So sichern Sie den Backknoten von Angriffen wie DDOs?

Question

So sichern Sie den Backknoten von Angriffen wie DDOs?

- 19
- 373 2019-01-31
Ichmöchte wissen,welche Ports und Protokolle Tezos-Knoten und Baker verwendet,damitichnur den Anschlüssen und Protokollenin meiner Firewall-Einstellung aktivieren kann,umeinen DDOs-Angriff aufmeinen Server zu verhindern.

I want to know what ports and protocols tezos-node and baker uses so that i can enable only those ports and protocols in my firewall setting to prevent any DDos attack on my server.

node setup baking-node

3 Antworten

Stimmen

- 11
- 2019-02-01
@xtzbakeristmit den Anschlüssenfestgelegt,dass der Knoten verwendet. Die Verhinderung von DDOsfür den Backknotenist aucheiner der Gründe,warum sich das häufigste Setup zum Backenein privater Backknotenmit vertrauenswürdigen öffentlichen Knoten aufweist.

Grundsätzlich haben wireinen einzigen Knoten,den der Bäcker und der Endorer verwendet,undesist so konfiguriert,dasser auf Privatmodus . Derprivate Modus wird Verbindungen von anderennicht zulassen und sagen den Kollegen auch,dass der Knoten die Existenz des Knotens aufihre Kollegen übertragen wird. Um unserprivater Knotenprivat wirklich zu halten,müssen die Peaters desprivaten Knotens vertraut sein,umnicht den IP Ihresprivaten Knotens anzuzeigen. Diesbedeutet,dass Ihrprivater Knotenexplizite Kollegen an vertrauenswürdige Knotenfestlegenmuss (im Gegensatz dazu,dass der Knoteneinfach verfügbare Kollegenim Netzwerk auswählen kann).

Wasbedeutetes,dassein Knoten vertrauenswürdigist? Nun,es reicht von Person zu Person,abhängig von Ihrem akzeptierten Risiko. Wenn Siejedocheinem Knoten wirklich vertrauenmöchten,istes dereinzige Weg,sie selbst selbst zubesitzen. Das heißt,viele Bäcker akzeptieren die öffentlichen Knoten der Stiftung,um vertrauenswürdiggenug zu sein.

@xtzbaker is spot on with the ports that the node uses. Preventing DDoS for the baking node is also one of the reasons that the most common setup for baking is to have a private baking node with trusted public nodes.

Basically, we have a single node that the baker and endorser uses and it's configured to be on private mode. Private mode will disallow connections from others and also tell its peers to not broadcast the node's existence to their peers. In order to truly keep our private node private, the private node's peers must be trusted to not reveal your private node's ip. This means your private node needs to set explicit peers to trusted nodes(as opposed to just let the node choose any available peers on the network).

What does it mean for a node to be trustworthy? Well, it varies from person to person depending on your accepted level of risk. But if you want to truly trust a node, the only way is to own them yourself. That said, many bakers accept the foundation public nodes to be trustworthy enough.
- Quelle
- Frank
- Vielen Dankfür die Informationen zum Setup.Können Sieerklären,wie Sie dieses Gerätmit Docker-Bildern ausführen.Ich sehe,dass die MainNet.sh-Datei alle Standardkonfigurationen hat,aber wie Sie diese Konfiguration ändern,umein Setup zu haben,das von Ihnenerläutert wird?Esgibt nicht viele Informationen zum Setupmit Docker-Bildern.
  
  Thanks for the information about the setup. Can you explain how to do this set using docker images. I see that mainnet.sh file has all the default configurations but how to modify those configuration to have a setup as explained by you? There is not much information regarding setup done using docker images.
  - 0
  - 2019-02-03
  - Sachin Tomar
- Ich würde derzeit kein Dockerfür den Backen-Private-Knoten verwenden,insbesonderemit einem Ledger-Gründen.Bei Frontend Public-Knotenist die Verwendung von Docker-Containernjedoch vieleinfacher zu warten.Das Core Dev-Team unterhält sie aktiv,höchstensnur wenige Minuten hinter dem Hauptnetzzweig.Sie können das [MainNet.sh] (https://gitlab.com/tezos/tezos/blob/mainnet/scripts/alphanet.sh) verwenden,aberichfinde,dassein benutzerdefinierter Docker-Compose-Setupbesserfunktioniert,funktioniertbesser,[dasist wasIchbenutze] (https://gist.github.com/sirneb/8419E41a4f2D5770555301006CeA20).
  
