tutoriales.com

Configurando Cloudflare Spectrum: Protección DDoS y Aceleración para Servicios No Web

Cloudflare Spectrum es una potente solución que extiende la protección y el rendimiento de Cloudflare a servicios basados en TCP/UDP, más allá del tráfico HTTP/S. Este tutorial te guiará a través de la configuración de Spectrum para proteger y acelerar aplicaciones como servidores de juegos, SSH, RDP y VPN contra ataques DDoS y mejorar la latencia.

Intermedio15 min de lectura7 views
Reportar error

🚀 Introducción a Cloudflare Spectrum

En el mundo digital actual, la seguridad y el rendimiento son cruciales para cualquier servicio conectado a internet. Mientras que Cloudflare es ampliamente conocido por su protección y optimización de sitios web (tráfico HTTP/S), muchos servicios esenciales operan bajo protocolos diferentes, como TCP y UDP. Aquí es donde Cloudflare Spectrum entra en juego, ofreciendo una capa de seguridad y aceleración para todo tipo de tráfico de red, no solo HTTP/S.

Spectrum actúa como un proxy inverso para el tráfico TCP/UDP, similar a cómo Cloudflare actúa para HTTP. Esto significa que todo el tráfico dirigido a tus servicios pasa primero por la red global de Cloudflare, beneficiándose de su vasta capacidad de mitigación DDoS, equilibrio de carga y optimización de latencia. Es la solución ideal para proteger servidores de juegos, SSH, RDP, VPNs y otras aplicaciones críticas que no son HTTP.

¿Por qué necesitas Cloudflare Spectrum? 🤔

  • Protección DDoS avanzada: Defiende tus servicios contra ataques DDoS de capa 3/4, que pueden paralizar tu infraestructura y dejar tus usuarios desconectados.
  • Ocultar la IP de origen: Tu servidor real permanece oculto detrás de la red de Cloudflare, protegiéndolo de ataques directos y escaneos de puertos maliciosos.
  • Aceleración de rendimiento: Aprovecha la red global de Cloudflare para enrutar el tráfico de tus usuarios a través de la ruta más rápida y con menor latencia.
  • Equilibrio de carga: Distribuye el tráfico entre múltiples servidores de origen para mejorar la disponibilidad y escalabilidad.
  • Flexibilidad: Protege cualquier servicio que utilice TCP o UDP.
🔥 Importante: Cloudflare Spectrum es un producto de pago y suele estar disponible en los planes Enterprise de Cloudflare, o como un complemento para planes Pro/Business específicos. Asegúrate de verificar tu plan y las opciones disponibles en tu cuenta de Cloudflare.

🛠️ Requisitos Previos

Antes de sumergirnos en la configuración, asegúrate de tener lo siguiente:

  • Una cuenta de Cloudflare activa: Con un dominio añadido y configurado (al menos en un plan Pro o Business, o con acceso a Spectrum).
  • Acceso al panel de Cloudflare: Para gestionar la configuración de Spectrum.
  • Un servidor de origen: Donde se ejecuta el servicio que deseas proteger (por ejemplo, un servidor de juegos, un servidor SSH, etc.) con una dirección IP pública.
  • Puerto de servicio: Conocer el puerto o rango de puertos que utiliza tu servicio (ej. 22 para SSH, 25565 para Minecraft).
  • Conocimientos básicos de redes: Entender conceptos como IPs, puertos y DNS.

Estado de tu Preparación

Listo para empezar

📝 Configuración Básica de Spectrum Paso a Paso

La configuración de Spectrum implica definir un Application que especifica el tipo de tráfico que Cloudflare debe manejar y a dónde debe dirigirlo. Vamos a desglosar el proceso.

Paso 1: Acceder a la Configuración de Spectrum 🎯

  1. Inicia sesión en tu panel de Cloudflare.
  2. Selecciona el dominio para el cual deseas configurar Spectrum.
  3. En el menú lateral izquierdo, busca y haz clic en la opción Spectrum.
📌 Nota: Si no ves la opción Spectrum, es posible que tu plan actual no lo incluya o que necesites contactar a soporte de Cloudflare para habilitarlo.

Paso 2: Añadir una Nueva Aplicación (Application) ✨

Una vez en la sección de Spectrum, verás una interfaz para gestionar tus aplicaciones. Haz clic en Add an Application o Añadir aplicación.

