Cloudflare Web
#1
En este post quiero compartir con vosotros mi experiencia con un servicio web que he descubierto hace muy pocos dias y aunque no tiene una relación directa con los nas ( aunque en ciertos casos si ) a algunos de vosotros os puede servir vistos otros post de esta web. El tema en cuestión se refiere a personas que tengan dominios contratados de pago y estén preocupados por la seguridad. Como bien sabido Cloudflare es un proveedor de servicios DNS pero podemos hacer más cosas con el. Como digo, si tenemos un dominio de pago por los motivos que sean, podemos tener unas series de ventajas importantes con Cloudflare. Independientemente de con quien tengamos el dominio contratado podemos conseguir que Cloudflare nos lo proteja y audite. El sistema de funcionamiento es el siguiente. Nos registramos gratuitamente en Cloudflare. A continuación sólo tenemos que indicar el nombre de nuestro dominio, por ejemplo, pepito.com. Una vez hecho esto Cloudflare nos indica sus servidores DNS. Estos servidores DNS lo tenemos que poner en la configuración de la web donde hayamos comprado nuestro dominio. Una vez hecho esto, los servidores DNS de nuestro dominio pasan a estar gestionados por Cloudflare. Por supuesto, esto es sólo para los DNS, el dominio sigue gestionado por la web donde hayamos comprado ese dominio. ¿Qué ventajas tienes esto?: Lo primero la seguridad. El funcionamiento es el siguiente. Cloudflare actua como proxy, es decir, si alquien quiere entrar en nuestra web en vez de realizar la petición a donde esté alojada la web, lo hace a Cloudflare y, a continuación, Cloudflare se conecta a la web. En este proceso Cloudflare se encarga de la seguridad, ataques DDDOS, hijacking, etc, etc. Tenemos también a nuestra disposición un firewall, estadísticas web de intentos de acceso por ip - pais, número de visitantes a nuestra web, DNSSEC, caché de la web, etc, etc. Y luego está también el tema de los certificados y el https. Sin hacer nosotros nada, el visitante de nuestra web accede siempre por https independientemente de si tenemos https activado en nuestro servidor. Esto es así porque Cloudflare proporciona ese certificado. Esto es para la conexion entre el visitante y Cloudflare, ahora falta la conexión entre Cloudflare y nuestro servidor. Como bien es sabido y utilizado por muchos, existen los certificados de Letsencrypt que son gratuitos y nos permiten tener el codiciado candado verde de la conexión por https. El problema de Letsencrypt estriba en la complejidad para conseguirlo y sus posteriores renovaciones. Pues bien, activando el servicio de Cloudflare, por supuesto, podemos seguir utilizando esos certificados de Letsencrypt en nuestro servidor. Pero Cloudflare nos ofrece otra cosa. Nos permite crear GRATUITAMENTE un certificado para nuestro servidor, certificado, lógicamente por ellos, con una validez máxima ( de hecho es la configuración por defecto ) de 17 años ( SIN BROMA ). En la configuración de Cloudflare una vez que hayamos puesto allí nuestro dominio, que como he dicho antes sigue en posesión de la web donde lo hayamos comprado, aunque también se puede traspasar a Cloudflare ) hay un apartado de gestión de las conexiones ssl que consta de 3 opciones:
Flexible: Nuestro servidor no tiene certificado
Completo: Nuestro servidor tiene un certificado autofirmado 
Completo extricto: Nuestro servidor tiene un certificado de letsencrypt ( en este caso hay que añadir la entidad de certificación a los registros DNS ) o el que nos proporciona 
Cloudflare.
Todo lo que acabo de explicar y más es TOTALMENTE GRATUITO. Como he comentado al principio sólo tenemos que registrarnos ( cuenta de correo y contraseña ), poner el nombre de nuestro dominio, cambiar fácilmente los DNS y a funcionar. Por supuesto hay planes de pago con opciones más empresariales pero todo lo explicado antes es gratuito.

Si quereis más información de todo lo que acabo de explicar la podeis encontrar aquí:

https://support.cloudflare.com/hc/es-es

Y la web donde inscribir nuestro dominio es esta:

https://dash.cloudflare.com/login
  Responder
#2
Como una imagen vale mas que 1000 palabras:

Configuración:

   

Si os fijais en la parte de arriba de la imagen hay un montón de iconos que llevan a múltiples configuraciones, la mayoría gratuitas y otras de pago.
Estadísticas:

   

Firewall:

   

DNS:

   

Bloqueos:

   

Certificado para el servidor:

   
  Responder
#3
Hola
Muchas gracias por el aporte.
Tiene muy buena pinta todo lo que nos has contado.
Un saludo

Agur eta ondo ibili

Ganekogorta (TS-469Pro, TVS-673e, QBoat Sunny y TS-453Be) Ʀɐɯ0η
  Responder
#4
Muy buen aporte. Acabo de usarlo y por ahora los dns y redireccionamiento facilito. Me falta buscar las cosquillas cuando las dns van pro proxy.

