GateKeeper от BlackWall (BotGuard)

GateKeeper — это решение от компании Blackwall (BotGuard) для хостинг-провайдеров, которое защищает сайты от вредоносного трафика. 

Принцип работы

GateKeeper представляет собой обратный-прокси сервер с функциями фильтрации. Он устанавливается на отдельном сервере и принимает запросы к сайтам пользователей хостинга. Запросы фильтруются на основании поведенческого, статистического и сигнатурного анализа и заданных правил: легитимные передаются на обработку веб-серверу хостинга, а вредоносные блокируются. Это позволяет снизить нагрузку на хостинг и повысить его надежность.

 GateKeeper защищает от:

• DDoS-атак на уровне приложений
• вредоносных ботов
• вредоносных скриптов
• SQL-инъекций и т. д.

Подробнее о работе GateKeeper — на официальном сайте Blackwall.

Возможности модуля GateKeeper

Ограничения GateKeeper

Максимальное количество сайтов в панели ispmanager, для которых доступна фильтрация:

• в платной версии GateKeeper, заказанной у стороннего провайдера, — 10
• в платной версии GateKeeper, заказанной у ispmanager, — до 1000, в зависимости от того, сколько сайтов было выбрано при покупке лицензии

Мониторинг доступен для неограниченного количества сайтов и в платной, и в бесплатной версиях. 

Требования GateKeeper

Для работы модуля GateKeeper необходимы панель ispmanager и сервер с установленным GateKeeper.

Панель ispmanager: версия 6.137 и выше.

Сервер для установки GateKeeper:

• чистый сервер, т. е. без дополнительного ПО
• ОС: Debian 12 и выше

Заказ GateKeeper

Для работы как с платной, так и с бесплатной версией GateKeeper его необходимо заказать. Заказ доступен в личном кабинете ispmanager и через интерфейс панели.

После покупки установите модуль.

Установка GateKeeper

Для работы с GateKeeper необходимо установить: 

• модуль в панели
• API-сервер GateKeeper на отдельном сервере

Модуль в панели ispmanager

1. Авторизуйтесь в панели под учетной записью уровня администратор или выше.
2. Перейдите в раздел Модули.
3. В списке модулей найдите Blackwall.
4. Нажмите Установить.

API-сервер GateKeeper

1. Подключитесь к серверу для установки GateKeeper по SSH.

2. Импортируйте ключ цифровой подписи пакетов Blackwall:

   apt-get update && apt install -y sudo curl gpg ca-certificates lsb-release apt-utils apt-transport-https
   curl -fsSL https://repo.botguard.net/botguard.gpg | gpg --dearmor > /usr/share/keyrings/botguard.gpg

3. Добавьте тестовый репозиторий Blackwall в список репозиториев вашей системы:

   echo "deb [signed-by=/usr/share/keyrings/botguard.gpg] https://repo.botguard.net/test/debian $(lsb_release -cs) gatekeeper" | tee /etc/apt/sources.list.d/botguard-gatekeeper.list

   Или используйте рабочий репозиторий:

   echo "deb [signed-by=/usr/share/keyrings/botguard.gpg] https://repo.botguard.net/debian $(lsb_release -cs) gatekeeper" | tee /etc/apt/sources.list.d/botguard-gatekeeper.list

4. Установите последнюю версию Blackwall GateKeeper:

   apt update

   apt install botguard-gatekeeper

5. Когда установщик предложит сохранить текущие правила iptables и список ipset в файлы, выберите «No»:

   

   

   

6. Перезагрузите сервер, чтобы применить изменения в операционной системе:

   reboot

После установки настройте модуль в панели.

Настройка подключения к GateKeeper

1. Авторизуйтесь в панели под учетной записью уровня администратор или выше.
2. Перейдите в раздел Модули.
3. В списке модулей найдите Blackwall.

4. Нажмите Настроить.

