Vladimir Cicovic Blog - Vladimir Cicovic - Security, Programming, Puzzles, Cryptography, Math, Linux

GeoDNS + Nginx reverse proxy

Optimizacija i ubrzavanje bloga uz pomoć Geo DNS i reverznih proksija

nginx proxy digitalocean image

Vikend eksperiment jeste postavljanje više PoP (Point of Presence. Više na https://www.cachefly.com/news/why-points-of-presence-pops-are-pivotal-for-optimal-cdn-performance/) servera kako bi lag/kašnjenje bilo manje.

Koristio sam gotove servise: EasyDNS i Linode Cloud.

EasyDNS nudi GeoDNS za 9$ mjesečno. Moguće je prema geografskoj lokaciji odrediti koji DNS zapis tj povratni odgovor na DNS upit (od A recorda pa dalje). Sa Linodom je moguće "kopirati" na više lokacija širom svijeta (paralelno) kada se sredi prvi box/server. Linode mjenja IP adresu servera koji se klonira a sve ostalo ostaje kako jeste (config, šifre, ključevi, SSL sertifikati, ostalo)

Tako da podesimo 1 server i uradimo kloniranje na više mjesta i samim tim napravimo PoP (https://www.cachefly.com/news/why-points-of-presence-pops-are-pivotal-for-optimal-cdn-performance/)

Prije prije proxy servera

poslije poslije dodavanja Geo DNS i reversnih proxy servera

Testiranje uz pomoc: https://www.dotcom-tools.com/website-speed-test

DNS poool
Geo DNS Pool

Koraci koje trebamo uraditi su sljedeći:

Kreirati bazni reverse Nginx proxy
Klonirati na različite lokacije
Testirati uz pomoć Curl-a
Podesiti GeoDNS na EasyDNS
Testirati DNS propagaciju i web prisutnost

Nginx reverse proxy

Konfiguracija za revezni proxy (neću davati druge nepotrebne informacije):



http {

   # putanja za /cache mora biti kreirana i podešena za nginx usera/grupu www-data

   # levels - do kojeg nivoa će ići poddirektorijumi za kesiranje

  # Broj objekata koje će sačuvati u kešu - 10m

  # maksimalna veličina fajla koji može biti keširan - 1g

proxy_cache_path /cache levels=1:2 keys_zone=m_cache:10m max_size=1g;

   server {

           location / {

                proxy_cache m_cache;

                proxy_cache_valid 200 302 120m;   
                # vremenski koliko dugo - 120 minuta

                proxy_cache_valid 404 1m;     

                proxy_pass https://9.8.7.1;   
                # ovdje je 9.8.7.1 izvorni sajt

             }

}

Kako testirati da li je proxy podešen

Ako imamo Linux komandnu liniju onda izvršite komandu:


curl -H "host: www.vladimircicovic.com" -k https://172.232.148.193/

Ovdje koristimo host header i IP adresu gdje Curl upucujemo da ignorise SSL/TLS sertifikat i validnost (porediće IP adresu i domenu u SSL sertifikatu, i zatim odbiti da pošalje zahtjev, zato dodajemo -k opciju) Sa ovom komandom bi trebalo da vidimo početnu stranicu.

Kako testirati DNS za odredjene zemlje

Jedan od bržih načina da se vidi DNS propagacija (https://www.digicert.com/faq/dns/what-is-dns-propagation) jeste sajt: https://dnschecker.org/#A/www.vladimircicovic.com

Drugi način ako imate Linux komandnu liniju:


dig +short A www.vladimircicovic.com @118.127.62.178 

172.105.181.107

Gdje je javni DNS server za Australiju dostupan sa: https://public-dns.info/nameserver/au.html

IP adresa 172.105.181.107 je za Australiju i druge zemlje Okeanije.

Kako testirati web pristup za odredjene zemlje

Najbolje je uz pomoć sajta https://www.dotcom-tools.com/website-speed-test ali postoje i slični gdje je moguće testirati.

Optimizacija web stranice i ograničavanje sadržaja radi bržeg učitavanja

Npr možete prikazati 5, 10 zadnjih postova na svom sajtu. Tako učitavanje bude jako teško za klijenta. Jedan od načina jeste ograničavanjem količine broja postova na prvoj strani.

