CloudFlare — рак интернета / Хабр
Дисклеймер: я сам много пользуюсь CloudFlare и считаю, что они делают большое дело, помогают развивать интернет, дают бесплатно крутые продукты, и в целом отличные ребята. Статья описывает проблемы глобализации и новые угрозы, когда децентрализованный интернет становится централизованным.
Когда CloudFlare только появился, это была настоящая революция в веб-хостинге: в два клика, без переезда на другой сервер, к своему сайту можно было подключить профессиональный CDN, который экономил кучу трафика, ускорял загрузку статических файлов и еще защищал от DDoS. Раньше позволить себе такое могли только компании за большие деньги, а теперь это стало доступно каждому, еще и бесплатно!
С тех пор CloudFlare сильно вырос и сегодня проксирует через свою инфраструктуру треть интернета. Из-за этого появились проблемы, которых раньше не существовало. В посте мы разберем, как CloudFlare угрожает нормальной работе интернета, мешает обычным людям пользоваться сайтами, имеет доступ к зашифрованному трафику, и что с этим делать.
Как сломать треть интернета
2 июля 2019 года в результате ошибки CloudFlare полностью сломался. В результате были недоступны все сервисы, так или иначе использующие их сеть. Среди наиболее известных: Discord, Reddit, Twitch. Это коснулось не только веб-сайтов, но и игр, мобильных приложений, терминалов и т.д. При этом, даже те сервисы, которые не используют напрямую CloudFlare, испытали проблемы в работе из-за сторонних API, которые стали недоступны.
В большинстве случаев, для использования CloudFlare, клиенты направляют свои домены на их DNS-серверы. В момент аварии стала недоступна также и контрольная панель и API, из-за чего клиенты не могли перенаправить свои домены в обход сети CloudFlare, таким образом оказавшись в ловушке: нельзя было оперативно отключить проксирование и вернуться на свою инфраструктуру. Единственным выходом было делегировать домен на свои собственные DNS-серверы, но такое обновление могло занять более суток, и большинство клиентов не были к такому готовы и не имели запасных мастер-DNS серверов на такой случай.
Несмотря на то, что даунтайм был небольшим, всего несколько часов, это существенно сказалось на всей индустрии. Из-за неработающих платежных сервисов компании несли прямые убытки. Этот инцидент вскрыл очевидную проблему, которая до этого обсуждалась только в теории: если интернет настолько зависим от одного поставщика услуг, в какой-то момент все может сломаться.
Если одна компания контролирует такую большую часть интернета, это угрожает устойчивости сети как с технической стороны, так и с экономической.
Сама концепция интернета предполагает децентрализацию и устойчивость к подобным ошибкам. Даже в случае отключения части сети, система маршрутизации автоматически перестраивается. Но когда одна компания управляет такой большой частью трафика, сеть становится уязвима перед ее ошибками, саботажем, взломами, а так же недобросовестными действиями для извлечения прибыли. Эта идея важна для понимания остальных проблем, которые мы обсудим далее.
Вы выглядите подозрительно
Если фирменные алгоритмы определения вредоносного трафика CloudFlare сочтут, что вы недостойный пользователь интернета, веб-серфинг превратится в мучение: на каждом пятом сайте вы будете видеть требования пройти унизительную капчу.
Капча от CloudFlare может преследовать вас по всему интернету
Автор этих строк выходит в интернет с офисного IP-адреса, за которым сидят сотни других сотрудников. Видимо CloudFlare посчитал, что мы все выглядим как боты, и стал показывать всем очень злую капчу. Иногда это доходит до абсурда, когда некоторые мобильные приложения не могут залогиниться. В итоге, чтобы нормально ходить по интернету, приходится подключать VPN.
Получается, CloudFlare в любой момент может отключить вас лично от большой части интернета, если вы ей не понравитесь, или из-за ошибочного детектирования превратить обычное использование сервисов в мучение.
Мы можем видеть сквозь HTTPS
Чтобы правильно кешировать и фильтровать контент, серверы CloudFlare должны иметь возможность видеть расшифрованный HTTP трафик. Для этого они всегда работают в режиме MiTM (Man-in-the-middle), подставляя конечному посетителю сайта свой SSL-сертификат.