   

5. В блоке Настройки API Blackwall GateKeeper заполните параметры подключения к API-серверу GateKeeper. Обязательные поля отмечены звездочками.
   • API-ключ Blackwall GateKeeper* — API-ключ для подключения к GateKeeper. Поле доступно, если модуль заказан у стороннего провайдера.
   • API URL Blackwall GateKeeper* — ссылка на ваш API-сервер GateKeeper, по умолчанию — http://IP-АДРЕС_СЕРВЕРА.
   • Ссылка на покупку — ссылка для заказа платной версии GateKeeper или покупки защиты для большего числа доменов. Ссылка будет показываться пользователю при обнаружении вредоносного трафика к его сайтам.
6. Нажмите Сохранить.

После настройки включите модуль для пользователей и сайтов.

Включение GateKeeper

Для пользователей

1. Авторизуйтесь в панели под учетной записью уровня реселлер или выше.
2. Перейдите в раздел Пользователи.
3. Выберите одного или нескольких пользователей.
4. Нажмите на панели инструментов.
5. В настройках пользователя в блоке Ограничения в поле Сайтов под защитой Blackwall укажите количество сайтов, которые пользователь сможет добавить под защиту Blackwall.

6. Нажмите Сохранить.

   

Для сайтов

1. Авторизуйтесь в панели под учетной записью уровня пользователь или выше.
2. Перейдите в раздел Сайты.
3. Выберите один или несколько сайтов.
4. Нажмите на панели инструментов.
5. В блоке Оптимизация и защита от DDoS:
   • установите галочку Включить защиту Blackwall для сайта
   • в поле Защита домена выберите режим работы GateKeeper. Режим работы можно изменить в любой момент.
     • Только мониторинг — весь трафик будет анализироваться, но не будут применяться действия фильтрации, т. е. все запросы будут пропускаться. Пользователю будут доступны просмотр статистики и отчета GateKeeper.
     • Полная защита — трафик будет анализироваться и к нему будут применяться действия фильтрации. Пропускаться будут только легитимные запросы. Пользователю будут доступны просмотр статистики и отчета GateKeeper, а также настройка правил для сайта и кастомных правил.

6. Нажмите Сохранить.

   

При включении GateKeeper:

• Убедитесь, что защита от DDoS и перенаправление HTTP в HTTPS для сайтов отключены. При включенной защите от DDoS сервер с Gatekeeper может быть заблокирован, а перенаправление приведет к циклическим редиректам.
• IP-адреса в A- и AAAA-записях домена сайта в панели ispmanager автоматически заменятся на IP-адреса сервера с GateKeeper. 

Настройка правил GateKeeper

Доступны 3 уровня правил GateKeeper:

• глобальные правила — настраиваются администратором на уровне сервера ispmanager и действуют для всех сайтов в панели по умолчанию
• правила сайтов — настраиваются на уровне сайта и переопределяют глобальные правила
• кастомные правила — настраиваются на уровне сайта и переопределяют правила сайтов

Глобальные правилаПравила сайтовКастомные правила

Глобальные правила позволяют настроить действия для запросов на основании категории, к которой их отнес Blackwall.

1. Авторизуйтесь в панели под учетной записью уровня администратор или выше.
2. Перейдите в раздел Модули.
3. В списке модулей найдите Blackwall.
4. Нажмите Настроить.

5. В блоке Глобальные настройки Blackwall GateKeeper укажите действие по умолчанию для каждой категории трафика.

   Категории трафика

   • Люди — трафик, сгенерированный людьми
   • Поисковые системы — трафик, сгенерированный поисковыми системами
   • Подражающие людям — трафик, сгенерированный ботами, имитирующими людей
   • Нарушители правил безопасности — трафик, сгенерированный вредоносными скриптами
   • Социальные сети — трафик, сгенерированный ботами социальных сетей
   • Облачные сервисы — трафик, сгенерированный ботами облачных сервисов
   • Сборщики контента — трафик, сгенерированный сборщиками контента
   • Подозрительное поведение — подозрительный трафик
   Действия с категориями трафика

   • Разрешить — запросы этой категории будут разрешены и перенаправлены веб-серверу в ispmanager
   • Запретить — запросы этой категории будут заблокированы
   • Использовать CAPTCHA — для запросов этой категории будет проведена проверка с использованием CAPTCHA

   

6. Нажмите Сохранить.