Un 10
  Responder
#5
Hola
Algo tarde andan en RedesZone y lo comentan aquí en el enlace siguiente.

https://www.redeszone.net/noticias/segur...ge-shield/
Un saludo

Agur eta ondo ibili

Ganekogorta (TS-469Pro, TVS-673e, QBoat Sunny y TS-453Be) Ʀɐɯ0η
  Responder
#6
Buen artículo aunque como dices, algo tarde. También se les olvida comentar que esa opción es de pago. Ultimamente en Redeszone están muy ocupados con publicitar servicios de pago. Por ejemplo pfsense que se ha vuelto de pago. No paran de sacar artículos explicando sus funciones y funcionamiento. Los sobres de Bárcenas llegan a muchas partes.
  Responder
#7
Lo que voy a comentar es una medida muy buena relacionada con la seguridad si se da el caso en que tengamos alojada nuestra web en el nas o en un mini-pc o rasberry de nuestra propiedad. Si éste fuera el caso para tener acceso desde el exterior a esa web tendríamos que hacer una redirección en nuestro router o cortafuegos al puerto correspondiente de nuestro equipo para conseguirlo. Al utilizar Cloudflare como intermediario un visitante de nuestra web se conecta NO a nuestro dispositivo diréctamente sino que lo hace a Cloudflare y, a la misma vez, Cloudflare se conecta a nuestro dispositivo. Al hacer la redirección en nuestro router normálmente y lógicamente permitiriamos el acceso externo de cualquier ip desde el exterior. Resulta que Cloudflare utiliza unas ips fijas para realizar la conexión entre Cloudflare y nuestro dispositivo. Sabiendo esto, una muy buena medida de seguridad sería hacer la redirección en nuestro router o cortafuegos permitiendo únicamente el acceso desde el exterior a esas ips de Cloudflare, ya que, como digo, cualquier visitante de nuestra web se conecta a cloudflare y no a nuestro dispositivo y, a continuación, cloudflare realiza esa conexión final.

Las ips de Cloudflare para añadir en la redirección  y permitir el acceso sólo a esas ips se pueden ver aquí:

https://www.cloudflare.com/es-es/ips/
  Responder
#8
Hola
Bueno desde pues la última marejada del Qlocker y de ascender de usuario habitual a Master (de "Sospechosos habituales" a "Master and commander "), he podido hacer pruebas con CloudFlare. Es una cosa que tenía pendiente, como tantas otras Sad

Y efectivamente, es un servicio muy, muy interesante para aquellos que tenemos un dominio. 
En mi caso es personal y para pruebas, pero suficiente para ver capacidad y resolverme algunos problemas.

A nivel profesional hay que cotizar para tener mas funciones, ya que limitan las reglas. Pero para una empresa no debería ser un problema.

Pero como he dicho antes para cosa personales mas que de sobra.

Yo antes de activarlo tenía varias DNS definidas en mi proveedor.
Todas apuntan a la misma ip dinámica (no tengo estática) que a su vez apuntan a un DDNS de un tercero (no uso el de myqnapcloud).
Luego esas peticiones mi router las hacia llegar a una nas. Esta nas tiene un Traefik configurado para que fuesen a las diversas web o maquinas que tengo accesibles.

La ventaja de traefik es que el aporta el certificado ssl a esas webs (aunque no lo tengan).
Esas webs y servicios los tengo en mi red interna, y no tienen porque estar en la misma nas que tiene Traefik y algunas están en otra nas local , en una raspberry,...

El caso es que hice el cambio de los DNS del proveedor y puse los que ello me dijeron. Esperé las 24 horas que recomiendan para la propagación a nivel mundial.
Luego en CloudFlare active la regla de su cortafuegos aceptar sólo tráfico de "Spain".
   

Para comprobar que funciona, me conecté desde mi móvil a un servidor VPN que me da salida en Holanda.
Intenté acceder a una de mis web y... bloqueado el acceso como era de esperar Smile
   

En cuanto al certificado SSL, compruebo que se activa el de cloudflaressl.com y no los que tengo de LetsEncrypt.
No he hecho pruebas, pero entiendo que si escribo la dirección web, al hacer la consulta CloudFlare, tendré el de estos.
Pero si accediese por la ip publica de red, se usaría el de LetsEncrypt..

Bueno, dicho esto, no hay disculpa para los que tenemos un dominio, el no usar un servicio de este tipo para estar siempre con ssl y hacer restricciones GeoIP.
Seguiré investigando y haciendo mas pruebas, aunque quiero meter mas el diente a UnRaid con nas de qnap "vintage" Wink
Un saludo

Agur eta ondo ibili

Ganekogorta (TS-469Pro, TVS-673e, QBoat Sunny y TS-453Be) Ʀɐɯ0η
  Responder
#9
Hola, varias cosas:

1 - Felicidades por lo de " Master and commander ". A partir de ahora tendremos que hacerte más caso  Big Grin

2 - Coincido contigo que usar Cloudflare para uso personal es una maravilla. Sólamente con las opciones gratuitas que ofrecen merece mucho la pena, que yo sepa no existe ningún otro servicio que ofrezca lo que hacen ellos. Lo de tener un certificado ssl gratuito por un montón de años ahorra muchas otras configuraciones. Te recomiendo que le eches un vistazo a lo de traspasar el dominio a Cloudflare. Según ellos prometen mantener el precio los siguientes años después de transferírselo al contrario que otros proveedores que suben el precio con las renovaciones. En mi caso ya lo hice sin ningún problema después de ajustar algunas cosas en el proveedor del dominio original. Si lo haces antes de que el dominio caduque te mantienen sin problemas el tiempo que le reste.