Картинки в инструкциях по настройке HTTPS могут вводить в заблуждение, будто в режиме Full, на всем пути следования трафика используется шифрование. На самом деле сервер CloudFlare расшифровывает трафик от сервера и шифрует его заново своим сертификатом уже для посетителя сайта.
В любом режиме работы CloudFlare расшифровывает SSL-трафик
Даже если вы имеете на своей стороне действующий SSL-сертификат, CloudFlare все равно будет иметь доступ ко всем передаваемым данным. Это дискредитирует всю идею SSL, которая предполагает шифрование от клиента до конечного сервера без расшифровки по пути.
В случае ошибки или взлома серверов CloudFlare, весь конфиденциальный трафик будет доступен злоумышленникам.
Также нужно иметь в виду, что спецслужбы той страны, в юрисдикции которой работает компания Cloudflare Inc, могут запрашивать доступ к расшифрованному трафику, даже если оригинальный сервер находится в другой юрисдикции. Это превращает основную идею SSL в фикцию.
Не только инфраструктура, но и цензура
Изначально, компания Cloudflare заявляла, что будет только предоставлять инфраструктуру для клиентов и не планирует цензурировать ресурсы по содержимому, обещая ограничиваться только законными требования от государственных органов. Так было с сайтом знаменитой группировки LulzSec, которые координировали взломы и DDoS-атаки. По этому поводу Cloudflare выпустили заявление.
Однако спустя время, Cloudflare решает отказать сайту 8chan в обслуживании на основании своих представлений о морали.
При этом никаких судебных решений или иных формальных причин для этого не было — просто они так решили. Это вызвало общественную дискуссию о том, может ли провайдер сам решать, какой сервис достоин обслуживаться на его инфраструктуре, а какой нет. Статья с размышлениями на эту тему в New York Times: Why Banning 8chan Was So Hard for Cloudflare: ‘No One Should Have That Power’.
Заключение
Несмотря на то, что Cloudflare невероятно полезный сервис и помогает значительно ускорить доставку контента, а так же развивает интернет, его опасный рост и грядущая монополия угрожает устойчивости всего интернета. Попробуем резюмировать все вышесказанное в простых тезисах:
- Нельзя хранить все яйца в одной корзине. Это просто небезопасно, цена ошибки в таком случае слишком высока. Если все секреты мира будут у одной компании, она всегда может быть взломана, допустить ошибку или просто действовать нечестно для выдавливания конкурентов с рынка.
- Коммерческая компания всегда заинтересована в одном — зарабатывании денег. Если ключевые элементы узлы интернета захватит одна компания, она сможет монопольно управлять ценами на услуги, уничтожать конкурентов и диктовать свои правила, задавливая конкурентов в зачатке.
- SSL больше не защищает данные от третьих лиц. Все ваши шифрованные данные, передаваемые по сети Cloudflare, доступны этому самому третьем лицу — CloudFlare. Это дает неограниченный доступ к чувствительным данным миллионов пользователей.
Данный пост не призывает отказываться от Cloudflare, а только описывает, чем в перспективе угрожает такой бурный рост и влияние этой компании. Подумайте, действительно ли использование Cloudflare необходимо для ваших задач, и если без него никак, предусмотрите план Б, на случай экстренного переезда.
Для тех, кто ищет надежные серверы, мы запустили акцию: ISPmanager три месяца бесплатно.
И плюс традиционные 10% скидка для читателей Хабра:
Что такое CloudFlare. Как подлючить к сайту и установить SSL-сертификат ⛅
Хостинг Eternalhost не является поставщиком услуг или представителем в каком-либо виде компании Cloudflare. Приведенная ниже инструкция призвана помочь пользователям самостоятельно разобраться с подключением стороннего сервиса к любому хостингу и его дальнейшей настройкой.
Содержание:
- Что такое Cloudflare
- Как зарегистрироваться на CloudFlare
- Как подключить CloudFlare к сайту
- Как изменить NS-серверы домена
- Как установить SSL-сертификат
- Как настроить переадресацию
Что такое CloudFlare
Cloudflare – это сервис, который специализируется на предоставлении услуг сети CDN (Content Delivery Network), защите от DDoS-атак и сетевой безопасности. Основным направлением в работе сервиса является именно обслуживание CDN — глобальной сети распределения трафика сайтов по принципу географической близости сервера к пользователю, пославшему запрос в браузере.
