CloudFlare Nedir? Kurulum ve Kullanımı

 

 

CloudFlare, web siteleri için ücretsiz olarak temel bir güvenlik duvarı kurar. Web sitesinin yayın yaptığı sunucuyu proxy üzerinden geçirdiği için, aynı zamanda bir CDN (İçerik Dağıtım Ağı) oluşturur. Ama bu CDN standart CDN servislerinin ilkeleriyle aynı değildir. (Aynı anda başka CDN depolama servisleriyle kullanıldığında çakışmalara neden olabilir; çakışmanın çözümü için CDN servisinin talimatı izlenmelidir)

 

Cloudflare; zamanla Stream gibi (Video Depolama – Dağıtma) hizmetler geliştirmiş olsa da bir DDoS güvenlik duvarıdır. Bununla birlikte ücretli ve ücretsiz olarak web sitesi üzerinde katı kurallar geliştirebilir. Örneğin, belirli bir lokasyondan gelecek trafikleri tamamen engelleyebilir ya da bot filtresinden geçirebilir. HTTP/2 (HTTP/2/3) ↵  kurabilir, Trafiği denetleyebilir, Global SSL / TLS’yi etkinleştirebilir ve -DNSSEC-  korumasını da etkinleştirerek; -DNS Zehirleme-nin önüne geçebilir. Önbellek ve Optimizasyon / Rocket Loader gibi JavaScript önceliklendirmeleri ile de, site üzerindeki performansı izlenebilir ölçüde artırabilir.

 

DNSSEC: Domain Name System Security – Etki Alanı Adı Sistemi Güvenlik Uzantıları’dır ve bu da Alan Adları üzerindeki yönlendirmelerin önüne geçmek için geliştirilmiş bir şifrelemedir. DNSSEC, Alan Adı DNS sunucusu tarafından verilen yanıtların geçerliliklerini kontrol ederek, IP adreslerini imzalayarak doğrular; ziyaretçilerin, Alan adına karşılık gelen web sitesine bağlandıklarını / yönlendirilmediklerini doğrular. Dolayısıyla bu güvenlik katmanı –Orta Atak– denilen girişimlerin önüne geçmeyi hedefler.  DNS Spoofing / DNS Önbellek Zehirleme; yani Alan Adı Sunucularını Zehirleme girişimleri, Pharming denilen -Site Trafiği Yönlendirme- ataklarında kullanılır. Bu atak, aynı zamanda Phishing / Kimlik Avı tuzaklarını da ortaya çıkarır.

 

DNSSEC kurulumu için Alan Adı şirketinizin talimatlarını izleyin. CloudFlare’da DNSSEC yapılandırması için DNS  bölümüne giderek DNSSEC’I etkinleştirin. Alan Adı DNS Sunucularınızın DNSSEC’I desteklediğinden emin olmak için, Alan Adı kayıt şirketinize başvurun. Eğer Alan Adı Sunucularınız DNSSEC’I destekliyorsa, CloudFlare DNSSEC kayıtlarını işlemek için (DS Kayıt) Alan Adı şirketinizin talimatlarına başvurun: (Key –  Algorithm – Digest /  Type) Doğrulamak için: https://dnssec-analyzer.verisignlabs.com bağlantısına gidin

 

CloudFlare, yalnızca DDoS koruması için; Sunucunun IP Adresini Proxy üzerinden geçirmekle ve çevrimiçi uygulamalarla bir güvenlik duvarı da kurmaz. IP Adreslerinin Proxy üzerinden geçmesi, bazı girişimlerin (URL üzerinden yapılan veritabanı atakları gibi) önüne geçiyorsa olsa da aslında çok sıkı bir gizlilik sağlar. Eğer bir açık bırakılmazsa (CloudFlare Email sunucularında Proxy desteklemez) ve Sunucunun geçmiş DNS kayıtları arşivlenmedi ise, bir web sitesinin; CloudFlare bizzat açığa çıkarmadıkça, yayın yaptığı sunucunun DNS kayıtları ve IP Adreslerine ulaşmak mümkün değildir.

