen, direct onder uw domein, waar uw website’s huidige beveiligingsniveau wordt weergegeven (standaard medium) en andere informatie.
Voordat u verder gaat, is het belangrijk om deze handleiding te volgen om het meeste uit Cloudflare te halen: Aanbevolen eerste stappen voor alle Cloudflare-gebruikers. Dit is belangrijk om ervoor te zorgen dat Cloudflare legitieme verbindingen van services toestaat die u wilt toestaan, en zodat de logboeken van uw webservers de oorspronkelijke IP-adressen van bezoekers tonen (in plaats van de omgekeerde proxy IP-adressen van Cloudflare).
Zodra u alles heeft ingesteld, laten we eens kijken naar de instelling I’m Under Attack Mode in de Cloudflare-firewall.
Stap 2 – Inschakelen van I’m Under Attack Mode
Standaard staat de firewallbeveiliging van Cloudflare ingesteld op Gemiddeld. Dit biedt enige bescherming tegen bezoekers die als een matige dreiging worden beoordeeld door ze een uitdagingpagina te tonen voordat ze doorgaan naar uw site. Als uw site echter het doelwit is van een DDoS-aanval, is dat mogelijk niet voldoende om uw site operationeel te houden. In dat geval is de Ik word aangevallen-modus wellicht geschikt voor u.
Als u deze modus inschakelt, krijgt elke bezoeker van uw website een tussenliggende pagina te zien die enkele browsercontroles uitvoert en de bezoeker ongeveer 5 seconden vertraagt voordat ze naar uw server worden doorgestuurd. Het zal er ongeveer zo uitzien;
Als de controles slagen, wordt de bezoeker toegelaten tot uw website. De combinatie van het voorkomen en vertragen van kwaadwillende bezoekers die verbinding maken met uw site is vaak voldoende om deze operationeel te houden, zelfs tijdens een DDoS-aanval.
Opmerking: Bezoekers van de site moeten JavaScript en Cookies ingeschakeld hebben om de tussenliggende pagina te passeren. Als dit niet acceptabel is, overweeg dan om in plaats daarvan de firewallbeveiliging op “Hoog” in te stellen.
Houd er rekening mee dat u Ik word aangevallen-modus alleen wilt inschakelen wanneer uw site het slachtoffer is van een DDoS-aanval. Anders moet het worden uitgeschakeld, zodat het normale gebruikers niet zonder reden vertraagt bij het openen van uw website.
Hoe u de Ik word aangevallen-modus inschakelt
Als je Ik ben onder aanval-modus wilt inschakelen, is de eenvoudigste manier om naar de Cloudflare Overzichtspagina (de standaardpagina) te gaan en het daar aan te zetten in de rechter zijbalk:
De beveiligingsinstellingen zullen onmiddellijk overschakelen naar de status Ik ben onder aanval. Nu zullen alle bezoekers van je site worden gepresenteerd met de Cloudflare tussenpagina die hierboven is beschreven.
Hoe je Ik ben onder aanval-modus uitschakelt
Omdat de Ik ben onder aanval-modus alleen moet worden gebruikt tijdens DDoS-noodsituaties, moet je het uitschakelen als je niet wordt aangevallen. Ga hiervoor naar de Cloudflare Overzichtspagina en zet het uit. Dit opent een venster zoals dit:
Selecteer vervolgens het beveiligingsniveau waarnaar je wilt overschakelen. De standaard- en over het algemeen aanbevolen modus is Gemiddeld.
Je site zou terug moeten gaan naar een Actief status, en de DDoS-beschermingspagina zal worden uitgeschakeld.
Conclusie
Nu je website Cloudflare gebruikt, heb je nog een tool om het gemakkelijk te beschermen tegen op HTTP gebaseerde DDoS-aanvallen. Er zijn ook verschillende andere tools die Cloudflare biedt en die je wellicht wilt instellen, zoals gratis SSL-certificaten. Het wordt daarom aanbevolen om de opties te verkennen en te zien wat nuttig voor je is.
Je kunt meer leren over het gebruik van Cloudflare om je websites te beschermen met onze tutorial over Hoe je een website host met Cloudflare en Nginx op Ubuntu 22.04.