Цепочка раскиданных по миру серверов Cloudflare работает как reverse proxy («обратный прокси»). Она автоматически кеширует контент сайтов клиентов и быстро отдает его веб-посетителям от ближайшего по расположению центра данных.
Разберем по шагам как подключить сервис Cloudflare и выполнить дополнительные настройки его компонентов.
Как зарегистрироваться на CloudFlare
Для начала нужно пройти процедуру регистрации на сайте CloudFlare. Для этого нужно перейти по ссылке или на главной странице сайта нажать «Sign Up» («Зарегистрироваться»).
В появившемся окне нужно указать свою электронную почту и пароль, а затем нажать «Create Account» («Создать аккаунт»).
На указанную почту должно прийти письмо со ссылкой для подтверждения созданного аккаунта. Нужно перейти по ней, чтобы завершить регистрацию.
Как подключить CloudFlare к сайту
Сразу после регистрации сервис предложит пользователю ввести доменное имя в появившемся окне.
Также доменное имя можно добавить в верхнем меню. Для этого нужно войти в аккаунт и на главной странице нажать «Add site» («Добавить сайт»).
Далее нужно выбрать тарифный план из предложенных, нажав на него один раз. Подробнее с тарифными планами можно ознакомиться здесь.
В рамках данной статьи будет рассмотрен тарифный план «Free» («Бесплатный»). После выбора тарифа, нужно нажать «Confirm plan» («Подтвердить тариф») для подтверждения выбора.
После подтверждения система выполнит быстрое сканирование указанного доменного имени.
После завершения сканирования, система CloudFlare покажет текущие настройки DNS пользователя. Их нужно проверить, если они верны, то можно переходить к изменению NS-серверов для домена.
Как изменить NS-серверы домена
После входа в систему и добавления доменного имени в систему CloudFlare, нужно произвести изменение текущих NS-серверов на CloudFlare. Для этого следует перейти на главную страницу в личном кабинете CloudFlare.
После чего, нужно выбрать домен со статусом «Pending Nameserver Update» («Требуется обновление NS-сервера») и нажать на него.
Откроется окно, в котором будет предложено завершить настройки NS-серверов. В первом пункте — «Log in to your registrar account» («Войдите в зарегистрированный аккаунт») будут показаны текущие настройки NS-серверов. Во втором пункте — «Replace with Cloudflare’s nameservers» («Замените на серверы имен Cloudflare»), на какие значения их нужно заменить.
Для смены NS-серверов нужно перейти на сайт регистратора вашего домена и там прописать новые адреса. Нужно дождаться, пока произойдет смена. Обычно, это занимает до 24 часов. После этого, домен пользователя на главной странице его личного кабинета CloudFlare получит статус «Active» («Активен»).
К примеру, на Eternalhost для смены NS-серверов нужно зайти в биллинг-панель, перейти в «Товары/Услуги» и выбрать «Домены». Далее выбрать нужный домен одним нажатием и кликнуть на «NS».
В разделе «NS» следует удалить уже существующие записи и прописать серверы, которые указаны в пункте «Replace with Cloudflare’s nameservers» личного кабинета Cloudflare.
Как установить SSL-сертификат
Для настройки безопасного соединения с сайтом нужно настроить SSL-сертификат. Нужно перейти на главную страницу в панели управления и выбрать домен со статусом «Active». Далее нажать «SSL/TLS» в верхнем меню и выбрать режим шифрования трафика «Flexible» («Гибкий») или «Full» («Полный»).
При выборе «Flexible» дополнительных настроек не потребуется, а при выборе «Full» потребуется настройка SSL-сертификата на самом хостинге. К примеру, в рамках виртуального хостинга на Eternalhost можно установить бесплатный сертификат Let’s Encrypt.
Информацию о полученном сертификате CloudFlare можно посмотреть, нажав «Edge Certificates» («Управление сертификатами»).
Как настроить правила переадресации
Настройка переадресации происходит во вкладке «Page Rules» («Правила страниц»).
Для создания правил нужно нажать соответствующую кнопку «Create Page Rule» («Создать правило страницы»).
Чтобы выполнить редирект на https, нужно указать адрес сайта (в виде «http://mysite»), выбрать «Always Use HTTPS» («Всегда пользоваться HTTPS») и нажать кнопку «Save and Deploy» («Сохранить и Применить»).
