Comment sécuriser le nœud de cuisson des attaques comme DDO?

Question

Comment sécuriser le nœud de cuisson des attaques comme DDO?

- 19
- 373 2019-01-31
Je veux savoir quelsportset protocoles utilisent Tezos-noeudet Bakerpour queje puisse activer uniquement lesportset lesprotocoles demonparamètre depare-feupourempêchertoute attaque DDO surmon serveur.

I want to know what ports and protocols tezos-node and baker uses so that i can enable only those ports and protocols in my firewall setting to prevent any DDos attack on my server.

node setup baking-node

3 réponses

votes

- 11
- 2019-02-01
@xtzbakerest surplace avec lesports utiliséspar lenœud. Prévenir les DDOpour lenœud de cuissonest également l'une des raisonspour lesquelles la configuration laplus courantepour la cuissonest d'avoir unnœud de cuissonprivé avec desnœudspublics de confiance.

Fondamentalement,nous avons un seulnoeud que leboulangeret l'endosseur utiliseet ilest configurépour être sur Modeprivé . Lemodeprivé refusera les connexions des autreset informera également sespairs dene pas diffuser l'existence dunœud à leurspairs. Afin debien gardernotrenœudprivéprivé,lespairs dunœudprivé doivent être confiés àne pas révéler lapropriétéintellectuelle de votrenœudprivé. Cela signifie que votrenœudprivé doit définir despairsexplicites à desnœuds de confiance (par opposition à simplement laisser lenœud choisir despairs disponibles sur le réseau).

Qu'est-ce que cela signifiepour qu'unnoeud soit digne de confiance? Ehbien,cela varie d'unepersonne à lapersonne dépendant de votreniveau de risque accepté. Mais si vous voulez vraimentfaire confiance à unnœud,le seulmoyenest de lesposséder vous-même. Cela dit,denombreuxboulangers acceptent lafondation desnœudspublicspour être suffisamment dignes de confiance.

@xtzbaker is spot on with the ports that the node uses. Preventing DDoS for the baking node is also one of the reasons that the most common setup for baking is to have a private baking node with trusted public nodes.

Basically, we have a single node that the baker and endorser uses and it's configured to be on private mode. Private mode will disallow connections from others and also tell its peers to not broadcast the node's existence to their peers. In order to truly keep our private node private, the private node's peers must be trusted to not reveal your private node's ip. This means your private node needs to set explicit peers to trusted nodes(as opposed to just let the node choose any available peers on the network).

What does it mean for a node to be trustworthy? Well, it varies from person to person depending on your accepted level of risk. But if you want to truly trust a node, the only way is to own them yourself. That said, many bakers accept the foundation public nodes to be trustworthy enough.
- Mercipour lesinformations sur la configuration.Pouvez-vousexpliquer commentfaire cetensembleen utilisant desimages Docker.Je vois que lefichier Mainnet.sh atoutes les configurationspar défaut,mais commentmodifier la configurationpour avoir une configuration commeexpliquéepar vous?Iln'y apasbeaucoup d'informations sur la configurationeffectuée à l'aide d'images Docker.
  
  Thanks for the information about the setup. Can you explain how to do this set using docker images. I see that mainnet.sh file has all the default configurations but how to modify those configuration to have a setup as explained by you? There is not much information regarding setup done using docker images.
  - 0
  - 2019-02-03
  - Sachin Tomar
- Jen'utiliserais actuellementpas Dockerpour lenœudprivé de cuisson,en particulier des raisons d'utiliser ungrand livre.Maispourfaçonner lesnœudspublics,l'utilisation de conteneurs Dockerestbeaucoupplusfacile àmaintenir.L'équipe CORE DEV lesmaintient activement,à laplupart desminutes de la dernièremarche sur labranche Mainnet.Vouspouvez utiliser le [Mainnet.sh] (https://gitlab.com/tezos/tezos/blob/tzo/tezos/blob/mainnet/scripts/alphanet.sh),maisje trouveexécuter une configuration de Docker-composepersonnaliséefonctionnemieux,[C'est ce que c'est quoiJ'utilise] (https://gist.github.com/sirneb/8419E41AEA4F2D5770555301006CEA20).
  
