Aus Sicherheitsgründen trennen wir uns von Cloudflare

Leider müssen wir aus Sicherheitsgründen die Partnerschaft mit Cloudflare beenden! Wir haben mehrfach versucht, die technischen Entwickler auf diese Mängel hin zu weisen und ernteten als letzte Aussage – Zitat:

Das einzige Problem sind partial Setups an die wir niemals den Anspruch erhoben haben, dass sie sicher sind. Partial Setups erlauben es Hosting-Partnern wie Ihnen unseren Service einfach zu integrieren, indem lediglich per CNAME der Traffic für Subdomains (!) durch Cloudflare geleitet wird, wodurch Ihre Kunden unser CDN und die damit einhergehenden Vorteile wie verbesserte Ladezeiten und reduzierten Traffic nutzen können.

Das bedeutet im Umkehrschluß, daß das Versprechen, daß mit dem Plesk-Plugin für Cloudflare behauptet wird, keine Sicherheit bietet, anders als dies in der Beschreibung des Plugin versprochen wird! Im Gegenteil leben Hoster sehr gefährlich, wenn sie dieses Plugin einsetzen!

Das sogenannte “Server-Shield”, daß vom Namen so klingt, als würde es Angriffe abhalten, entpuppt sich bei Angriffen durch Hacker, die die Angriffe über Cloudflare in den Server einstreuen, als extrem gefährlich und damit genau als das Gegenteil!

Zitat der Sicherheits-Vorgaukelung:

This extension protects your websites against online threats (such as hacking, spamming, botnets, DDoS attacks) while making them load lightning fast.

Warum dies so ist:

Alle Hacking-Angriffe, die auf der Alias-Domain www.MeineDomain.de z.B. werden von Cloudflare nicht standardmäßig gefiltert! Dazu bietet Cloudflare den Kunden bei vollständiger Registrierung oder einer Aufschaltung über die Nutzung der Cloudflare-Nameserver dann bessere Möglichkeiten, aber dann auch nur sehr stark begrenzt und wer dann wirklich den sicheren Schutz benötigt, darf dann zahlen!

Die Scherheitsfeatures, die die Server aber ohne Verwendung von Cloudflare bereit stellen, werden zum Teil ausgehebelt und so können auf den Servern, wenn ein Angriff erkannt wird, diese den Angriff nicht abwehren und Cloudflare wehrt diese Angriffe ebenfalls nicht standardmäßig ab! Und damit wird durch die Nutzung des Cloudflare-Plesk-Plugins die Sicherheit nicht verbessert, sondern abgeschaltet!

Erfolgt also ein Angriff von einer oder mehrerer IPs eines Hackers, werden diese ja durch Cloudflare durchgeleitet und erfolgen dann über die IPs von Cloudflare! Cloudflare speichert Seiten und Dateien zwischen! Erfolgen jedoch die Requests mit zusätzlichen Parametern, also z.B.

https://www.angegriffeDomain.de?cmd=drop%20database&time=1111

und danach

https://www.angegriffeDomain.de?cmd=drop%20database&time=1112

werden alle Requests an den Server durchgeleitet!

Zusätzlich kann man dann das Apache mod_cloudflare Plugin einbinden, dann werden auf dem Server die IPs der Hacker geloggt und versucht z.B. von der Sicherheitstechnik zu blocken, allerdings sind diese Blockings sinnlos, da ja die Requests über die IPs von Cloudflare erfolgen und nur lediglich die originäre IP des Hackers geloggt wird!

Wir könnten bei einer solchen Attacke lediglich die IP von Cloudflare blocken, aber damit würden alle Kunden, die auf dem gleichen Server liegen plötzlich nicht mehr bedient werden, weil dann auch für diese Kunden und Domains der Abruf gesperrt werden würde! Daher war bisher Cloudflare white gelistet, was sich dann aber bei der Vermehrung der Angriffe als absolut gefährlich heraus gestellt hat!

Hacker können einen Reverse-Scan auf cf.Domains durchführen und erhalten die originäre IP des Servers. Hacker können über die IP eines Servers ALLE Domains ermitteln, die den cf.Domain-Eintrag haben und auf diesen Server verweisen und dies ganz gezielt ausnutzen, um von vielen Hacker-IPs über Cloudflare diverse Domains des selbigen Servers anzugreifen, bis dieser die Grätsche macht und die Anfragen nicht mehr beantworten kann! Aber selbst, wenn die Angriffe ohne die Auswertung der Reverse – Domain/IP erfolgen, würde ein agressiver Angriff von vielen IPs auf eine Domain, die über Cloudflare die Requests durchführt, den Server extrem belasten!

Im Normal-Betrieb ohne die Nutzung des CDNs von Cloudflare dagegen, erfolgen die Hackings direkt von den Hackern und die IP-Sperrungen dieser Hacker greifen sofort und der Server wird nicht herunter gezogen!

Wir hatten dieses Problem bereits bei einigen Domains und bei eigenen konnten wir über gezielte Einstellungen in Cloudflare dies verhindern!

