התקנת קלאודפלייר באתר אינטרנט

אחת התשתיות החשובות ביותר לכל אתר מונעת התקפות, משפרת ביצועים וגם מאפשרת גמישות ביצועית יוצאת דופן.

קלאודפלייר הוא בעצם ספק CDN שנמצא בין שם המתחם לשרת האמיתי שלכם. הוא מאפשר לכם גם גמישות מקסימלית בכל הנוגע לשרת שלכם (העברת השרת בשניות ממקום למקום) וגם שכבה יפה של הגנה ושליטה בנוגע למי שיכול לבקר באתר.

למרבה הצער, אני מקבל לא מעט פניות של בוני אתרים ובעלי אתרים שאוכלים לעתים לא מעט קש מספק האחסון שלהם ורוצים להעביר את השרת ולא יכולים לעשות את זה במהירות כיוון שלוקח זמן לשינוי השרת בשם המתחם לחלחל הלאה. לפעמים זה עניין ממש קריטי. כמו כן, לא מעט אתרים ישראלים מותקפים על ידי האקרים ממדינות צד שלישי וניתן לחסום אותם.

איך קלאודפלייר עובדת?

על מנת להסביר בדיוק איך קלאודפלייר עובד, כדאי להבין איך אתר באינטרנט עובד. בגדול – הוא יושב בשרת (שזה מחשב כמו כל מחשב) יחד עם אתרים אחרים או לבדו אם מדובר באתר גדול. שם המתחם, או יותר נכון רשומת ה-DNS, מצביעה עליו:

גישה נאיבית לשרת

מה קורה אם שרת הווב פתאום לא זמין ואני צריך להחליפו? אכלנו קש. מה קורה אם אני רוצה לחסום גולשים מאינדונזיה? אני צריך להגדיר את זה על שרת הווב. מה קורה אם יש לי התקפה שבמסגרתה ילדים משועממים מאונונימוס במסגרת מבצע oops Israel משתמשים בכלי פח כדי ליצור בקשות מרובות על השרת שלי? השרת שלי יפול. גם אם הוא השרת הכי טוב בעולם.

בדיוק בשביל זה יש את קלאודפלייר. הנה דוגמה:

כך קלאודפלייר עובדת

בעצם השרת שלי נסתר. בואו ותעשו פינג לאתר הזה – האם תקבלו את כתובת ה-IP של השרת שלי?

PING internet-israel.com (172.67.160.206): 56 data bytes
64 bytes from 172.67.160.206: icmp_seq=0 ttl=51 time=74.495 m

מה שתקבלו הוא את כתובת ה-IP הזו: 172.67.160.206. ושל מי הכתובת הזו? אפשר לבדוק בכלים שונים שיש ברשת. תגלו שמי שמפעיל אותה היא קלאודפלייר.

כלומר קלאודפלייר היא החומה ביני לבין הרשת. זה מאוד שימושי לכל אתר – גם לכאלו באתרים שיתופיים וגם לכאלו עם שרתים יעודיים או בענן. קלאודפלייר מאפשר לי להעביר בשניות את האתר שלי (כי שם המתחם מכוון אליו), מגן עלי מפני התקפות DDOS וגם מאפשר לי לפלטר את התוקפים שלי וגם לרמת שימוש של אתר קטן/בלוג – הוא בחינם.

יצירת חשבון והגדרה בקלאודפלייר

ראשית יוצרים חשבון באתר קלאודפלייר ויוצרים חשבון על שם האתר שלכם. שימו לב שהחשבון הוא חינמי.

הדומיין שלכם ייסרק ואז יופיעו בעצם הוראות ההפניה. הכל אמור להיות אוטומטי:

מה יש פה? את הוראות ההפניה, כל מי שמגיע ל-internet-israel.com (בהגדרות שלכם יופיעו שם המתחם שלכם) יקבל תנועה מהשרת האמיתי שלכם 63.8.20.20. חשוב לוודא שבאמת זו כתובת השרת האמיתית שלכם.

השלב הבא והאחרון הוא בעצם לבצע את הפניית הדומיין. במסך הזה יש את כתובות ה-NS שיש להזין בספק שם המתחם שלכם.

הזנת ה-NS ב-Godaddy

אבל איפה מזינים אותו? זה תלוי במי שמספק לכם את שם המתחם. למשל אם זה GoDaddy, אז צריכים להתחבר לממשק שלהם, להכנס אל רשימת הדומיינים, לבחור את הדומיין המתאים ואז Manage DNS:

לגלול לחלק של ה-Name Servers ולבחור ב Using custom namerservsers.

ואז לבחור ב-Advanced – הקישור למטה:

ואז מכניסים את הערכים שקלאודפלייר הורתה לי להכניס:

לשמור, לסגור וללחוץ על בדיקה בממשק של קלאודפלייר ולקבל חיווי תקין.