Разработчики Blackwall рекомендуют: 

• разрешать трафик для категорий «Люди», «Поисковые системы», «Социальные сети» и «Облачные сервисы»
• запрещать трафик для категорий «Подражающие людям», «Нарушители правил безопасности», «Сборщики контента» и «Подозрительное поведение»

По умолчанию все запросы разрешены.

Правила сайтов позволяют настроить действия для запросов к конкретному сайту на основании категории, к которой их отнес Blackwall.

Настройка правил сайтов доступна, если для сайта включена полная защита.

1. Авторизуйтесь в панели под учетной записью уровня пользователь или выше.
2. Перейдите в раздел Сайты.
3. Выберите сайт.
4. Нажмите и выберите Установить правила фильтрации Blackwall.

5. Укажите действие для каждой категории трафика.

   Категории трафика

   • Люди — трафик, сгенерированный людьми
   • Поисковые системы — трафик, сгенерированный поисковыми системами
   • Подражающие людям — трафик, сгенерированный ботами, имитирующими людей
   • Нарушители правил безопасности — трафик, сгенерированный вредоносными скриптами
   • Социальные сети — трафик, сгенерированный ботами социальных сетей
   • Облачные сервисы — трафик, сгенерированный ботами облачных сервисов
   • Сборщики контента — трафик, сгенерированный сборщиками контента
   • Подозрительное поведение — подозрительный трафик
   Действия с трафиком

   • Разрешить — запросы этой категории будут разрешены и перенаправлены веб-серверу в ispmanager
   • Запретить — запросы этой категории будут заблокированы
   • Использовать CAPTCHA — для запросов этой категории будет проведена проверка с использованием CAPTCHA
6. Нажмите Сохранить.

Разработчики Blackwall рекомендуют: 

• разрешать трафик для категорий «Люди», «Поисковые системы», «Социальные сети» и «Облачные сервисы»
• запрещать трафик для категорий «Подражающие людям», «Нарушители правил безопасности», «Сборщики контента» и «Подозрительное поведение»

По умолчанию для сайта используются глобальные правила.

Кастомные правила нужны для более тонкой настройки фильтрации запросов к конкретному сайту по различным параметрам запросов. Создание кастомных правил доступно, если для сайта включена полная защита. 

После создания правило невозможно отредактировать, только удалить и создать заново.

1. Авторизуйтесь в панели под учетной записью уровня пользователь или выше.
2. Перейдите в раздел Сайты.
3. Выберите сайт.
4. Нажмите и выберите Кастомные правила фильтрации.
5. На открывшейся форме нажмите Создать.
6. Заполните поля:
7. Имя правила — укажите название правила
8. Добавить условие — нажмите, чтобы добавить условие для фильтрации запросов, и настройте его:

   • Поле — параметр входящих запросов

     Параметры

     • Домен — поддомен текущего домена, к которому поступил запрос.
     • URI — относительный адрес ресурса на текущем сайте, к которому поступил запрос. Например, чтобы добавить правило для адреса ресурса https://www.example.net/some/path/resource.html, укажите /some/path/resource.html.
     • HTTP-метод — HTTP-метод, использованный в запросе.
     • IP-адрес — IP-адрес, с которого поступил запрос.
     • ASN — ASN (номер автономной системы) в числовом формате, без «AS/ASN».
     • ISP — интернет-провайдер.
     • Страна — международный код страны в двухбуквенном формате, например «RU».
     • User-Agent — пользовательский агент, через который поступил запрос, например Google Chrome или curl.
     • Referrer URL — URL, с которого был совершен переход на сайт.
     • HTTP-заголовок — HTTP-заголовок запроса.

