Proteger um servidor de jogos com a firewall aplicacional

Objetivo

O objetivo deste guia é ajudá-lo a compreender melhor a nossa proteção Anti-DDoS Game (também conhecida como Game firewall) e a fornecer-lhe instruções sobre a forma de configurar uma proteção eficaz.

Info

Encontre mais informações sobre a nossa proteção anti-DDoS Game no nosso site.

Os nossos servidores dedicados Bare Metal gaming incluem uma proteção suplementar contra os ataques de rede especialmente concebida para proteger as aplicações de jogos contra os ataques direcionados, garantindo assim a estabilidade e a acessibilidade aos jogadores. Esta solução de proteção dedicada é robusta e fácil de utilizar, permitindo-lhe concentrar-se no desenvolvimento da sua empresa sem ter de se defender contra o crime cibernético.


Esquema dos serviços de infraestrutura e de proteção dos jogos anti-DDoS na OVHcloud

Requisitos

Um servidor dedicado Game da OVHcloud

Acesso à Área de Cliente OVHcloud

Ligação direta: Public IP
Caminho de navegação: Network > Endereços IP públicos

Warning

Esta funcionalidade pode estar indisponível ou limitada nos servidores da gama Eco.

Consulte página de comparação para obter mais informações.

Instruções

Introdução

A infraestrutura anti-DDoS, associada à firewall Edge Network, protege a rede contra ameaças comuns (principalmente centradas nas camadas ISO OSI 3 e 4). No entanto, o alojamento de aplicações de jogos pode revelar-se uma experiência difícil em termos de segurança de rede. A Game DDoS Protection está pronta para o ajudar: trata-se de uma firewall de camada 7 (aplicação) que se concentra na proteção de protocolos de jogo específicos. As suas principais vantagens são as seguintes:

Latência muito baixa: Sabemos que a latência e a estabilidade são essenciais para os jogos online. Estas soluções são colocadas mais perto dos servidores e funcionam em conjunto com um material potente.
Bidirecional: A plataforma analisa o tráfego de entrada e de saída para uma melhor compreensão da situação de cada jogador.
Instantâneo : Permite distinguir os verdadeiros jogadores dos ataques nocivos num servidor desde os primeiros pacotes da rede.
Sempre ativo: a capacidade de detetar e parar ataques garante uma experiência fluida para aplicações de jogos sensíveis, sem perturbações ou mudanças de latência.

Ativação e configuração da proteção anti-DDoS Game

Warning

O Game Firewall protege os endereços IP associados a um servidor. Por conseguinte, se possui um servidor com vários endereços IP (ex: endereços Additional IP), deve configurar cada um separadamente.

Cada um dos endereços que pretende proteger com o Game Firewall deve apresentar o estado Configurado na coluna Game Firewall para que as regras de proteção se apliquem.

Para configurar as regras de proteção de jogos do seu servidor Bare Metal Game, siga estas etapas:

Clique em Network no menu à esquerda do ecrã.
Clique em Endereços IP públicos.

Pode filtrar os endereços IP utilizando o menu pendente Todos os tipos de serviço ou introduzir diretamente o endereço IP pretendido na barra de pesquisa. Indique o nome ou a categoria do servidor correspondente:

Listar os endereços IP associados ao seu servidor Game

A partir da página Servidores dedicados

A partir da página Endereços IP públicos

Abra a secção Bare Metal Cloud na barra lateral esquerda.
Selecione Servidores dedicados.
Clique no servidor Game que pretende configurar.
Na secção Rede do separador Informações gerais, procure a secção "Game DDoS Protection".
Clique no botão ... e selecione Configurar a Game Protection. Será direcionado para a lista de endereços IP atribuídos ao seu servidor.

Ativar e configurar as regras do Game Firewall

Para cada endereço associado ao seu servidor que necessite de proteção, verifique que o estado do Game Firewall é Disponível. Deverá configurar as regras do Game Firewall individualmente para cada um deles.

Clique no botão ⁝ à direita da tabela e selecione Configurar a Game Firewall.
Adicione regras especificando o protocolo e o intervalo de portas para cada aplicação de jogo que estará acessível no endereço IP selecionado. Consulte a secção Menções específicas para certos jogos para obter mais informações.
Por razões de segurança, recomendamos vivamente que ative a opção Aplicar a estratégia « Recusa por defeito », no canto superior direito da tabela de regras. Esta opção bloqueia todo o tráfego que não corresponda às regras que definiu para o Game Firewall, ou seja, todas as aplicações de jogo listadas serão protegidas e nenhuma outra ligação poderá chegar ao seu servidor. Esta opção reduz consideravelmente a superfície de ataque exposta a potenciais agentes maliciosos.

