Dwa lata temu w Cloudflare pojawiła się usługa Spectrum, pozwalająca objąć ochroną nie tylko ruch HTTP (port 80) i HTTPS (port 443), ale właściwie każdy inny, czy to TCP, czy UDP, na właściwie dowolnym porcie (0/1-65535). Choć zwrot „pojawiła się” to może lekkie nadużycie, bo usługa była (i nadal jest) dostępna tylko w najwyższym planie, czyli Enterprise, którego nawet nie znam ceny, bo ona jest ustalana indywidualnie (w każdym razie w cenniku się kosztem usługi w tym wariancie nie chwalą). Od wczoraj sytuacja się trochę zmieniła, bo usługa pojawiła się we wszystkich płatnych planach. Z tym że w dość mocno ograniczonej formule…
Spis treści w artykule
Ochrona SSH, RDP i Minecraft z Cloudflare Spectrum
O ile plan Enterprise zapewne dla większości czytelników – poza tymi, co pracują w dużych korpo – jest niedostępny, to pozostałe plany – zwłaszcza Pro, kosztujący 20 dolarów miesięcznie – są już bardziej dostępne, i choćby w przypadku jakiegoś projektu eCommerce (np. sklep internetowy) można go rozważyć. W każdym razie, by korzystać z usługi Spectrum w Cloudflare płatny plan dla danej domeny będzie wymagany (w Cloudflare dla każdej domeny mamy oddzielne rozliczanie).
I jak już wspomniałem, usługa w planach innych niż Enterprise pojawiła się z pewnymi – a nawet można powiedzieć, że z dość sporymi – ograniczeniami. O ile w planie Enterprise właściwie nie mamy żadnych ograniczeń, to w niższych planach takie ograniczenia już występują:
- Cloudflare Pro (20 $ miesięcznie): SSH i Maincraft, oraz 5 GB bezpłatnego transferu miesięcznie (per usługa) i maksymalnie 10 połączeń w tym samym czasie
- Cloudflare Business (200 $ miesięcznie): SSH, Maincraft i RDP, oraz 10 GB bezpłatnego transferu miesięcznie (per usługa) i maksymalnie 100 połączeń w tym samym czasie
Tak więc mamy tu ograniczenie do 2 lub 3 (zależnie od planu) usług, które możemy chronić za pomocą Cloudflare: – połączenie SSH, serwer Maincrafta i w planie Business dodatkowo RDP, czyli zdalny pulpit (Remote Desktop Protocol). Do tego na każdą usługę mamy bezpłatnie 5 GB miesięcznie w planie Pro, oraz 10 GB w Business (choć u mnie wyświetla się informacja o 20 GB). Każdy dodatkowy gigabajt kosztuje 1 dolara. I powiedzmy, że w przypadku SSH, jeśli nie będziemy szaleć po SCP, powinno wystarczyć, to już RDP może być mało, a co dopiero w przypadku serwera Maincrafta. Choć z drugiej strony, w przypadku Maincrafta, z oferty skorzystają pewnie osoby, które tego typu serwery prowadzą komercyjnie i szukają dodatkowej ochrony.
(za)Prosta konfiguracja i (za)duże ograniczenia ilościowe
Dla mnie ważniejszym ograniczeniem, większym problemem jest dość uboga możliwość konfiguracji usługi, która na obecną chwilę wyklucza np. korzystanie z ochrony SSH w przypadku korzystania z innego portu niż domyślny (22):
Kolejne ograniczenie, które bym odczuł, gdyby nie zatrzymał mnie problem z portem w SSH, to możliwość zdefiniowania tylko jednego połączenia każdego typu.
Rozumiem, ze usługa musi się czymś różnić od wersji dostępnej w planach Enterprise (choć wątpię, by ktoś z użytkowników usługi Cloudflare w tym wariancie miał przejść na niższy pakiet, bo pojawiła się tam usługa Spectrum w pełnej formule ;-)), ale tu chyba jednak trochę przesadzili z ograniczeniami. Kwestię portu jeszcze mogę zrozumieć, bo gdyby dali dowolny, to byłaby to już nie opcja SSH, a właściwie dowolna (ale czy to byłoby aż takie złe? ;-)). Kwestię ograniczenia ilościowego już rozumiem mnie, bo np. plan Business to już zazwyczaj „poważniejsze” strony, więc często też nie jeden serwer, a kilka, a tym samym nie jedno połączenie SSH, a kilka…
W każdym razie w obecnej formule z usługi raczej nie skorzystam – jedno połączenie SSH mnie nie urządza, do tego brak możliwości zmiany porty na inny wręcz wyklucza u mnie taką możliwość, a zarazem z DDoSem choćby na SSH całkiem nieźle radzi sobie duet „inny niż domyślny port” i Fail2Ban.
- Home Assistant 2024.10, czyli nowa karta „nagłówek” i niedziałający TTS w ramach usługi Google Cloud - 1970-01-01
- Zero Trust od Cloudflare, czyli prosty i bezpieczny sposób na dostęp do lokalnych zasobów z zewnątrz, bez publicznego adresu IP i otwierania portów na routerze - 1970-01-01
- Home Assistant i integracja z IMGW-PIB, czyli tworzymy automatyzację z powiadomieniami bazując na sensorach zagrożenie i alarm powodziowy - 1970-01-01