Defaults.Exposed › رفع اشکال‌ها › CDN / WAF & hosting

چطور CDN / WAF & hosting را رفع کنید

Q: اینها نمرهی من را تحت تأثیر قرار نمیدهند — پس چرا باید اهمیت بدهم؟

چون نمره کنترلهای امنیتی خاص (رمزگذاری، anti-spoofing ایمیل، security header ها) را اندازهگیری میکند، در حالی که این دو بررسی resilience شما را توصیف میکنند — چقدر در برابر خرابی و حمله در معرض خطر هستید. یک سرور برهنه بدون سپر میتواند هنوز روی بررسیهای نمرهگذاری شده خوب امتیاز بگیرد و همچنان روز launch توسط یک flood از bot از کار بیفتد.

Q: من تکنیکی نیستم — واقعاً چه کاری باید انجام دهم؟

یک تصمیم و یک تحویل. تصمیم: آیا میخواهید یک سپر محافظ (CDN/WAF) جلوی سایتتان باشد؟ برای تقریباً هر کسبوکاری پاسخ بله است، و مسیر رایج — tier رایگان Cloudflare — هزینهای ندارد. تحویل: بخش 'چگونه آن را رفع کنیم' را به هر کسی که وبسایت یا دامنهی شما را مدیریت میکند بدهید.

Q: تفاوت بین CDN و WAF چیست — آیا به هر دو نیاز دارم؟

یک CDN (Content Delivery Network) یک شبکهی جهانی است که جلوی سایت شما مینشیند، محتوا را نزدیک به بازدیدکنندگان cache میکند تا صفحات سریعتر بارگذاری شوند، و spikes ترافیکی را جذب میکند. یک WAF (Web Application Firewall) یک لایهی فیلترینگ است که درخواستهای ورودی را بررسی میکند و موارد مخرب را قبل از رسیدن به سرور بلاک میکند. خبر خوب اینکه سرویسهای محبوب هر دو را یکجا میدهند: Cloudflare (یا مشابه) را روشن کنید و CDN و یک WAF پایه را با هم دریافت کنید.

Q: نرمافزار و نسخهی سرور شما را شناسایی کردیم — چرا این اهمیت دارد؟

وقتی سرور شما دقیقاً اعلام میکند چه نرمافزاری اجرا میکند و کدام نسخه (در header های 'Server' یا 'X-Powered-By')، به مهاجمان یک میانبر میدهد: میتوانند آسیبپذیریهای شناخته شده برای آن نسخهی دقیق را جستجو کنند. افشای اطلاعات غیرضروری است — مثل رها کردن ساخت و مدل قفلهایتان روی در جلو. سرکوب نسخه (یک تنظیم یکخطی سرور، رایگان) یک قدم سختگیری کوچک و معقولانه است.

Q: آیا گذاشتن CDN جلوی سایتم چیزی را میشکند یا آن را کند میکند؟

انجام شده به درستی، سایت را سرعت میبخشد — این کل هدف CDN است. چیزهای اصلی که باید درست انجام شوند: مطمئن شوید HTTPS end-to-end میماند (از حالت 'Full (strict)' روی Cloudflare استفاده کنید، نه 'Flexible')، و صفحاتی که باید شخصی یا زنده باشند را به طور تهاجمی cache نکنید (داشبوردهای login شده، checkout ها).

دو بررسی از لوله‌کشی پشت وب‌سایت شما: آیا پشت یک سپر محافظ (یک CDN با یک Web Application Firewall، مثل Cloudflare) هستید که حملات را فیلتر می‌کند و spikes ترافیکی را جذب می‌کند، و یک نقشه از اینکه واقعاً چه کسی DNS، وب‌سایت و ایمیل شما را اجرا می‌کند. هر دو در نمره‌گذاری ما اطلاعاتی هستند — نمره‌ی شما را تغییر نمی‌دهند — اما توضیح می‌دهند چقدر سرور اصلی شما در برابر حمله و خرابی در معرض خطر است، و ارائه‌دهندگانتان چقدر درهم تنیده هستند. یک سپر جلو و یک مجموعه‌ی ارائه‌دهندگان معقول تفکیک شده همان چیزی است که کسب‌وکارهای resilient به نظر می‌رسند.