Se te presentará un formulario para configurar los detalles de tu nueva aplicación Spectrum.

Detalles de Configuración 📖

Aquí es donde definirás cómo Spectrum proxy tu tráfico. Los campos clave son:

  • Application Type (Tipo de aplicación): Selecciona el tipo de servicio que estás protegiendo.

    • TCP: Para la mayoría de los servicios, como SSH, RDP, servidores de juegos (Minecraft, CS:GO), VPN (OpenVPN TCP), etc. Ofrece inspección de paquetes, mitigación DDoS y aceleración.
    • UDP: Para servicios que requieren baja latencia y no establecen una conexión persistente, como algunos juegos (CS:GO UDP, Mumble), VPN (OpenVPN UDP), DNS. La protección DDoS para UDP es más limitada pero efectiva.
    💡 Consejo: Si no estás seguro, la mayoría de los juegos y servicios usan TCP por defecto, pero algunos componentes pueden usar UDP. Consulta la documentación de tu aplicación.

  • DNS Name (Nombre DNS): El nombre de host que tus usuarios usarán para conectarse al servicio (ej. juego.tudominio.com, ssh.tudominio.com). Este es un registro DNS que Spectrum creará automáticamente como CNAME o A apuntando a la infraestructura de Cloudflare.

  • Port (Puerto): El puerto o rango de puertos que Spectrum debe escuchar en el lado de Cloudflare. Por ejemplo, 22 para SSH, 25565 para Minecraft. Puedes especificar un puerto único (22), un rango (8000-9000) o all (todos los puertos).

    • ⚠️ Advertencia: Usar `all` los puertos puede ser conveniente, pero también expone más superficie de ataque. Es recomendable especificar solo los puertos necesarios.

  • Origin Type (Tipo de origen): Cómo Spectrum debe conectar con tu servidor real.

    • IP Address (Dirección IP): La IP pública de tu servidor de origen. Es la opción más común.
    • Hostname (Nombre de host): Si tu servidor de origen tiene un nombre de host público (ej. un balanceador de carga de AWS), puedes usarlo aquí.

  • Origin Address (Dirección de origen): La dirección IP o nombre de host de tu servidor real. Aquí pondrás la IP pública de tu servidor de juegos, SSH, etc.

  • Origin Port (Puerto de origen): El puerto en tu servidor real donde el servicio está escuchando. A menudo es el mismo que el puerto de entrada, pero puede ser diferente si estás haciendo reenvío de puertos interno. Por ejemplo, si los usuarios se conectan al puerto 22 en Cloudflare, pero tu servidor escucha en 2222, pondrías 2222 aquí.

  • Proxy Protocol (Protocolo Proxy): Una característica avanzada que permite a tu servidor de origen recibir la dirección IP real del cliente que se conecta a través de Spectrum. Esto es crucial para logs, baneos por IP y otras funciones que dependen de la IP del cliente. Si tu aplicación de origen lo soporta (muchos servidores de juegos modernos, Nginx, HAProxy lo hacen), es altamente recomendable habilitarlo.

  • IP Access Rules (Reglas de acceso IP): Puedes definir reglas de firewall a nivel de Spectrum para permitir o bloquear IPs específicas o rangos de IPs. Esto se suma a la protección DDoS de Cloudflare.

  • Edge Port (Puerto de borde): Especifica el puerto o los puertos en los que Cloudflare escuchará las conexiones entrantes para esta aplicación Spectrum. Puedes usar un único puerto, un rango o "todos". Es crucial que el puerto que uses no esté ya en uso por otros servicios en Cloudflare o en tu dominio (ej. si tienes HTTP en el puerto 80, no lo uses para Spectrum a menos que sepas lo que haces y tu servicio escuche HTTP/S).

Aquí tienes un ejemplo práctico para un servidor de Minecraft (TCP, puerto 25565):

CampoValor de Ejemplo
Application TypeTCP
DNS Namemc.tudominio.com
Port25565
Origin TypeIP Address
Origin Address203.0.113.42 (La IP real de tu servidor)
Origin Port25565
Proxy ProtocolEnabled (Si tu servidor Minecraft lo soporta)
IP Access RulesDejar en blanco o configurar según necesidad
1. Configurar los campos: Rellena todos los detalles de tu servicio.
2. Revisar la configuración: Asegúrate de que todos los puertos e IPs sean correctos.
3. Guardar la aplicación: Haz clic en "Save" para activar Spectrum para tu servicio.

