Van Der Linde Media

De laatste jaren was ik druk bezig met migratie van websites naar cloudflare, omdat primair de DNS lookup, de standaard firewall functies maar ook de tools die het biedt om websites robuuster te maken tegen aanvallen super zinvol was. Een probleem waar ik langere tijd tegenaanliep was de lokale firewall van enkele servers die na ongeveer 15.000 entries van IP addressen, langzamer en langzamer werd. Zou het niet handig zijn om 1 centraal punt te hebben waar je dit geautomatiseerd in kan voeren zodat ik er geen last meer heb?

Ik ontdekte dat de build in firewall in Cloudflare een veel snellere lookup heeft en op deze manier grootschalig slechte IP addressen af kan vangen om volledige toegang tot al mijn websites te ontnemen, zonder dat het meerdere malen in meerdere servers ingevoerd moest worden. Dus ik dacht, met de hulp van de geboden API van Cloudflare, in combinatie met een aantal honeypots, kan ik grootschalig ip's blokkeren die bewezen data in honeypots in zitten te vullen hopen op een ingang. Immers een mens heeft hier weinig tot niets te zoeken.

Zo met behulp van documentatie van Cloudflare en Ai heb ik een script ontwikkeld wat als eerst een fictief honeypotje opzet, alles wat erin gepost wordt afgevangen wordt, vervolgens de IP adressen worden geladen en met 1 druk op de knop in de globale firewall van Cloudflare wordt gezet. Het voordeel is dat dit soort IP adressen gelijk al grootschalig geblokkeerd worden nog voordat ze naar andere websites kunnen gaan. De load van een server wordt hoog als je meerdere bots (in de honderden per dag) lopen te hameren op inlog pagina's.

De volgende stap is een integratie met Immunify360 - deze slaat voornamelijk pogingen op met name tot bruteforce op FTP, mail en alle andere zaken en deze mogen van mij part ook gewoon in de cloud worden geplaatst. Diegene die iets invult op honeypots op websites van mij of die van klanten riskeren permanent gebanned te worden van een netwerk van grofweg 4000 websites. Ook voor klanten die hosting bij mij verkrijgen hebben zij niet langer meer te maken met abusievelijke klanten die op hun beurt weer in verschillende fakerslijsten staan.

Helaas moet je servers of websites goed beveiligen wat onnodig veel resources kost. Dit is een naar mijn inziens veel effectievere aanpak en houdt de overlast laag. Een honeypot is een fictieve inlog pagina waar bots vaak proberen in te breken vanaf verschillende en vaak gehackte IP adressen, servers of sites. Zodra het een successvolle login heeft tovert het jouw website ook om tot in onderdeel van een botnet. Die overlast willen we helemaal niet. Cloudflare is wat dat betreft een van de beste CDN's op wereldwijd vlak.

Je website hosten middels een CDN (mits je weet wat je doet) kan super beneficial zijn vooral als je diensten verder reiken dan Nederland alleen - zoals het bedienen van toeristen die naar Nederland of Vlaanderen komen en gebruik willen maken van een escortservice. De website laadt in hun land veel sneller dan dat het een kopie uit Amsterdam voor in het buitenland moet halen. Apart van dat blokkeert een goede CDN het meest slechte verkeer er al uit.