   • Условие — логическое условие, которое должно выполняться для параметра

     Условия

     • равно
     • не равно
     • содержит
     • не содержит
     • больше
     • меньше
     • есть любой из
     • соответствует выражению
   • Значение условия — значение параметра, которому должен соответствовать запрос

9. Действие — действие, которое будет выполняться, если запрос удовлетворяет условию

   Действия с запросами

   • Запретить — запрос будет заблокирован
   • Разрешить — запрос будет разрешен
   • Использовать CAPTCHA — будет выполнена проверка с использованием CAPTCHA
   • Перенаправить — запрос будет перенаправлен:
     • Путь перенаправления — укажите URL, на который будет перенаправлен запрос
   • Ограничить частоту запросов — будет ограничена частота запросов с IP-адреса, с которого поступил запрос:
     • Количество запросов — максимальное количество запросов, которое будет доступно с IP-адреса
     • Интервал — интервал времени:
       • в минуту
       • в час
       • в день
10. Нажмите Создать.

По умолчанию только что созданные правила выключены. Чтобы включить правило, выделите его в списке и нажмите на панели инструментов.

Админка Gatekeeper

После включения GateKeeper управление некоторыми настройками сайтов, например перенаправлением и кешированием, происходит в админке GateKeeper. Для выполнения настроек:

1. Авторизуйтесь в админке GateKeeper по адресу https://ДОМЕН_ИЛИ_IP-АДРЕС/.

   Подробнее

   ДОМЕН_ИЛИ_IP-АДРЕС — адрес сервера, на котором установлен GateKeeper.

2. Перейдите в раздел Domains.
3. Выберите домен сайта.
4. Настройте параметры:
   • Перенаправление:
     • Do not force subdomains redirect — не использовать перенаправление
     • Force redirect from www subdomain to primary domain — перенаправлять запросы к поддомену www на основной домен
     • Force redirect from primary domain to www subdomain — перенаправлять запросы к основному домену на поддомен www
   • Upstreams:
     • Use HTTPS for upstreams — подключаться к серверу с ispmanager по HTTPS. По умолчанию подключение выполняется по HTTP. Для подключения по HTTPS для домена в панели ispmanager или админке GateKeeper должен быть выпущен SSL-сертификат.

   • SSL Certificates:

     SSL-сертификат может быть выпущен для сайта как через панель управления, так и через GateKeeper.

     • Use free Let's Encrypt service to issue and keep certificates up to date (recommended) — выпустить сертификат Let's Encrypt (рекомендуется)
     • Use custom certificates — использовать существующий сертификат. Для загрузки сертификата используйте кнопки:
       • Certificate File — загрузить файл сертификата
       • Private Key File — загрузить секретный ключ сертификата
   • Website Options:
     • Internet protocols:
       • Enable HTTP/3 — использовать протокол HTTP/3
       • Force HTTPS — подключаться к сайтам под защитой GateKeeper по HTTPS
       • Enable Early Hints — отправлять браузеру код состояния HTTP 103, который позволяет начать предзагрузку критически важных  ресурсов (CSS, JavaScript, шрифты) до получения основного ответа от сервера. Это ускоряет отображение страниц для пользователей.
   • Content caching:
     • Enable static resources caching — включить кеширование статического контента
     • Enable dynamic resources caching — включить кеширование динамического контента
   • Security:
     • Enable bot protection — включить встроенные в GateKeeper WAF и сервис управления ботами для защиты от известных вредоносных ботов, сборщиков контента и автоматизированных атак
     • Mitigate DDoS attacks — включить защиту от DDoS посредством ограничения количества одновременных запросов и количества запросов в секунду к сайту с одного IP-адреса. Защита работает на уровне приложения (HTTP) и доступна, если установлена галочка Enable bot protection.
     • Advanced DDoS protection — включить защиту от DDoS посредством разрыва и игнорирования соединений с атакующего IP-адреса. Защита работает на уровне сети (TCP/IP) и доступна, если установлена галочка Mitigate DDoS attacks.