Paso 3: Configuración Adicional y Verificación ✅

Una vez guardada la aplicación, Cloudflare comenzará a proxy el tráfico. Pueden pasar unos minutos hasta que los cambios se propaguen por la red global de Cloudflare.

Actualización de DNS

Cloudflare Spectrum automáticamente crea o modifica un registro DNS para el DNS Name que especificaste (ej. mc.tudominio.com). Este registro apuntará a la infraestructura de Cloudflare. No necesitas crear un registro A o CNAME manualmente para mc.tudominio.com que apunte a la IP de tu servidor si ya lo hiciste en la configuración de Spectrum.

Prueba de Conexión

Intenta conectarte a tu servicio usando el nuevo nombre de host configurado en Spectrum (ej. mc.tudominio.com). Si todo está correcto, deberías poder conectarte sin problemas.

graph TD
    A[Usuario Final] -->|Conecta a mc.tudominio.com:25565|
    B(Cloudflare DNS) --> C[Cloudflare Edge - Spectrum]
    C -->|Mitigación DDoS| C
    C -->|Proxy TCP/UDP| D(Servidor de Origen: 203.0.113.42:25565)
    D --> E[Servicio Minecraft]
    A --> B
Usuario Final mc.tudominio.com:25565 Cloudflare Edge (Spectrum) Resolución DNS Cloudflare Mitigación DDoS L3/L4 Proxy de flujo TCP/UDP Tráfico Seguro Servidor de Origen IP: 203.0.113.42:25565 Servicio Minecraft

🛡️ Características Avanzadas de Spectrum

Spectrum ofrece varias características avanzadas para una protección y optimización aún mayores.

Mitigación DDoS de Capa 3/4

Esta es la característica principal de Spectrum. La red global de Cloudflare tiene una capacidad masiva para absorber y mitigar los ataques DDoS más grandes y complejos sin que lleguen a tu servidor de origen.

Load Balancing (Equilibrio de Carga)

¿Qué es y cómo funciona el Load Balancing en Spectrum? Si tienes múltiples servidores de origen para tu servicio (ej. varios servidores de Minecraft para distribuir la carga), Spectrum puede distribuirlos. En lugar de una sola `Origin Address`, especificarías un `Load Balancer` previamente configurado en Cloudflare. Esto mejora la disponibilidad y la resiliencia de tu servicio.

Configuración: En lugar de poner una IP en Origin Address, seleccionarías un Load Balancer existente. Deberías haber configurado pools de origen y monitores de salud para ese Load Balancer previamente en la sección de 'Traffic' -> 'Load Balancing'.

Proxy Protocol v2

Como mencionamos, el Proxy Protocol permite que el servidor de origen vea la dirección IP real del cliente. Spectrum soporta Proxy Protocol v1 (texto simple) y v2 (binario, más eficiente). Asegúrate de que tu aplicación o proxy en el servidor de origen esté configurado para aceptar Proxy Protocol v2 para la mejor compatibilidad y rendimiento.

Ejemplo de configuración para Nginx con Proxy Protocol v2:

server {
    listen 25565 proxy_protocol;

    # ... otras configuraciones ...

    real_ip_header proxy_protocol;
    real_ip_recursive on;
    set_real_ip_from 0.0.0.0/0; # O rangos específicos de Cloudflare si los conoces

    # ... tus configuraciones de proxy_pass si usas Nginx como proxy para el servicio real ...
}
⚠️ Advertencia: Si habilitas Proxy Protocol en Spectrum, tu servidor de origen *debe* estar configurado para esperarlo. De lo contrario, las conexiones fallarán.

Reglas de Acceso IP (Firewall de Spectrum)

Puedes configurar reglas de firewall directamente en Spectrum para bloquear o permitir IPs o rangos CIDR específicos. Esto es útil para restringir el acceso a tu servicio solo a ciertos usuarios o redes.

Ejemplo: Bloquear una IP específica de un atacante persistente.

AcciónIP/RangoPuertoDescripción
Block192.0.2.125565Atacante conocido
Allow198.51.100.0/24allRed de mis amigos

troubleshooting y Preguntas Frecuentes 🧐

No puedo conectar a mi servicio después de configurar Spectrum.