Für Kunden-Domains stehen uns als Partner von Cloudflare aber nicht diese Möglichkeiten zur Verfügung, die sonst Kunden der Domains selber haben, nur

a) haben Kunden leider nichts das Verständnis, dies optimal bei Cloudflare einstellen zu können, weil sie nun mal Kunden sind und keine Techniker, wie wir als Dienstleister

und

b) würde die Anfrage bei einem Kunden, uns den entsprechenden Zugang zu gewähren, unter Umständen Tage dauern, bis diese von manchen Kunden dann eingerichtet werden

und in der Zwischenzeit müssten alle anderen Kunden darunter leiden, daß der Server auf anderen Domains angegriffen wird!

Uns als Partner wird nicht ermöglicht, diese Einstellungen für Kunden setzen zu können! Man war nicht bereit, dies auch in der Zukunft zu gewähren! Wozu brauchen wir dann eine Partnerschaft, wenn diese nur Vorteile (Geld verdienen) für Cloudflare bringt und uns die Gefahr des Einbruches durch Hacker? NICHTS!

Bisher mussten wir in einigen Fällen wie folgt vorgehen:

Um die Angriffe aufzuhalten, die über Cloudflare einstreuten, mussten wir für die beteiligte Domain manuell Cloudflare über die API abschalten und die DNS-Einstellungen auf Standard zum Server direkt, wieder zurück setzen und dann liefen die Angriffe noch ca. 30 – 60 Minuten weiter, bis dies dann in den DNS-Zonen komplett umgesetzt war und auch Cloudflare nichts mehr abrufen bzw. Requests senden konnte!

Von der Seite ist das Cloudflare-Plesk-Plugin eher als gefährlich einzustufen und nicht als Verbesserung der Sicherheit zu verstehen!

Ein Gedanke zu „Aus Sicherheitsgründen trennen wir uns von Cloudflare“

  1. Unsere Erfahrungen nach einigen Wochen, nachdem wir uns von Cloudflare getrennt haben, sind im Allgemeinen sehr positiv. Unsere Hosts wurden erheblich weniger angegriffen, als zuvor über Cloudflare.

    Cloudflare hatte offeriert, genau diese Attacken abzufangen, hat diese aber oftmals durch gelassen und wir hatten nur die Möglichkeiten, eigene Domains speziell so zu konfigurieren, daß diese Attacken im Einzelfall nicht durch gingen. Dagegen waren wir nicht in der Lage, dies für Kunden zu erledigen und konnten dies auch schlecht von Kunden verlangen!

    Eines unserer Projekte hat allerdings so hohe Abrufqouten (Anti-Attacks.com), daß wir dieses auf ein anderes CDN – System gelegt haben, daß allerdings höhere Kosten verursacht.

    Wir suchen für unsere Kunden nach neuen praktikablen Lösungen über andere Anbieter, weiterhin CDN anzubieten. Ganz interessant scheint ein Angebot einer Hamburger Firma zu sein und wir werden hier ausloten, ob eine optimale und leichte Integration möglich ist und ob wir deren Produkte unseren Kunden anbieten können!

    Wir sind viele Jahre im Markt und bieten unseren Kunden optimale Leistungen im Bereich von Hosting an. Wenn wir merken, daß ein Produkt sich genau zum Gegenteil entwickelt, versuchen wir mit den Entwicklern dies zu klären, so daß diese die Probleme abstellen können. Cloudflare war dazu überhaupt nicht bereit und deren Techniker waren nicht interessiert, sich überhaupt mit den Hacking-Lawinen, die über Cloudflare kamen, zu beschäftigen. Man tat echt “auf Blöd” und schickte immer die gleichen Standard-Texte! Echt traurig für so eine Firma!

    Die Bezeichnung “Server-Shield” für die Plesk-Applikation ist ein Hohn! Wer Server-Shield erst mal installiert, wird feststellen, daß tatsächlich erst mal alles schneller geht, der Vorteil des CDNs eigentlich, aber dann später im laufenden Betrieb von Wochen und Monaten, nutzen dies insbesondere Hacker aus, um massiv Hackings zu betreiben, die eben nicht mehr auf dem Server gesperrt werden können und die eigentlich das “Server-Shield” abhalten sollte! Die Last mit Cloudflare auf den Hosts war deutlich höher, als die ohne Cloudflare und genau das Gegenteil hätte eigentlich sein sollen! Das ist dann auch der Trick, an dem Cloudflare dann verdient, nämlich Pakete und zusätzliche Leistungen zu verkaufen oder die Kunden dazu zu bewegen, die DNS-Zonen auf deren Server zu legen! Was dann auch wieder die Übertragung von Macht bedeutet!

    Natürlich hat jeder Kunde auch jetzt die Möglichkeit, seine Webseiten über Cloudflare zu cachen, wenn er die DNS-Verwaltung auf Cloudflare legt, nur ist Cloudflare nicht mehr in unseren Sicherheitssystemen white gelistet, was dann bei Hackings, die dann wieder über Cloudflare kommen, ggf. zur Sperrung der einzelnen IPs oder gesamter IP-Bereiche führen würde, wenn die Hacking-Attacken wieder von vielen IPs aus dem Cloudflare-Netz kommen würden. Ähnlich wie bei Bad-Proxy-(oder Bot-)Netzen!

    Schade nur im Nachhinein, daß wir diese Erfahrungen machen mussten!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.