Alat za testiranje: https://pagespeed.web.dev/

Prije ograničavanja sadržaja:

Mobilni

Desktop

Poslije ograničavanja sadržaja:

Mobilni

Desktop

DDOS napad (zaustavljeni)

2020 godine je išao DDOS napad na time mk - slučajno sam se zadesio na profilu AnoNiMuZa (nikakve veze nemaju sa orignalnom idejom) gdje su se dotični hvalili sa tim. Iskopao sam podatke, brojeve telefona i email, imena i prezimena i dao uslov da ako ne zaustave napad da će zavrsiti u policiji.

Napad je stao a pojedinci su prestali da se glupiraju.

Korisnik Mele

I radi podsjećanja da spomenem DDOS napad na RTRS iz 2014 god, gdje me je gospodin Branislav pozvao da mu pomognem (slučajno se zadesio kod njega na kafi) a pošto (sada bivši) šef VTK tada nije želio da mi dostavi kontakte žrtava DDOS napada (obrazložio je da ako oni ne mogu onda ne može niko). Tada sam identifikovao napadača, tip napada i napad zaustavljen. I dalje sam insistirao tj od 2014 god da mi daju kontakte žrtava (jer nisu svi napadi ni medijski bili objavljeni).

Većinu DDOS napada je moguće zaustaviti i bez Cloudfare i sličnog. Postoje napadi gdje Cloudfare ne pomaže jer je arhitektura pogrešna. Naravno ne sa "stručnjacima" koji još nisu savladali nmap, tcp ip i drugo.

Ili sa muzičkom pozadinom: (hvala nevaljalom djecaku na doradi)

Kako je "uklonjen" domen Vlade Srpske (social engineering lekcija) i loše odluke za novu domenu

Razmišljao sam da li da napišem ovaj tekst jer se radi o odličnoj lekciji iz sigurnost na nivou države i uopste kako voditi IT sektor jedne države.

Foto: capital.ba

Između 20 i 24 oktobra 2023 godine nepoznata osoba je poslala email provajderu domene vlade Srpske. Domena zakupljena jos 2001 god (https://web.archive.org/web/20010201000000*/https://www.vladars.net/ izgled prve stranice ) Da li je bilo dijelo jedne il više osoba nećemo saznati jer policija i "stručnjaci" iz vlade Srpske nisu našli problem pa evo kroz ovaj tekst ćemo objaviti da se radilo o social engineering napadu nepoznate osobe. Ne morate biti neki veći poznavalac OFAC liste i kako sankcije funkcionišu ali vlade Srpske na toj istoj listi nema. Neko je iskoristio povezanost lica sa te liste i vlade Srpske da pošalje email provajderu domene. Blokiranje sajta vlade Srpske

Nivo potreban za ovakav čin je minimalno znanje kako funkcioniše domena, whois i email slanje. Iako sam u nekoliko navrata opisao na tviteru/X da se domena može vratiti i da nije bilo potrebno da se ide na novu - stručna lica i spoljni saradnici vlade Srpske su procjenili da treba nova domena. Trenutno stara domena je u funkciji a postoji i nova. Automatsko blokiranje phishinga na X/Twitteru

Prilikom izbora nove domene napravljena je jos jedna greška koja je koštala da sajt vlade i email server budu blokirani nekoliko mjeseci poslije te odluke. Pošto je izbor bio "vladars . rs" a već postoji vladars . net - po automatizmu je domena označena kao phishing. S obzirom da je ovo proslo kroz ruke mnogih IT rukovodilaca - postavlja se pitanje kako je bilo moguće da u eri digitializacije nisu u stanju predvidjeti takvu gresku? Proces uklanjanja je išao "pješke" jer niko iz državnih agencija nije shvatio da se može i brže uraditi.

Funny

Još uvijek je stara domena u funkciji a koristi se i nova (dok pišem ovo) pa me navodi da ovakav pristup više odmaže nego sto ima pomoći da se pronadje domena. Nova domena je registrovana na privatnu firmu i to je uveliko problem.

Provjera na VirustTotal (Novembar 2023) VirusTotal