5. Нажмите Save Changes.

   

Следующие параметры сайтов настраиваются через интерфейс ispmanager:

• IP-адрес
• Используемые веб-скрипты
• SSL-сертификат

Статистика защиты GateKeeper

Статистика содержит данные о количестве запросов к сайтам, для которых включены защита или мониторинг GateKeeper, а именно:

• об общем количестве запросов
• о количестве заблокированных запросов
• о количестве разрешенных запросов 

Статистика позволяет проанализировать трафик к сайту и решить, требуется ли для него защита.

Доступны статистика по всем сайтам и для отдельного сайта.

По всем сайтамДля отдельного сайта

В зависимости от уровня доступа глобальная статистика содержит данные по всем сайтам с включенным GateKeeper:

• на уровне администратора — всех пользователей в панели ispmanager
• на уровне реселлера — всех пользователей этого реселлера
• на уровне пользователя — по всем сайтам этого пользователя 

Для просмотра:

1. Авторизуйтесь в панели под учетной записью уровня пользователь или выше.
2. На дашборде найдите блок Статистика Blackwall.

1. Авторизуйтесь в панели под учетной записью уровня пользователь или выше.
2. Перейдите в разделе Сайты.
3. Выберите сайт.
4. Нажмите и выберите Статистика защиты сайта Blackwall.

Отчет GateKeeper

Отчет содержит подробную информацию о каждом запросе к сайтам. 

Просмотр отчета доступен: 

• для всех сайтов
• для отдельного сайта

Отчет содержит следующие поля:

• Сайт/Имя — сайт, к которому был запрос
• Дата — дата запроса
• IP — IP-адрес, с которого поступил запрос
• Страна провайдера — страна интернет-провайдера
• User-Agent — пользовательский агент, через который поступил запрос
• Тип запроса — категория, к которой GateKeeper отнес запрос, например «Сборщики контента»
• Действие — действие, которое выполнил с запросом GateKeeper
• Тип лицензии — платная или бесплатная версия GateKeeper используется для сайта

Отключение лицензии GateKeeper

Если платная лицензия GateKeeper не была продлена, автоматически активируется бесплатная. Для сайтов в ispmanager, у которых была включена полная защита GateKeeper, будет активирован режим мониторинга.

Удаление GateKeeper

1. Авторизуйтесь в панели под учетной записью уровня администратор или выше.
2. Перейдите в раздел Модули.
3. В списке модулей найдите Blackwall.
4. Нажмите .

5. Подтвердите удаление.

   

При удалении модуля защита и мониторинг GateKeeper для сайтов выключаются, а информация о сайтах в GateKeeper удаляется.

Если до включения GateKeeper для сайтов были включены защита от DDoS и перенаправление HTTP в HTTPS, они автоматически включатся.

Параметры конфигурации GateKeeper

Параметры конфигурации Blackwall GateKeeper автоматически записываются в конфигурационный файл панели: /usr/local/mgr5/etc/ispmgr.conf:

Базы данных GateKeeper

Параметры защиты GateKeeper автоматически записываются в базу данных ispmanager в таблицы:

• bg_domain_assign — содержит данные о сайтах, для которых включен GateKeeper и режиме его работы. Поля:
  • webdomain — сайт
  • protection_mode — режим работы GateKeeper
• bg_domain_rules — содержит данные о правилах фильтрации, которые были заданы на уровне сайта. Поля:
  • webdomain — сайт
  • rule — правило для сайта
  • value — значение, выбранное для правила
• dg_custom_rules — содержит данные о кастомных правилах фильтрации. Поля:
  • webdomain — сайт
  • name — название правила
  • active — статус правила: включено/выключено
  • rules — полное правило в JSON
  • rule_action — действие правила