Z biegiem czasu, gdy mamy działającą witrynę, używając Nginx zauważamy dziwne zachowanie niektórych adresów IP, generalnie te adresy należą do roboty lub złośliwi agenci które atakują naszą usługę.
Chociaż widzieliśmy, jak blokować dostęp i ruch za pomocą Moduł GeoIP, istnieje również prostszy i bardziej bezpośredni sposób na wykonanie tego typu zamków, dzięki temu jeśli nie posiadamy Moduł GeoIP dostępne, możemy stworzyć dobry zestaw reguł, które pozwolą nam regulować dostęp do naszej witryny.
Czarna lista
Prowadzenie administracji serwerem oznacza, że posiadamy pewne polityki, które gwarantują bezpieczeństwo naszych danych, oprócz zapewnienia prawidłowego działania naszych zasobów, przeszkodą, z którą się spotykamy, są ataki i masowe konsultacje przez boty, skrypty eksploratora, a nawet złośliwi agenci.
Z powyższych powodów musimy zarządzać czarną listą, która nam pozwala blokować adresy IP wiemy, że są ustrukturyzowane i nie dotyczą ruchu organicznego w naszych witrynach obsługiwanych przez Nginx.
Aby zbudować te czarne listy, możemy blokować według IP lub zestawu adresów IP, w ten sposób możemy nieco złagodzić sytuację i mieć zdrowszy rozwój usług.
Jak zbudować czarną listę?
Aby zbudować naszą czarną listę, musimy skorzystać z reguł zaprzeczyć Tak umożliwić abyśmy mogli określić zakresy adresów IP do zablokowania lub po prostu umieścić określone adresy, należy to zrobić bardzo ostrożnie, ponieważ możemy zablokować więcej użytkowników niż jest to pożądane, jeśli nie umieścimy reguły poprawnie.
Zobaczmy na poniższym obrazku przykładowy kod, jak wykonać podstawową konfigurację blokowanie dostępu:
W kodzie widzimy, jak używamy zaprzeczyć aby określić konkretny adres IP, a następnie z zezwoleniem określamy zakres adresów za pomocą submaska / 24, Ten przykład jest szeroko stosowany, gdy segmentujemy usługę w sieci lokalnej, aby dział nie mógł połączyć się z usługą, którą obsługuje Nginx.
WażnyKolejnym aspektem, który możemy łączyć przy korzystaniu z tego typu blokad, jest wiedza, jaki błąd powinniśmy na nie rzucić, np. jeśli blokujemy ewentualne ataki, najlepiej rzucić błąd Nie znaleziono strony 404 aby nie stymulować silniejszego ataku, jeśli napastnik wie, że odmówiono mu wejścia, ale w środowisku sieci lokalnej być może najbardziej idealnym rozwiązaniem jest wskazanie za pomocą 403, który ma dostęp do obszaru o ograniczonym dostępie.
Kończąc ten samouczek widzimy, że wykonanie tego typu zamka jest bardzo proste i nie polegamy na innych modułach, dzięki temu przy standardowej lub zredukowanej instalacji Nginx będziemy mogli wdrożyć nasze polityki bezpieczeństwa.
Podobał Ci się i pomógł ten samouczek?Możesz nagrodzić autora, naciskając ten przycisk, aby dać mu pozytywny punkt