Для переадресации «с www» нужно задать адрес сайта (www.mysite), выбрать «Forwarding URL» («Перенаправление URL»), а рядом «301 — Permanent Redirect» («301 — постоянный редирект»). Затем во втором поле прописать конечный адрес редиректа (https://mysite) и нажать кнопку «Save and Deploy» («Сохранить и Применить»).
Cloudflare — Компания Web Performance & Security
Cloudflare — это глобальная сеть, предназначенная для того, чтобы сделать все, что вы подключаетесь к Интернету, безопасным, конфиденциальным, быстрым и надежным.
- Защитите свои веб-сайты, API и интернет-приложения.
- Защита корпоративных сетей, сотрудников и устройств.
- Напишите и разверните код, работающий на границе сети.
Узнать большеНачать бесплатно
Превратите экономическую неопределенность в возможности. Восстановите контроль с помощью Cloudflare.
Поговорите с экспертомУзнайте больше
Что нового
Cloudflare смягчила рекордную DDoS-атаку
Cloudflare недавно обнаружила и смягчила десятки гиперобъемных DDoS-атак, пик которых достигал 50-70 миллионов запросов в секунду (RPS).
Читать блог
Один год войны в Украине: Интернет-тенденции, атаки и устойчивость
Как украинский Интернет оставался устойчивым, несмотря на десятки сбоев на трех разных этапах конфликта.
Читать блог
Веб-семинар: как компания Otrium предотвратила попытку фишинга с помощью Cloudflare
Узнайте, как компания Otrium защитила своих почти полностью удаленных сотрудников от фишинговых атак и значительно сократила поверхность атаки.
Регистрация
Ознакомьтесь с нашими продуктами
Интегрированная глобальная облачная сеть
Службы нулевого доверия
Предотвратите потерю данных, вредоносное ПО и фишинг с помощью самого эффективного решения для доступа к приложениям нулевого доверия и просмотра Интернета.
Доступ к сети с нулевым доверием (ZTNA)
Безопасный веб -шлюз (SWG)
Изоляция и безопасность электронной почты
Брокер безопасности облачного доступа (CASB)
Планы просмотра и цена
Ускорьте работу веб-сайтов, приложений и API через нашу глобальную сеть, чтобы оптимизировать свой контент и доставлять его ближе к месту нахождения пользователей.
Посмотреть планы и цены
Безопасность веб-сайтов и приложений
Защитить веб-сайты и приложения от ботов, DDoS-атак и многого другого.
Все время отслеживая подозрительную активность и потенциальные атаки.
DDOS Protection
Управление ботом
WAF
Планы просмотра и ценообразование
Узнайте больше
Сеть и производительность
Сетевые решения для подключения, защиты и ускорения ваших сетей — без затрат и сложностей, связанных с управлением устаревшим оборудованием.
Посмотреть планы и цены
Узнать больше
Платформа для разработчиков
Мгновенно развертывайте бессерверный код по всему миру, чтобы обеспечить его исключительную производительность, надежность и масштабируемость.
Посмотреть планы и цены
Узнать больше
SASE — Cloudflare One
Платформа Zero Trust «сеть как услуга» для динамического подключения удаленных и локальных пользователей к ресурсам с элементами управления безопасностью на основе идентификации.
Замените дорогостоящие проприетарные каналы единой глобальной сетью, которая обеспечивает встроенную функциональность Zero Trust, защиту от DDoS-атак, сетевой брандмауэр и ускорение трафика.
Узнать больше
Нужна помощь в начале работы? Получите персональную рекомендацию.
Cloudflare для инфраструктуры
Защитите свое присутствие в Интернете.
Ваш веб-сайт, API и приложения являются вашими ключевыми каналами для ведения бизнеса с вашими клиентами и поставщиками. По мере того, как все больше и больше людей переходят в онлайн, обеспечение безопасности, производительности и надежности этих ресурсов становится необходимостью для бизнеса.
Cloudflare for Infrastructure — это комплексное решение, позволяющее использовать это для всего, что подключено к Интернету.
Безопасность
Брандмауэр, защита от DDoS-атак, ограничение скорости, управление ботами, VPN и многое другое.
Подробнее
Производительность
Интеллектуальная маршрутизация, оптимизация мобильных устройств и изображений, видео, кэш.
Подробнее
Надежность
Балансировка нагрузки, DNS, виртуальная магистраль.