  I currently wouldn't use docker for the baking private node, specifically reasons with using a ledger. But for frontend public nodes, using docker containers is much easier to maintain. The core dev team actively maintains them, at most only minutes behind latest on the mainnet branch. You could use the [mainnet.sh](https://gitlab.com/tezos/tezos/blob/mainnet/scripts/alphanet.sh), but I find running a custom docker-compose setup works better, [this is what I use](https://gist.github.com/sirneb/8419e41aea4f2d5770555301006cea20).
  - 1
  - 2019-02-04
  - Frank
- 5
- 2019-02-04
Vouspouvez également ajouter une couche supplémentaire de sécuritéen présentant la connexion Internet de votrenœudtraverser un VPNprotégé DDOS,comme Octovpn HTTPS://octovpn.com

You could also add an extra layer of security by having your node's internet connection go through a DDoS protected VPN, like OctoVPN https://octovpn.com
- D'accord,je pense aussi que la questionportait sur laprotection contre les DDOet nonpas la question desports:
  
  Agree, I also think that the question was about protecting against DDOS and not so much the question of ports:
  - 0
  - 2019-02-04
  - jdsika
- https://www.cloudflare.com/dddos/
  
  https://www.cloudflare.com/ddos/
  - 0
  - 2019-02-04
  - jdsika

xtzbaker · Accepted Answer · 2019-01-31

20

2019-01-31

9732est leportpar défautpour les connexions P2P,peut être remplacépar --net-addr=ADDR:PORT lors du démarrage dunœud
8732est leportpar défaut des connexions RPC,peut être remplacépar --rpc-addr=ADDR:PORT
Tous les réseaux utilisent TCP.

Si vous utilisez iptables Les règles ci-dessous doivent suffirepour les Tezos spécifiquement.

Sachez que vous devrez autoriser d'autres services réseaunon Tezostels que DNS,NTP,DHCPen fonction de votre configuration.

 # Allow Tezos RPC
iptables -A INPUT -p tcp --dport 8732 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp --sport 8732 -m conntrack --ctstate ESTABLISHED -j ACCEPT

# Allow Tezos P2P connections
iptables -A INPUT -p tcp --dport 9732 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp --dport 9732 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp --sport 9732 -m conntrack --ctstate ESTABLISHED -j ACCEPT

9732 is the default port for P2P connections, can be overridden with --net-addr=ADDR:PORT when starting the node
8732 is the default port for RPC connections, can be overridden with --rpc-addr=ADDR:PORT
All networking uses TCP.

If using iptables the below rules should suffice for tezos specifically.

Be aware you will need to allow other non tezos network services like DNS,NTP,DHCP depending on your configuration.

# Allow Tezos RPC
iptables -A INPUT -p tcp --dport 8732 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp --sport 8732 -m conntrack --ctstate ESTABLISHED -j ACCEPT

# Allow Tezos P2P connections
iptables -A INPUT -p tcp --dport 9732 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp --dport 9732 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp --sport 9732 -m conntrack --ctstate ESTABLISHED -j ACCEPT

Mais lafermeture desportsinutilisésne sauvegarderapas unboulanger d'un DDO,n'est-cepas?Lamanière standard defaire c'estpourmasquer unboulanger (dans la configuration denœudprivé) derrière un certainnombre denœudspublics.Cela signifie que unboulangerne peutpas être ciblé directementet que lesnœudspublicspeuvent être échantillonnés s'ilexiste un DDO actif.

But closing unused ports won't safeguard a baker from a DDOS, will it? The standard way of doing that is to hide a baker (in private node config) behind a number of public nodes. Doing so means a baker can't be directly targeted and public nodes can be swapped out if there is an active DDOS.
- 3
- 2019-02-01
- latte_jed
Vous êtes correct,je suppose que l'OP dispose de 2 questions à répondre - une sur DDOet une sur lesports Tezos.La question devrait être scindéeen deuxen conséquence.

You are correct, I guess the OP actually has 2 questions to be answered - one on DDOS and one on Tezos ports. The question ought to be split in two accordingly.
- 1
- 2019-02-02
- xtzbaker
Lorsqu'unnœudesten modeprivé,ilest égalementpossible dene pas autoriser les connexionsentrantes sur leport 9732et depermettre uniquement les connexionsentrantes associéeset établies.Lenœudprivén'établira que des connexions à desnœuds de confiance detoutefaçonet d'autresnœudsnon approuvésne pourrontpas se connecter.

When a node is in private mode, it is also possible to not allow incoming connections on port 9732 and to only allow related and established incoming connections. The private node will only establish connections to trusted nodes anyway and other, non-trusted nodes will not be able to connect.
- 0
- 2019-02-04
- cryptodad