3 - En mi caso tengo la grandísima suerte de tener ip fija gratuita desde hace un montón de años. En mi casa tengo internet con vodafone y la instalación consta de 2 routers. Al primero va enganchada la fibra y está configurado en modo puente al segundo. Con wireshark conseguí capturar el tráfico y sacar las claves de acceso. A continuación cambié la contraseña de acceso al primer router y sustituí el segundo por opnsense en un mini-pc. No se si será por eso que no me cambian la ip pero el caso es que es así.

4 - En cuanto a lo de los certificados ssl de Cloudflare son 2. El primero ( certificado de perímetro ) lo autoadministran ellos y como su propio nombre indica está en el perímetro, o sea, Cloudflare. El visitante que accede a tu web no lo hace diréctamente al dispositivo en el que esté alojada esa web sino que sólamente accede a Cloudflare que actúa de intermediario. Al hacerlo así el visitante recibe en su navegador ese certificado ssl de perímetro. El segundo certificado es el certificado de cliente que, como su nombre indica, es el que hay que descargar y poner en nuestro servidor ( si se quiere, claro ) y es el que debería sustituir a tus certificados de LetsEncrypt. Este certificado es el que valida la conexión segura entre el dispositivo en el que está alojada la web y Cloudflare. Este último certificado ssl es el que es válido para más de 20 años. El certificado ssl de perímetro creo recordar que es válido para un año pero, como digo, lo administra Cloudflare. Todo esto lo puedes ver en la configuración de Cloudflare en el apartado SSL/TLS. Existe un tercer certificado válido para algunas configuraciones para añadirlo como suplemento a los otros dos. Es un certificado CA de origen.

Información y descarga aquí:   https://support.cloudflare.com/hc/es-es/...Cloudflare

Otra opción interesante es cloudflared ( Argo Tunnel en la configuración de Cloudflare, apartado Traffic ) Se instala en el servidor y lo que se consigue es una conexión tunelizada, similar a una vpn, entre el servidor y Cloudflare. Información sobre esto aquí:

https://developers.cloudflare.com/cloudf...-and-setup


Para ver si todo está correcto es muy fácil. Accedes a tu web personal desde un navegador como si fueras cualquier otro visitante y en el navegador le das al icono del candado que está en la barra de direcciones. Te saldrá esto:

   

A continuación le das a donde pone Certificado y verás algo así:

   

Lo que estarás viendo es, como digo, el certificado de perímetro de Cloudflare.

5 - En cuanto a lo de la regla que has creado en el cortafuegos de Cloudflare tengo que reconocer que me has dejado impresionado, para bien, así que muchas gracias por la información. No sabía que se podía hacer así. En mi caso había creado reglas de bloqueo por continentes. Había visto que se podía hacer por pais pero pensaba que era para bloquear un pais en concreto y no lo que has hecho tu que es lo contrario, permitir un sólo pais. Lo dicho, gracias. Ya lo he configurado así. Te recomiendo también crear una regla de bloqueo de bots, también tiene " movimiento "

   
  Responder
#10
Se me olvidaba otra funcionalidad interesante de Cloudflare web. Usando el servicio Cloudflare actúa como intermediario entre el visitante de nuestra web y el dispositivo en la que está alojada esa web como si fuera un proxy. Pero es más que eso, actúa como una copia física del servidor de origen. Y en esa copia " física " se le pueden instalar programas a nuestra web sin tener que instalarlos en nuestro servidor. Como digo, esos programas se instalan en la copia de nuestra web ( servidor ) en Cloudflare pero no afectan ni modifican nada en nuestro servidor ni tenemos que tocar ni modificar nada en nuestra web esté donde esté ( en la mayoría de los casos ). Una vez instalados esos programas los podemos controlar desde Cloudflare, o desde la web de esos programas, y el visitante de nuestra web se beneficia de esos programas y también nosotros porque los hay de distintos tipos, seguridad, acceso, etc. Los programas disponibles se encuentran en Cloudflare en el apartado Aplicaciones. Hay gratuitos y de pago. Esos programas no los desarrolla Cloudflare. Si escogemos uno para instalar normalmente indican las instrucciones para hacerlo que, como digo, se instalan en la copia de nuestra web en cloudflare, no en nuestro servidor.
  Responder




Usuarios navegando en este tema: 1 invitado(s)