نتیجه نهایی برای کسب‌وکار شما: یک وب‌سایت بدون سپر جلویش هر حمله و هر spike ترافیکی را مستقیماً روی سرور اصلی دریافت می‌کند — پس یک flood از bot ها، یک surge روز launch، یا یک حمله‌ی خودکار واحد می‌تواند ساعت‌ها آن را آفلاین کند، و بازیابی بر عهده‌ی شماست. گذاشتن یک CDN/WAF جلو (tier رایگان در دسترس) اکثریت حملات خودکار را فیلتر می‌کند، surge ها را جذب می‌کند، و سایت را در سراسر جهان سرعت می‌بخشد — معمولاً یک بعدازظهر کار برای IT شما، بدون هزینه‌ی licence. جداگانه، اگر DNS، وب‌سایت و ایمیل شما همه با یک ارائه‌دهنده باشند، یک خرابی یا نقض آنجا کل حضور آنلاین شما را یکجا از کار می‌اندازد.

هزینه این برای شما

یک burst از ترافیک bot یا یک DDoS کوچک صبح یک تبلیغ بزرگ سرور بدون سپر شما را می‌زند — سایت کند می‌شود یا می‌افتد، مشتریان در checkout خطا می‌گیرند، و فروش روز را در حالی از دست می‌دهید که هاستتان دست و پنجه نرم می‌کند.
DNS، وب‌سایت و ایمیل شما همه از یک ارائه‌دهنده اجرا می‌شوند؛ آن ارائه‌دهنده خرابی دارد و سایت، سیستم رزرو AND ایمیلتان همه یکجا تاریک می‌شوند.
یک حمله‌ی خودکار تمام شب سایت شما را بررسی می‌کند — اسکریپت‌های SQL injection و حدس‌زدن login که مستقیماً کد اصلی شما را می‌کوبند چون هیچ لایه‌ی firewall برای فیلتر کردن آن‌ها وجود ندارد.
یک حادثه می‌زند و کسی نمی‌تواند به سؤال پایه 'اصلاً با چه کسی تماس بگیریم؟' پاسخ دهد. ساعت‌ها صرف نقشه‌برداری لوله‌کشی می‌شود در حالی که سایت خراب می‌ماند.
تیم IT یک مشتری احتمالی قبل از امضا شما را اسکن می‌کند و یک سرور اصلی برهنه بدون CDN/WAF می‌بیند — و یک server header که دقیقاً نرم‌افزار (و نسخه) ای را که اجرا می‌کنید تبلیغ می‌کند.

چرا اهمیت دارد. هر دو بررسی اینجا در روش‌شناسی ما اطلاعاتی هستند — با صفر امتیاز ثبت شده‌اند و هرگز نمره‌ی شما را تغییر نمی‌دهند — چون زیرساخت شما را توصیف می‌کنند به جای اینکه یک کنترل امنیتی pass/fail را آزمایش کنند. ما آن‌ها را نمایش می‌دهیم چون قرار گرفتن واقعی کسب‌وکار شما در برابر خرابی و حمله را نقشه می‌کشند — که یک سؤال متفاوت و بسیار عملی از نمره است.

این چیست، به زبان ساده

هر وب‌سایتی روی یک سرور جایی اجرا می‌شود. سؤالی که این صفحه پاسخ می‌دهد این است: چه چیزی بین اینترنت باز و آن سرور قرار دارد — و واقعاً چه کسی قطعه‌های حضور آنلاین شما را اجرا می‌کند؟

دو بخش وجود دارد:

CDN / WAF — سپر جلو. یک CDN (Content Delivery Network) یک شبکه‌ی جهانی است که جلوی سایت شما می‌نشیند، محتوا را سریع به بازدیدکنندگان در هر جایی سرویس می‌دهد، و surge های ترافیکی را جذب می‌کند. یک WAF (Web Application Firewall) یک فیلتر است که درخواست‌های ورودی را بررسی می‌کند و موارد مخرب را قبل از رسیدن به سرور بلاک می‌کند. سرویس‌های محبوب (Cloudflare، AWS CloudFront، Fastly، Akamai، Sucuri) اینها را با هم می‌دهند.
نقشه‌ی هاستینگ / ارائه‌دهنده — چه کسی لوله‌کشی شما را اجرا می‌کند. ما رکوردهای عمومی را می‌خوانیم که می‌گویند چه کسی DNS شما را کنترل می‌کند، و چه کسی ایمیل شما را کنترل می‌کند. از آن می‌توانیم بگوییم آیا DNS، وب‌سایت و ایمیل شما در بین ارائه‌دهندگان تقسیم شده‌اند (resilient) یا روی یک پشته شده (راحت، اما یک نقطه‌ی شکست منفرد).