כשהכל עובד

כל מה שנותר לעשות זה ולהמתין בסבלנות. אין ברירה אחרת. אם הכל יעבוד כמו שצריך, בפועל לא תראו כלום. אבל כל התנועה דרך קלאודפלייר.

דף פעיל שמראה על חיבור תקין

ועכשיו בעצם אתם הרבה יותר מוגנים. אפשר לגשת אל חלקים שונים בממשק של קלאודפלייר כדי לראות את ההגנות השונות. למשל בחלק של ה-WAF אפשר ליצור חוקים שחוסמים תנועה ממדינות מסוימות ולראות מה ההשפעה שלהם.

אם תסתכלו על התמונה, תוכלו לראות שב-24 השעות האחרונות לפני כתיבת השורות האלו, לא פחות מ-221 ניסיונות כניסה ממדינות מוסלמיות נחסמו. אם האקר אינדונזי רוצה לסרוק את האתר, שישתמש ב-VPN בבקשה. חוק אחר שיש לי הוא שאם מישהו ינסה להכנס לממשק ה-admin והוא לא מישראל – הוא נחסם.

יש לי גם הגנת DDOS כמובן שאני יכול להפעיל מייד ואז מחייבת את כל מי שמנסה להכנס לעבור אתגר של ״מצא את הרמזורים בתמונות״ וכך מאט תוקפים. שלא לדבר על כך שקלאודפלייר יכולה לווסת את התנועה בעצמה.

בעיות ותקלות

במדריכים הכל עובד, אבל בחיים האמיתיים תמיד יש בעיות ותקלות. רוב התקלות, מהניסיון שלי, הן בגלל בעיות ההפניה או הגדרה לא תקינה של ה-WAF. אם ב-WAF חסמתם את כל הגולשים מישראל, גולשים מישראל לא יוכלו להגיע. אבל אם לא שיחקתם שם ויש לכם בעיה – בין אם בתנועה ובין אם במייל – אז הפתרון הוא בטבלת ההפניות שנמצאות בבחלק ה-DNS בחשבון של האתר. פה הקסם של ההפניות מתממש וגם התקלות.

מה שחשוב הוא לוודא שכל התקשורת של טייפ A וגם של ה-www מופנית אל כתובת השרת האמיתי שלכם שמאחסן את השרת. פה למשל, הכתובת מופנית אל השרת 63.8.20.20 – בממשק שלכם כתובת ה-IP צריכה להיות אחרת. אם יש לכם גם מייל על השרת – שימו לב שכתובת ה-MX גם מפנה אליו. בצילום המסך הזה יש דוגמה לאיך שזה צריך להיות:

זה החלק הכי קריטי ומועד לפורענות. יש על רשומת ה-DNS לא מעט נותנים נוספים כמו DMARC, או SPF או דברים נוספים. אבל בלי ה-A שמפנה לשרת האמיתי שלכם – האתר לא יעבוד. בלי הפניית MX לשרת המייל שלכם – המייל לא יעבוד. אם ספק האחסון שלכם שינה אחד מהפרמטרים האלו ושכח להודיע לכם – כאן יש את התקלה.

איך אתם יודעים מה כתובת השרת האמיתית שלכם וכתובת שרת המייל? אם יש לכם אחסון משותף או מנוהל – זה מופיע ב-Cpanel או שאפשר לפנות לתמיכה והם יגידו לכם (אם אתם לא יודעים למצוא את זה בקלות, אולי צריך לבקש סיוע מאיש מקצוע או בונה אתרים מומחה). אבל זה החלק החשוב.

לסיכום, קלאודפלייר היא תשתית מאוד חשובה שעוזרת לי גם בגמישות מירבית בבחירת ספקי השירות שלי (האתר הזה עבר בין שלושה ספקי אחסון עד שהוא נחת באמזון והודות לקלאודפלייר זה עבר בקלות רבה), גם בהגנה מפני אנשים רעים וגם מבחינת ביצועים – כי לקלאודפלייר יש caching. אם אתם בוני אתרים, מומלץ ללמוד על השירות הזה ולהציע אותו ללקוחות שלכם בקלות וכן, לגבות עליו תשלום נוסף וריטיינר אם צריך. הידע הזה עולה כסף.

פוסטים נוספים שכדאי לקרוא

פתרונות ומאמרים על פיתוח אינטרנט

יישום של nonce על מנת להגן מפני התקפות injection

בפוסט הקודם הסברתי על hash עם CSP על משאבי inline – שזה נחמד ומעולה אבל פחות ישים בעולם האמיתי שבו בדרך כלל התוכן ה-inline (בין

ESP32 מאפס לילדים

מדריך ל-ESP32 לילדים ולהורים מאפס

אחד הדברים הכי כיפיים בעולם הוא תכנות ותכנות בעולם האמיתי – המפעיל אורות, ציוד אלקטרוני ומכשירים הוא מלהיב ממש. המדריך מיועד להורים שרוצים ללמד את הילדים שלהם לתכנת.

גלילה לראש העמוד