A proteção anti-DDoS Game permite configurar até 100 regras por endereço IP que apontam para um servidor Bare Metal Game das gamas GAME-1 e GAME-2 (a partir de 2024), ou até 30 regras por endereço IP para as antigas gamas de jogos Bare Metal (geralmente identificadas como RISE-GAME ou SYS-GAME).

Tenha em conta que os protocolos de jogo suportados (títulos e versões de jogos que podem ser protegidos) podem mudar com o tempo. Além disso, podem ser diferentes entre as antigas gamas de servidores Bare Metal Game e as mais recentes. A lista mais recente dos perfis de jogos suportados está disponível na página Game DDoS Protection.

As regras de proteção do Game Firewall não devem ter sobreposição de portas ou intervalos de portas.

A opção Outro pode ser selecionada para aplicações alojadas em portas específicas (para as quais não existe proteção disponível), de modo a deixar passar o tráfego do cliente. Tenha em conta que não existe muita segurança suplementar para o tráfego correspondente à regra Outro e deve ser utilizado com prudência.

Alguns minutos após concluir a configuração do Game Firewall para um endereço IP, todas as regras recém-criadas serão aplicadas e o estado do Game Firewall desse endereço IP passará de Disponível para Configurado.

Warning

A proteção anti-DDoS Game produz efeitos após as regras definidas no Edge Network Firewall. Para que os dois funcionem corretamente, o Edge Network Firewall não pode ser demasiado restritivo e deve deixar passar o tráfego adequado para a proteção anti-DDoS Game.

Verificar a sua configuração

Após concluir a configuração, verifique que o seu servidor está protegido pelo Game Firewall controlando estes 2 pontos:

Na página Endereços IP públicos, cada endereço IP associado ao seu servidor Bare Metal Game e que necessite de proteção deve ter o estado do Game Firewall definido como Configurado.
Na página de gestão do seu servidor Bare Metal Game, na secção Rede do separador Informações gerais, o estado da proteção anti-DDoS Game deve ser Todos os endereços IP estão protegidos ou Alguns endereços IP estão protegidos. Neste último caso, certifique-se de que configurou todos os endereços IP relevantes.

Menções específicas para certos jogos

Ark Survival Evolved

Ark Survival Evolved : Motor principal de proteção.
Ark Survival Evolved v.311.78 : Motor de proteção atualizado, adicionado aos servidores Bare Metal Game das gamas GAME-1 e GAME-2 (a partir de 2024).

Counter Strike 2

Counter Strike 2: Novo motor de proteção adicionado aos servidores Bare Metal Game das gamas GAME-1 e GAME-2 (a partir de 2024).

FiveM

FiveM é um mod multijogador do Grand Theft Auto V da Cfx.re, agora reconhecido pela editora de jogos Rockstar. Adicionámos o suporte ao FiveM aos servidores Bare Metal Game das gamas GAME-1 e GAME-2 (a partir de 2024).

Rust

Rust é suportado com um perfil de proteção dedicado em todas as gerações de servidores Bare Metal Game. Observe que atualizamos esse perfil de proteção (adicionamos suporte para cookies RakNet) para a 3ª geração de servidores Bare Metal Game (2024, baseado em EPYC).

Minecraft

Minecraft é bem suportado pelos seguintes perfis:

Java Minecraft: Deve ser a melhor solução para todas as versões de Java Minecraft. Protege o protocolo Minecraft Query e está configurado para o tráfego TCP. Foi adicionado em 2024, mas também está disponível para as gerações anteriores de servidores Bare Metal Game. Atenção: se houver outros jogos UDP alojados no mesmo IP.
Minecraft Query : Proteção geral do protocolo Minecraft Query.
Minecraft Bedrock: Proteção Minecraft Bedrock (com suporte para cookies RakNet), adicionada aos servidores Bare Metal Game das gamas GAME-1 e GAME-2 (a partir de 2024).
Minecraft Pocket Edition: Proteção PE/Bedrock Minecraft, idêntica à Bedrock, mantida por motivos de compatibilidade.

Valheim

Valheim : Novo motor de proteção, adicionado aos servidores Bare Metal Game das gamas GAME-1 e GAME-2 (a partir de 2024).

Info

Se aloja um serviço de maior envergadura com um dos jogos suportados, mas observa falsos positivos provenientes dos sistemas de infraestrutura anti-DDoS, contacte a nossa assistência através do Centro de Ajuda com todos os detalhes necessários para melhorar o perfil da aplicação.

Utilização de endereços Additional IP com servidores dedicados Game

Os endereços Additional IP oferecem uma forma flexível de gerir as suas aplicações em vários servidores ou serviços alojados. Elas trazem um valor acrescentado à sua infraestrutura de alojamento de jogos, permitindo-lhe gerir a escalabilidade ou as ações de failover sem que isso afete os endereços IP públicos. Os Additional IP permitem-lhe igualmente definir diferentes localizações geográficas de IP ou ainda explorar o seu próprio bloco de IP (utilizando o serviço BYOIP) para os servidores Game da OVHcloud.