مهم‌ترین چیز برای دانستن: در نمره‌گذاری ما، هر دو اطلاعاتی هستند. نمره‌ی شما را تحت تأثیر قرار نمی‌دهند.

این چقدر ممکن است برای شما هزینه داشته باشد

روی مهم‌ترین روز آفلاین شد. سایت شما روی سرور اصلی است بدون هیچ چیزی جلویش. صبح launch یا یک تبلیغ، ترافیک spike می‌کند — یا یک flood bot متواضعانه می‌زند — و سرور نمی‌تواند کنار بیاید. صفحات timeout می‌دهند، checkout خطا می‌دهد، و در حالی که هاستتان می‌جنگد درآمد روز را از دست می‌دهید.
همه چیز یکجا تاریک می‌شود. DNS، وب‌سایت و ایمیل شما همه از یک ارائه‌دهنده می‌گذرند. آن ارائه‌دهنده خرابی دارد (همه در نهایت خرابی دارند) و سایت، سیستم رزرو و ایمیل شما همزمان ناپدید می‌شوند. سفارشات را نمی‌توانید پردازش کنید، و حتی نمی‌توانید به مشتریان ایمیل بزنید — چون صندوق پستی هم از کار افتاده.
کد شما هر حمله را مستقیم دریافت می‌کند. بدون WAF، هر probe خودکار — تلاش‌های injection، حدس‌زدن login، اسکنرهای exploit شناخته شده — کد اپلیکیشن شما را بدون هیچ فیلتری می‌کوبد.
یک حادثه‌ی کند و وحشت‌زده چون کسی نقشه را ندارد. چیزی می‌شکند و اولین ساعت صرف «صبر کنید، DNS ما را چه کسی اجرا می‌کند؟ ایمیل روی همان هاست است؟ با چه کسی تماس بگیریم؟» می‌شود.
یک اولین تأثیر بد برای یک خریدار دقیق. تیم IT یک مشتری احتمالی قبل از امضا اسکن می‌کند و یک سرور اصلی برهنه بدون CDN/WAF می‌بیند — و یک server header که نرم‌افزار و نسخه‌ی دقیق شما را تبلیغ می‌کند.

در واقع چیست

CDN / WAF — لایه‌ی محافظ

وقتی یک بازدیدکننده (یا مهاجم) سایت شما را درخواست می‌کند، درخواست می‌تواند مستقیم به سرور اصلی شما برود، یا می‌تواند ابتدا از طریق یک CDN/WAF برود. اگر یک سپر جلو باشد، آن سپر می‌تواند:

درخواست‌های مخرب را فیلتر کند (بخش WAF): تلاش‌های injection، حملات bot، و الگوهای exploit شناخته شده را قبل از رسیدن به کد شما بلاک کند.
ترافیک را جذب کند (بخش CDN): محتوای cached را از سرورهای نزدیک به هر بازدیدکننده ارائه دهد و surge ها را جذب کند.
سایت را سرعت بخشد: محتوایی که از یک سرور edge نزدیک تحویل داده می‌شود برای بازدیدکنندگان در سراسر جهان سریع‌تر بارگذاری می‌شود.

ما یک سپر را با نگاه کردن به اثر انگشت‌هایی که این سرویس‌ها در response header های سایت شما می‌گذارند تشخیص می‌دهیم — مثلاً یک header cf-ray (Cloudflare)، x-amz-cf-id (Amazon CloudFront)، x-served-by (Fastly).

«خوب» چه شکلی است: یک CDN/WAF جلوی اصلی شما تشخیص داده شده، و یک header Server که یک شماره‌ی نسخه‌ی خاص تبلیغ نمی‌کند.

نقشه‌ی هاستینگ / ارائه‌دهنده — وابستگی‌های زیرساخت شما

دامنه‌ی شما به‌آرامی به چندین سرویس مختلف اشاره می‌کند:

DNS — دایرکتوری که yourbusiness.com را به آدرس سرور واقعی تبدیل می‌کند. ما رکوردهای nameserver (NS) شما را می‌خوانیم.
ایمیل — کجا ایمیل شما کنترل می‌شود. ما رکوردهای MX شما را می‌خوانیم.

از این می‌توانیم ببینیم آیا این مسئولیت‌ها در بین ارائه‌دهندگان تقسیم شده‌اند (یک شکست یکی دیگران را نمی‌اندازد) یا روی یک ارائه‌دهنده‌ی واحد پشته شده‌اند.