  • Verifica puertos: Asegúrate de que el Port en Spectrum coincida con el puerto al que intentan conectar los usuarios y que Origin Port sea el puerto real en tu servidor.
  • Firewall del servidor: Confirma que el firewall de tu servidor (ufw, iptables, seguridad de tu proveedor cloud) permite el tráfico entrante desde las IPs de Cloudflare en el Origin Port.
  • Proxy Protocol: Si lo habilitaste en Spectrum, asegúrate de que tu aplicación/proxy de origen lo soporte y esté configurado para esperarlo. Si no estás seguro, desactívalo temporalmente en Spectrum para descartar esta causa.
  • Registros DNS: Verifica que el DNS Name configurado en Spectrum (ej. mc.tudominio.com) esté correctamente resuelto a una IP de Cloudflare. Puedes usar dig mc.tudominio.com o nslookup mc.tudominio.com.
  • Estado de Spectrum: Revisa la sección de Spectrum en el panel de Cloudflare para ver el estado de tu aplicación. Podría indicar errores.

¿Spectrum protege contra ataques de capa 7 (HTTP/S)?

No directamente. Spectrum se enfoca en la protección de capa 3/4 (TCP/UDP). Para la protección de capa 7 (como ataques a aplicaciones web), debes usar el WAF (Web Application Firewall) de Cloudflare, que se aplica al tráfico HTTP/S normal.

¿Necesito abrir puertos específicos en mi firewall de origen para Cloudflare?

Sí, debes abrir el Origin Port de tu servicio para permitir conexiones entrantes desde las IPs de Cloudflare. Cloudflare mantiene una lista de sus rangos IP públicos, que puedes usar para restringir aún más tu firewall si lo deseas. Sin embargo, para la mayoría de los casos, simplemente abrir el puerto a todo el mundo (0.0.0.0/0) es suficiente, ya que Spectrum ya actúa como primera línea de defensa.

¿Cómo puedo ver la IP real de mis usuarios?

Activa Proxy Protocol en la configuración de Spectrum. Tu servidor de origen necesitará un software compatible (ej. Nginx con el módulo real_ip, un plugin específico para tu juego) para interpretar la información del Proxy Protocol y mostrar las IPs reales en tus logs o aplicaciones.

📈 Beneficios y Casos de Uso Comunes

Cloudflare Spectrum es una herramienta increíblemente versátil para una amplia gama de servicios:

  • Servidores de Juegos: Minecraft, Rust, CS:GO, ARK y muchos otros. Protege contra DDoS y mejora la experiencia del jugador reduciendo la latencia.
  • Servidores SSH/RDP: Acceso remoto seguro a tus máquinas sin exponer directamente la IP del servidor a ataques de fuerza bruta o DDoS.
  • Servidores VPN: Protege tus servicios OpenVPN (tanto TCP como UDP) o WireGuard contra interrupciones.
  • Servicios de Voz (VoIP/Mumble/TeamSpeak): Asegura la comunicación en tiempo real.
  • Bases de Datos Remotas: Accede a tus bases de datos de forma más segura (aunque siempre se recomienda restringir el acceso por IP a la base de datos).
  • Cámaras IP o IoT: Protege dispositivos conectados que exponen puertos TCP/UDP.
💡 Consejo: Considera utilizar un dominio o subdominio separado para cada servicio que protejas con Spectrum (ej. `ssh.tudominio.com`, `minecraft.tudominio.com`) para una mejor organización y gestión.

Conclusión 🎉

Cloudflare Spectrum es una solución robusta y esencial para proteger y optimizar cualquier servicio basado en TCP/UDP conectado a internet. Al proxy tu tráfico a través de la red global de Cloudflare, no solo obtienes una defensa de vanguardia contra ataques DDoS, sino también mejoras significativas en la latencia y la confiabilidad. Configurar Spectrum es un paso crucial para asegurar la disponibilidad y el rendimiento de tus aplicaciones más críticas.

¡Esperamos que este tutorial te haya proporcionado una guía clara y completa para implementar Cloudflare Spectrum en tu infraestructura! Si tienes alguna duda, la documentación oficial de Cloudflare es siempre un excelente recurso.

Tutoriales relacionados

Comentarios (0)

Aún no hay comentarios. ¡Sé el primero!