Embora os Additional IP permitam alguma flexibilidade, algumas situações requerem uma atenção suplementar.

Configuração por IP específico para a geração de um servidor Game

Para oferecer a maior flexibilidade de configuração, diferentes regras de proteção do jogo podem ser definidas em diferentes endereços Additional IP que apontam para o mesmo servidor Bare Metal Game.
O número máximo de regras e os parâmetros de proteção disponíveis são definidos numa base por endereço IP, mas são específicos da geração de servidores Bare Metal Game específicos por trás da firewall.

Existem diferenças entre os servidores Game mais recentes (3ª geração de servidores Game Bare Metal - 2024, baseado no EPYC) e os servidores Game mais antigos (gerações anteriores, geralmente identificados como RISE-GAME ou SYS-GAME).

Verificando proteções de jogos suportadas

Todos os protocolos de proteção anti-DDoS Game suportados para um servidor específico estão visíveis na página de configuração GAME firewall para qualquer endereço IP que aponte para esse servidor, no menu pendente Game protocol:


Lista de protocolos de proteção suportados

Se preferir a automatização, os detalhes do protocolo podem ser recuperados através de APIv6 OVHcloud :

GET/ip/{ip}/game/{ipOnGame}

Exemplo de resposta API:

{
    ipOnGame: "1.2.3.4"
    maxRules: 30
    state: "ok"
    firewallModeEnabled: true
  - supportedProtocols: [
        "arkSurvivalEvolved"
        "arma"
        "gtaMultiTheftAutoSanAndreas"
        "gtaSanAndreasMultiplayerMod"
        "hl2Source"
        "minecraftPocketEdition"
        "minecraftQuery"
        "mumble"
        "other"
        "rust"
        "teamspeak2"
        "teamspeak3"
        "trackmaniaShootmania"
    ]
}

Migração de um Additional IP entre servidores

Embora uma configuração do conjunto de regras estática possa ser explícita, as ações de migração de endereços Additional IP podem exigir alguns comentários.

Migração de um IP de uma antiga geração para uma nova geração de servidores Bare Metal Game:
- O processo é transparente e todas as regras de proteção e os parâmetros IP serão conservados.
Migração de um IP de uma nova geração para uma antiga geração de servidores Bare Metal Game:
- Se o servidor de destino suportar menos regras de proteção do que as do servidor original, será apresentado um erro e a ação será interrompida.
- Caso contrário:
  - As regras de compatibilidade descendente são conservadas (o nome do perfil de proteção deve ser igual).
  - As regras não suportadas no servidor de destino serão eliminadas.
Migração de um IP de um servidor Bare Metal Game para outros servidores ou serviços:
- Todas as regras de proteção anti-DDoS Game aplicadas ao IP serão eliminadas, pois não são suportadas fora dos servidores Bare Metal Game.

FAQ

Posso utilizar a proteção anti-DDoS Game noutras gamas que não os servidores Bare Metal Game?

Não, a proteção anti-DDoS Game só está disponível para os nossos servidores dedicados Bare Metal Game.

Como posso assegurar que a automatização funciona para um Additional IP entre uma nova e uma antiga geração de servidores Bare Metal Game?

Poderá limitar as suas regras de proteção a 30 por IP ou configurar os seus scripts de automatização para que possam eliminar e adicionar regras antes e depois de migrar um IP para outro servidor. Recomendamos que utilize a última geração de servidores Bare Metal Game, pois estes são entregues com numerosas melhorias.

Posso desativar a proteção anti-DDoS Game?

É possível, mas não recomendado. Você pode fazer isso removendo todas as regras de protocolo de jogo da configuração e desativando a entrada Default policy: DROP.

O meu jogo não consta da lista de protocolos suportados. O que posso fazer?

Pode propor as suas necessidades no nosso roadmap das soluções de infraestrutura no GitHub. Isso nos ajudará a decidir a prioridade das próximas funcionalidades a serem desenvolvidas.

Depois de configurar o meu jogo com as portas adequadas e a política predefinida para eliminar, continuo a receber ataques que afetam o meu servidor Game. O que fazer?

Deverá partilhar os dumps pertinentes do tráfego de rede a título de exemplos de tais ataques (ficheiro .pcap) de forma a pedir o ajuste da proteção do seu perfil. Para isso, aceda ao nosso Centro de Ajuda.

Quer saber mais?

Se precisar de formação ou de assistência técnica para implementar as nossas soluções, contacte o seu representante comercial ou clique em esta ligação para obter um orçamento e solicitar uma análise personalizada do seu projecto aos nossos especialistas da equipa de Serviços Profissionais.

Fale com nossa comunidade de utilizadores.

Esta página foi útil?