«خوب» چه شکلی است: حداقل، DNS توسط یک ارائه‌دهنده‌ی اختصاصی قابل اعتماد نگه داشته می‌شود نه اینکه در همان حساب با همه چیز دیگر بسته شده باشد.

چگونه آن را رفع کنیم (رایگان، ~۱ بعدازظهر)

این را به IT یا توسعه‌دهنده‌ی وب خود بدهید — رفع رایگان است. گذاشتن یک CDN/WAF جلوی سایت روی tier های رایگان رایج هزینه‌ای ندارد. تنها تصمیم مالک این است: بله، یک سپر جلوی سایت بگذارید.

۱. یک CDN/WAF جلوی سایت بگذارید

رایج‌ترین مسیر رایگان Cloudflare است:

یک حساب رایگان Cloudflare بسازید و دامنه‌ی خود را اضافه کنید.
Cloudflare رکوردهای DNS موجود شما را می‌خواند؛ بررسی کنید درست import شده‌اند.
nameserver های دامنه‌ی خود را (در registrar) به دو تایی که Cloudflare می‌دهد تغییر دهید. این سوئیچ است که ترافیک را از طریق Cloudflare مسیریابی می‌کند.
حالت SSL/TLS را به Full (strict) تنظیم کنید تا رمزگذاری end-to-end بین بازدیدکننده → Cloudflare → اصلی شما بماند. (از «Flexible» اجتناب کنید، که آخرین leg را رمزگذاری نشده می‌گذارد.)
CDN و یک WAF پایه اکنون فعال هستند.

مسیرهای دیگر، بسته به stack شما:

AWS CloudFront — یک توزیع ایجاد کنید که به اصلی شما اشاره کند؛ با AWS WAF برای فیلترینگ جفت کنید.
Sucuri WAF — مبتنی بر DNS، بدون تغییر روی سرور؛ خوب اگر نمی‌توانید اصلی را لمس کنید.
Fastly / Akamai — CDN/WAF های enterprise-grade، معمولاً برای سایت‌های بزرگ‌تر یا با ترافیک بیشتر.

۲. تبلیغ نسخه‌ی سرور خود را متوقف کنید

Nginx:

server_tokens off;

Apache (در config اصلی):

ServerTokens Prod
ServerSignature Off

یک header X-Powered-By بیش از حد افشاگر را حذف کنید (مثلاً از PHP یا یک app framework) در سطح سرور یا CDN.

۳. نقشه‌ی ارائه‌دهنده‌ی خود را بررسی کنید (اختیاری، ~۱۰ دقیقه)

نگاه کنید DNS، وب‌سایت و ایمیل شما واقعاً کجا زندگی می‌کنند:

اگر هر سه در یک حساب ارائه‌دهنده باشند، حداقل DNS را به یک ارائه‌دهنده‌ی اختصاصی منتقل کنید (DNS Cloudflare رایگان و سریع است).
نقشه را بنویسید — ارائه‌دهنده‌ی DNS، هاست وب، ارائه‌دهنده‌ی ایمیل، registrar، و اطلاعات تماس/پشتیبانی برای هر کدام. این یک صفحه مفیدترین چیزی است که می‌توانید طی یک حادثه جلوی خود داشته باشید.

اشتباهات رایج

اجرای یک اصلی برهنه ‘چون سایت کوچک است.’ سایت‌های کوچک توسط همان حملات خودکار و flood های bot مثل سایت‌های بزرگ زده می‌شوند. tier رایگان CDN/WAF دقیقاً برای سایت‌های کوچک وجود دارد.
استفاده از Cloudflare ‘Flexible’ SSL. قفل نشان می‌دهد اما اتصال بین Cloudflare و اصلی شما را رمزگذاری نشده می‌گذارد. همیشه از Full (strict) استفاده کنید.
Cache کردن چیزهای اشتباه. Cache کردن تهاجمی صفحات login شده، سبد خریدها یا checkout ها می‌تواند محتوای یک مشتری را به مشتری دیگر نشان دهد.
روی هم گذاشتن همه چیز در یک ارائه‌دهنده بدون اینکه متوجه شوید. راحتی خوب است اگر یک انتخاب آگاهانه باشد — اما بسیاری از کسب‌وکارها فقط کشف می‌کنند DNS، وب و ایمیل یک حساب به اشتراک می‌گذارند طی خرابی که هر سه را از کار می‌اندازد.
رها کردن نسخه‌ی سرور در نمایش. یک قدم سختگیری رایگان یک‌خطی که فراموش کردن آسان است. آن را خاموش کنید.