  I currently wouldn't use docker for the baking private node, specifically reasons with using a ledger. But for frontend public nodes, using docker containers is much easier to maintain. The core dev team actively maintains them, at most only minutes behind latest on the mainnet branch. You could use the [mainnet.sh](https://gitlab.com/tezos/tezos/blob/mainnet/scripts/alphanet.sh), but I find running a custom docker-compose setup works better, [this is what I use](https://gist.github.com/sirneb/8419e41aea4f2d5770555301006cea20).
  - 1
  - 2019-02-04
  - Frank
- 5
- 2019-02-04
Sie könnten aucheine zusätzliche Sicherheitsschicht hinzufügen,indem Sie die Internetverbindung Ihres Knotens durchein DDOs-geschütztes VPN durchführen,wie OCTOVPN https://octovpn.com

You could also add an extra layer of security by having your node's internet connection go through a DDoS protected VPN, like OctoVPN https://octovpn.com
- Ichbin damiteinverstanden,ich denke auch,dass die Fragebeim Schutzgegen DDOs war undnicht so sehr die Frage von Häfen:
  
  Agree, I also think that the question was about protecting against DDOS and not so much the question of ports:
  - 0
  - 2019-02-04
  - jdsika
- https://www.cloudflare.com/ddos/
  
  https://www.cloudflare.com/ddos/
  - 0
  - 2019-02-04
  - jdsika

xtzbaker · Accepted Answer · 2019-01-31

20

2019-01-31

9732 ist der Standardportfür P2P-Anschlüsse,kannmit -net-addr=addr überschrieben werden: Port beim Starten des Knotens
8732 ist der Standardportfür RPC-Verbindungen,kannmit - rpc-adr=adr: Port
Alle Networking verwendet TCP.

Wenn Siemit Iptables diefolgenden Regeln verwenden,sollten diefolgenden Regelnfür Tezos speziell ausreichen.

Beachten Sie,dass Sie andere Nicht-Tezos-Netzwerkdienste wie DNS,NTP,DHCPin Abhängigkeit von Ihrer Konfiguration zulassenmüssen.

  # Erlauben Sie Tezos RPC
iptables -ainput -ptcp --dport 8732 -m condtrack --ctStateneu,etabliert -j akzeptieren
iptables -a output -ptcp --sport 8732 -m conntrack --ctStateetabliert -j akzeptieren

# Erlauben Sie Tezos P2P-Verbindungen
iptables -ainput -ptcp --dport 9732 -m condtrack --ctState Neu,etabliert -j akzeptieren
iptables -a output -ptcp --dport 9732 -m condtrack --ctState Neu,etabliert -j akzeptieren
iptables -a output -ptcp --sport 9732 -m condtrack --ctStateetabliert -j akzeptieren

9732 is the default port for P2P connections, can be overridden with --net-addr=ADDR:PORT when starting the node
8732 is the default port for RPC connections, can be overridden with --rpc-addr=ADDR:PORT
All networking uses TCP.

If using iptables the below rules should suffice for tezos specifically.

Be aware you will need to allow other non tezos network services like DNS,NTP,DHCP depending on your configuration.

# Allow Tezos RPC
iptables -A INPUT -p tcp --dport 8732 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp --sport 8732 -m conntrack --ctstate ESTABLISHED -j ACCEPT

# Allow Tezos P2P connections
iptables -A INPUT -p tcp --dport 9732 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp --dport 9732 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp --sport 9732 -m conntrack --ctstate ESTABLISHED -j ACCEPT

Abernichtgenutzte Ports schließen sich keinen Bäcker auseinem DDOs,oder?Die Standard-Art,dabei zu dabeiist,einen Bäcker (inprivater Knotenkonfiguration) hintereiner Reihe öffentlicher Knoten auszublenden.Diesbedeutet,dassein Bakernicht direkt angerufen werden kann,und öffentliche Knoten können ausgetauscht werden,wennein aktiver DDOs vorhandenist.

But closing unused ports won't safeguard a baker from a DDOS, will it? The standard way of doing that is to hide a baker (in private node config) behind a number of public nodes. Doing so means a baker can't be directly targeted and public nodes can be swapped out if there is an active DDOS.
- 3
- 2019-02-01
- latte_jed
Sie sind richtig,ich denke,der OP hattatsächlich 2 Fragen,diebeantwortet werden sollen -eins auf DDOs undeiner auf Tezos-Ports.Die Frage solltein zweientsprechend aufgeteilt werden.

You are correct, I guess the OP actually has 2 questions to be answered - one on DDOS and one on Tezos ports. The question ought to be split in two accordingly.
- 1
- 2019-02-02
- xtzbaker
Wenn sichein Knotenim privaten Modusbefindet,können auch keine ankommenden Verbindungen am Port 9732 zulässt undnur damit verbundene undetablierte ankommende Verbindungen zulassen.Derprivate Knotenetabliert sowiesonur Verbindungen zu vertrauenswürdigen Knoten und andere,nicht vertrauenswürdige Knoten können keine Verbindung herstellen.

When a node is in private mode, it is also possible to not allow incoming connections on port 9732 and to only allow related and established incoming connections. The private node will only establish connections to trusted nodes anyway and other, non-trusted nodes will not be able to connect.
- 0
- 2019-02-04
- cryptodad