 

 

 

 

Bu gizlilik; bilinen güvenlik duvarı ve girişimler dışında bir web sitesi için ne anlama gelmektedir?  Özellikle de Paylaşılan sunucuda barınan web sitesi için; yayın yaptığı sunucunun / sunucu şirketinin gizliliği, kabaca bu sunucuya yapılacak ve dolayısıyla ortak etkilenme ihtimallerini ortadan kaldırabilir. (Paylaşılan sunucuda barınan bütün web siteleri aynı Class IP’de bulunurlar. Web sitesinin yayın yaptığı sunucunun IP Adresine ulaşılması; bu sunucuya yapılacak olan bir girişimin startını verebilir)

 

Ama CloudFlare’nin web sitelerine sağladığı bu gizlilik; gerçekte bilinen bir güvenlik duvarı amacı ile değil, Korsan ve Adult web sitelerinin; çalıştıkları hosting şirketlerine DMCA şikayetlerinin ya da yerel yasalarının şikayetlerini ulaştırmamak için özellikle tercih edilir… CloudFlare’nin amacı bu değildir ve böyle bir desteği de söz konusu değildir; ancak dolaylı olarak (en azından dmca ya da yerel yasalara göre şüpheli olan web siteleri için) sağladığı güvenlik duvarları böyle bir duruma ya da suistimale de elverişlidir.

 

Çünkü bu tür web siteleri için; Sunucunun IP adresine ulaşılması, doğrudan yayın yapılan hosting şirketine ulaşılması demektir. Dolayısıyla bu tip web sitelerinin yayınlarının durdurulması veya kimlik talepleri için DMCA şikayetleri ya da yerel mahkemelerinden gelen talepler; hosting şirketlerine iletilir. Bazı hosting şirketleri ise, uluslararası suçlara girmeyen yayınlar için; kullanım şartlarında izin vermediklerini belirtmiş oldukları yayınları bile (genellikle korsan yayınlardır) bir şikayet iletilene kadar görmezden gelir. CloudFlare bu tür suistimallerin şikayetlerine açık olsa bile Uluslararası suçlar dışında CloudFlare arkasına gizlenen bir sitenin barındırma şirketini açığa çıkaracağını garanti de etmez.


 

 

Kurulum

CloudFlare için Bu bağlantı‘dan üye olduktan sonra; Ana sayfa’daki -Add a Site- yönergelerini izleyin:

 

 

 

 

Web sitenizi ekledikten sonra, aşağıdaki ekran görüntülerini takip edin:

 

 

 

 

 

Confirm plan dedikten sonra web sitesinin CNAME / MX / SRV / TXT kayıtları taranacak ve CloudFlare ile bağlantı kurmaya hazırlanacaktır. Aşağıdaki ekran görüntüsünde izlenen bulut ikonlarına tıklayarak (eğer varsa) Gri’den Turuncu’ya dönüştürün

 

 

 

Continue diyerek ilerledikten sonra aşağıdaki ekran görüntüsünde izlenen; web sitesinin ClodFlare NS /Nameserver adresleri için hazırlandığını göreceksiniz. Alan Adının, Namaserver’larına eklenen Hosting yönlendirmesi kaldırılarak ClodFlare Nameserver 1 ve 2 adreslerine yönlendirilmelidir

 

 

 

 

 

 


 

 

Gizlilik – Cloudflare IP Gizleme

 

Web sitesi üzerinde tam olarak bir gizlilik sağlanmak isteniyorsa, TXT – default._domainkey ve (varsa) TXT example.com  haricindeki bütün TXT – SRV ve MX kayıtları;  ayrıca pop3 – imap – webmail – webdisk – ftp – whm A kayıtları  kaldırılmalıdır. CloudFlare Email portunu da proxy üzerinden geçirmeyecek ve detaylı MX taramasında bu kayıtlar IP adreslerini açığa çıkartacaktır. (Eğer web sitesinde / Sunucuda Email kullanılmak isteniyorsa bu kayıtlar kaldırmamalıdır ya da web sitesinde hem gizlilik hem de email sunucusu önem arz ediyorsa özel bir Email hosting kurulmalıdır. Bu kayıtlar kaldırılmasa bile CloudFlare, site için temel DDoS koruması sağlayacaktır) Aşağıdaki örnek ekran görüntüsünde izlenen web sitesi için tam olarak bir gizlilik sağlanmıştır ve bu sitenin Hosting Whois dahil, yine kapsamlı bir MX taramasında da yayın yaptığı sunucu hakkında bilgi alınamayacaktır.