Узнать больше
Избранные истории
Ваши клиенты глобальны. Почему нет вашей сети?
HubSpot
Узнайте, как HubSpot работал рука об руку с Cloudflare для быстрой защиты и ускорения тысяч клиентских доменов.
Подробнее
LendingTree
Cloudflare помогла LendingTree сэкономить более 250 000 долларов США всего за 5 месяцев и сократить атаки ботов более чем на 70%
Подробнее тысячи сайтов клиентов.
Читать далее
Нам доверяют миллионы интернет-ресурсов
Просмотреть тематические исследования
Наши планы | Цены | Cloudflare
Службы приложенийБезопасность и производительность приложенийСлужбы нулевого доверияПриложения и устройства для сотрудниковСетевые службыЛокальные и гибридные сетиПлатформа разработчиковБессерверные приложения
Службы приложений
Службы приложенийСлужбы нулевого доверияСетевые службыПлатформа разработчиков
Сравнить все функции
Нужна помощь в начале работы? Получите персональную рекомендацию.
ДОПОЛНЕНИЯ
Получите больше от Cloudflare
Повысьте производительность и безопасность с помощью платных дополнений Cloudflare для планов Free, Pro и Business.
Производительность
PerformanceSecurityReliabilityServerless
Argo Smart Routing
Argo — это сервис, использующий оптимизированные маршруты в сети Cloudflare для более быстрой, надежной и безопасной доставки ответов вашим пользователям. Argo включает в себя: интеллектуальную маршрутизацию и многоуровневое кэширование.
Узнать больше
Начиная с 5 долларов США в месяц
Активировать
Балансировка нагрузки
Балансировка нагрузки защищает от сбоев в обслуживании с помощью локальной и глобальной балансировки нагрузки трафика, географической маршрутизации, проверки работоспособности сервера и аварийного переключения, обеспечивая постоянную доступность вашего критические ресурсы.
Узнать больше
Начиная с $5 в месяц
Активировать
Advanced Certificate Manager
Advanced Certificate Manager — это гибкий и настраиваемый способ выпуска сертификатов и управления ими в Cloudflare.
Узнать больше
Начиная с $10 в месяц
Активировать
Доступ
Cloudflare Access защищает внутренние ресурсы путем защиты, аутентификации и мониторинга доступа для каждого пользователя и приложения.
Узнать больше
Начиная с $3 в месяц
Активировать
Ограничение скорости
Ограничение скорости защищает от атак типа «отказ в обслуживании», попыток подбора пароля и других видов неправомерного поведения, нацеленных на прикладной уровень.
Подробнее
0,05 доллара США за 10 000 хороших запросов
Активировать
Изменение размера изображения
Изменение размера изображений для различных типов устройств и подключений из главного образа из одного источника.
Изображениями можно управлять по размерам, коэффициентам сжатия и формату (преобразование AVIF и WebP, если поддерживается).
Подробнее
50 000 запросов на изменение размера в месяц включены в Pro, Business. 9 долларов США за дополнительные 50 000 запросов на изменение размера.
Активировать
Дополнительные правила страницы
Правила страницы позволяют настраивать функциональность Cloudflare в соответствии с уникальными потребностями вашего домена или субдомена, помогая оптимизировать скорость, усилить безопасность, повысить надежность, максимально сократить пропускную способность и многое другое.
Узнать больше
5 долларов за 5 правил
Активировать
Приложения Cloudflare
Приложения Cloudflare — это простой и эффективный способ для миллионов владельцев сайтов получить доступ к инструментам, ранее доступным только техническим экспертам.
Узнать больше
Бесплатно для всех планов
Активировать
Cloudflare Registrar
Вы платите столько, сколько платим мы — лучшего предложения вы не найдете. Cloudflare Registrar надежно регистрирует и управляет вашими доменными именами с помощью прозрачных цен без наценок, что исключает внезапные сборы за продление и скрытые дополнительные сборы.
Узнать больше
Начиная с $7,85
Активировать
Workers
Cloudflare Workers позволяет разработчикам развертывать бессерверный код, написанный на JavaScript, Rust, C и C++, на границе Cloudflare, ближе к конечному пользователю.
Узнать больше
Попробовать бесплатно
Активировать
Потоковое видео
Cloudflare Stream делает потоковое видео высокого качества в любом масштабе, простым и доступным.