防止CDN背后的负载均衡(LB)/服务器通过HTTPS曝露真实IP
如何防止CDN背后的负载均衡(LB)/服务器域名通过HTTPS曝露真实IP?这是一个很容易被站长忽略的问题。
通常服务器前端有负载均衡进行分流,再前面有CDN进行缓存,真实IP一般隐藏。因为真实IP曝露了,服务器的风险很大。同样,服务器前面的LB的IP也决不能曝露(如果服务器前面有LB的话) 。
HTTPS是目前任何服务器都会配置的。但如果不做防范,IP会直接曝露。
划重点:
1.域名直接解析到服务器=裸奔, IP会直接曝露
2.域名解析到LB= 裸奔, LB的IP会直接曝露
3.域名解析到CDN,隐藏IP,但HTTPS有曝露IP的风险。(其他曝露 IP的风险可能有SMTP自动回信等各种方式,这里不做讨论)
在说 HTTPS 曝露IP 之前,我先说一个公司,这家公司就是 censys.io
这家公司做的事情就是开足服务器马力在网上不断地自动化扫端口,什么80啊,443啊,FTP啊只要是开的都会扫,他不但扫,还通过端口的信息与域名建立关联,大数据关联域名、IP、端口、服务等动态即时及历史关系。
OK,这些机器扫啊扫的,回到我们这里来看,他们是不是建立了IP和域名的关系数据了,他们是通过IP扫的数据,但开放出的查询引擎是不是可以通过域名来倒查IP!这就很可怕,任何人都可以查!
那么域名关联信息是怎么样泄露的呢?
HTTPS是罪魁祸首。如何泄露的呢?
当我们在服务器或是LB上配置好HTTPS后,大家用 https://IP (服务器或LB的IP)访问一下,然后再看一下证书,是不是就明白了。IP——域名。
所以我们要做的就是不让他对应或是让他假对应。所以我们应该在服务器或LB上为这个真实IP专门配一个完全和域名无关的HTTPS数字证书。具体如何配置很简单,无非就是再开一个主机头为这个IP的站点并配无关证书之类的,LB上就443监测时判断这个IP后到另一个采用无关证书的域名等,这里就不展开了。
再重复一下:曝露真实IP,问题很严重!
原创不易,转发请说明来源 https://www.rvvr.cn/wp/2021/09/26/cdn/。