 

Aynı zamanda tam olarak  gizlilik sağlaması için aşağıda CloudFlare’nin bağlantı kurmasına izin verilen temel kayıtlar; Sunucu’nun Zone kayıtları ile aynı olmalıdır; Ekran görüntüsündeki kayıtlar dışındaki bütün kayıtlar, Zone Editor’daki kayıtlardan silinmelidir. (Söz konusu kayıtlar, web sitesi bağlantıları ve yayın için zorunlu DKIM kayıtları değildir; eğer yanlışlıkla temel bir kaydı sildiyseniz; hosting şirketinizden resetlenmesini isteyebilir ya da Zone Editor’deki ayar çarkından -Zone Reset- diyerek varsayılan kayıtları geri alabilirsiniz. Detaylı MX taramaları için:  gf.dev/dns-lookuptoolbar.netcraft.com/site_report İleri Düzey Ağ Taraması için: Açık Kaynak kodlu Ivre.rocks yazılımı kullanılabilir; aynı zamanda CloudFlare arkasına gizlenen web sitelerini açığa çıkarmak için kullanılan ileri düzey bir ağ tarayıcıdır. NOT: CloudFlare arkasına gizlenen web sitesinin sakıncalı olduğunu düşünülüyorsa: Bu Form’dan şikayet edilebilir. NOT 2: CloudFlare ardındaki bir web sitesinin özellikle EMail kaydı silinmemiş ise (web sitesinin yetkili sahibi gibi hareket edilerek) yine CloudFlare üzerinden taranarak; tersine bir mühendislikle  IP’nin adresinin açığa çıkarılma olasılığı vardır.

 

 

 


 

 

CloudFlare İçin Bazı Ayarlar

CloudFlare’nin web sitesi üzerinde neler yapabileceğini deneyimlemek için keşfetmeye hazır olmanız gerekse de, bunların arasından iki yapılandırma -varsayılan olarak kullanılmak üzere- kabul edilebilir. Birincisi, web sitesinin genel güvenlik seviyesi ve ikincisi Under Attack / Saldırı Altındayım düzeyleridir. Web sitesinin güvenlik seviyesi High / Yüksek olarak belirtmelidir. Aynı bölümden, güvenlik seviyesinin -I’m Under Attack!- olarak belirtilmesinde; bir DDoS / Bot saldırıdan emin olunmasa da bunun web sitesi üzerinde bir sakıncası yoktur. Web sitesinin kritik olması durumunda ve potansiyel olarak da bir girişime maruz kalma ihtimalleri için; ama bununla birlikte web sitesinin kontrolü de sık izlenmiyor ve trafiği takip edilmiyorsa  -I’m Under Attack!- / -Saldırı Altındayım!- seviyesine çekilmesi, gereksiz olmaktan çıkabilir.

 

Bu seviye, Eğer Güvenlik Kurallarından Ayarlanmadı ise; varsayılan olarak JavaScript Mücadelesi kullanacaktır; ziyaretçi web sitesine eriştiğinde 5 saniye CloudFlare taramasından geçer ve otomatik olarak, IP adresi kara liste’de değilse (bot ip) web sitesine yönlendirilir. IP reddedilirse: Acces denied / Erişim Reddedildi sonucu döndürülecektir. Google reCAPTCHA doğrulaması için Güvenlik Kuralları kullanılmalıdır.

 

 

Firewall / Settings / Security Level

 

 

 

Firewall / Firewall Rules (Google reCAPTCHA)

 

 

 

URL üzerindeki bütün sürümlerde etkinleştirilmesi için contains koşullandırması kullanılmalıdır. Kurallar; lokasyon davranışları ve site üzerindeki URL’lerin tepkileri için de kontrol edilebilir (Field)

 

 

 


 

 

Apptrana ve Imperva.com  gibi CloudFlare alternatifleri de vardır. (apptrane ücretsiz plan, gelişmiş özelliklere sahip değildir; sadece güvenlik taramasını sunar. imperva, CloudFlare benzeri ücretsiz bir planda kullanır; ancak CloudFlare -ücretsiz planla karşılaştırıldığında- hesaplanan bir senaryoya göre yetersiz kalabilir.

 

Sucuri ve Amazon CloudFront‘da en öne çıkan CloudFlare alternatifleri arasındadır. (Sucuri, sadece ücretli planlar kullanır ve güvenlik iddialarıyla öne çıkarken; CloudFlare gibi bir CDN hizmeti ile birlikte gelmez. Amazon CloudFront’da, (ücretsiz deneme dışında) ücretli bir plan kullanır. CloudFlare özellikle ücretsiz planı ile değerlendirildiğinde diğer rakip ve alternatiflerinden öndedir

 

 


Görünüm

Sadece şu etiketi çalıştırabilirsin <code>