یادداشتی درباره‌ی نمره

صریح بگوییم: هیچ‌کدام از این دو بررسی نمره‌ی شما را تحت تأثیر قرار نمی‌دهند. اگر در اینجا هیچ کاری نکنید، نمره‌ی شما بدون تغییر است. اگر یک سپر جلوی سایت بگذارید و DNS را تقسیم کنید، کسب‌وکار را به طور معنی‌داری رایگان resilient‌تر کرده‌اید. این راه درستی برای خواندن این صفحه است: نه عددی برای دفاع، بلکه یک ارتقای resilience ارزش گرفتن.

پرسش‌های متداول

اینها نمره‌ی من را تحت تأثیر قرار نمی‌دهند — پس چرا باید اهمیت بدهم؟

چون نمره کنترل‌های امنیتی خاص (رمزگذاری، anti-spoofing ایمیل، security header ها) را اندازه‌گیری می‌کند، در حالی که این دو بررسی resilience شما را توصیف می‌کنند — چقدر در برابر خرابی و حمله در معرض خطر هستید. یک سرور برهنه بدون سپر می‌تواند هنوز روی بررسی‌های نمره‌گذاری شده خوب امتیاز بگیرد و همچنان روز launch توسط یک flood از bot از کار بیفتد.

من تکنیکی نیستم — واقعاً چه کاری باید انجام دهم؟

یک تصمیم و یک تحویل. تصمیم: آیا می‌خواهید یک سپر محافظ (CDN/WAF) جلوی سایتتان باشد؟ برای تقریباً هر کسب‌وکاری پاسخ بله است، و مسیر رایج — tier رایگان Cloudflare — هزینه‌ای ندارد. تحویل: بخش 'چگونه آن را رفع کنیم' را به هر کسی که وب‌سایت یا دامنه‌ی شما را مدیریت می‌کند بدهید.

تفاوت بین CDN و WAF چیست — آیا به هر دو نیاز دارم؟

یک CDN (Content Delivery Network) یک شبکه‌ی جهانی است که جلوی سایت شما می‌نشیند، محتوا را نزدیک به بازدیدکنندگان cache می‌کند تا صفحات سریع‌تر بارگذاری شوند، و spikes ترافیکی را جذب می‌کند. یک WAF (Web Application Firewall) یک لایه‌ی فیلترینگ است که درخواست‌های ورودی را بررسی می‌کند و موارد مخرب را قبل از رسیدن به سرور بلاک می‌کند. خبر خوب اینکه سرویس‌های محبوب هر دو را یکجا می‌دهند: Cloudflare (یا مشابه) را روشن کنید و CDN و یک WAF پایه را با هم دریافت کنید.

آیا اینکه همه‌ی خدمات من با یک ارائه‌دهنده است بد است؟

یک ریسک تمرکز است، نه یک گناه. راحتی واقعی است — یک قبض، یک login، یک خط پشتیبانی. اما تعادل این است که یک خرابی یا یک به خطر افتادن حساب می‌تواند DNS، وب‌سایت و ایمیل شما را با هم از کار بیندازد. نکته‌ی بررسی این است که وابستگی را مرئی کند تا یک تصمیم باشد، نه یک سورپرایز.

نرم‌افزار و نسخه‌ی سرور شما را شناسایی کردیم — چرا این اهمیت دارد؟

وقتی سرور شما دقیقاً اعلام می‌کند چه نرم‌افزاری اجرا می‌کند و کدام نسخه (در header های 'Server' یا 'X-Powered-By')، به مهاجمان یک میانبر می‌دهد: می‌توانند آسیب‌پذیری‌های شناخته شده برای آن نسخه‌ی دقیق را جستجو کنند. افشای اطلاعات غیرضروری است — مثل رها کردن ساخت و مدل قفل‌هایتان روی در جلو. سرکوب نسخه (یک تنظیم یک‌خطی سرور، رایگان) یک قدم سختگیری کوچک و معقولانه است.

آیا گذاشتن CDN جلوی سایتم چیزی را می‌شکند یا آن را کند می‌کند؟

انجام شده به درستی، سایت را سرعت می‌بخشد — این کل هدف CDN است. چیزهای اصلی که باید درست انجام شوند: مطمئن شوید HTTPS end-to-end می‌ماند (از حالت 'Full (strict)' روی Cloudflare استفاده کنید، نه 'Flexible')، و صفحاتی که باید شخصی یا زنده باشند را به طور تهاجمی cache نکنید (داشبوردهای login شده، checkout ها).