Proteger um servidor de jogos com a firewall aplicacional

Objetivo

O objetivo deste guia é ajudá-lo a compreender melhor a nossa proteção Anti-DDoS Game (também conhecida como Game firewall) e a fornecer-lhe instruções sobre a forma de configurar uma proteção eficaz.

Os nossos servidores dedicados Bare Metal gaming incluem uma proteção suplementar contra os ataques de rede especialmente concebida para proteger as aplicações de jogos contra os ataques direcionados, garantindo assim a estabilidade e a acessibilidade aos jogadores. Esta solução de proteção dedicada é robusta e fácil de utilizar, permitindo-lhe concentrar-se no desenvolvimento da sua empresa sem ter de se defender contra o crime cibernético.

Esquema dos serviços de infraestrutura e de proteção dos jogos anti-DDoS na OVHcloud

Requisitos

• Um servidor dedicado Game da OVHcloud

Acesso à Área de Cliente OVHcloud

• Ligação direta: Public IP
• Caminho de navegação: Network > Endereços IP públicos

Instruções

Introdução

A infraestrutura anti-DDoS, associada à firewall Edge Network, protege a rede contra ameaças comuns (principalmente centradas nas camadas ISO OSI 3 e 4). No entanto, o alojamento de aplicações de jogos pode revelar-se uma experiência difícil em termos de segurança de rede. A Game DDoS Protection está pronta para o ajudar: trata-se de uma firewall de camada 7 (aplicação) que se concentra na proteção de protocolos de jogo específicos. As suas principais vantagens são as seguintes:

• Latência muito baixa: Sabemos que a latência e a estabilidade são essenciais para os jogos online. Estas soluções são colocadas mais perto dos servidores e funcionam em conjunto com um material potente.
• Bidirecional: A plataforma analisa o tráfego de entrada e de saída para uma melhor compreensão da situação de cada jogador.
• Instantâneo : Permite distinguir os verdadeiros jogadores dos ataques nocivos num servidor desde os primeiros pacotes da rede.
• Sempre ativo: a capacidade de detetar e parar ataques garante uma experiência fluida para aplicações de jogos sensíveis, sem perturbações ou mudanças de latência.

Ativação e configuração da proteção anti-DDoS Game

Para configurar as regras de proteção de jogos do seu servidor Bare Metal Game, siga estas etapas:

• Clique em Network no menu à esquerda do ecrã.
• Clique em Endereços IP públicos.

Pode filtrar os endereços IP utilizando o menu pendente Todos os tipos de serviço ou introduzir diretamente o endereço IP pretendido na barra de pesquisa. Indique o nome ou a categoria do servidor correspondente:

Listar os endereços IP associados ao seu servidor Game

Ativar e configurar as regras do Game Firewall

Para cada endereço associado ao seu servidor que necessite de proteção, verifique que o estado do Game Firewall é Disponível. Deverá configurar as regras do Game Firewall individualmente para cada um deles.

• Clique no botão ⁝ à direita da tabela e selecione Configurar a Game Firewall.
• Adicione regras especificando o protocolo e o intervalo de portas para cada aplicação de jogo que estará acessível no endereço IP selecionado. Consulte a secção Menções específicas para certos jogos para obter mais informações.
• Por razões de segurança, recomendamos vivamente que ative a opção Aplicar a estratégia « Recusa por defeito », no canto superior direito da tabela de regras. Esta opção bloqueia todo o tráfego que não corresponda às regras que definiu para o Game Firewall, ou seja, todas as aplicações de jogo listadas serão protegidas e nenhuma outra ligação poderá chegar ao seu servidor. Esta opção reduz consideravelmente a superfície de ataque exposta a potenciais agentes maliciosos.

A proteção anti-DDoS Game permite configurar até 100 regras por endereço IP que apontam para um servidor Bare Metal Game das gamas GAME-1 e GAME-2 (a partir de 2024), ou até 30 regras por endereço IP para as antigas gamas de jogos Bare Metal (geralmente identificadas como RISE-GAME ou SYS-GAME).

Tenha em conta que os protocolos de jogo suportados (títulos e versões de jogos que podem ser protegidos) podem mudar com o tempo. Além disso, podem ser diferentes entre as antigas gamas de servidores Bare Metal Game e as mais recentes. A lista mais recente dos perfis de jogos suportados está disponível na página Game DDoS Protection.

As regras de proteção do Game Firewall não devem ter sobreposição de portas ou intervalos de portas.

A opção Outro pode ser selecionada para aplicações alojadas em portas específicas (para as quais não existe proteção disponível), de modo a deixar passar o tráfego do cliente. Tenha em conta que não existe muita segurança suplementar para o tráfego correspondente à regra Outro e deve ser utilizado com prudência.

Alguns minutos após concluir a configuração do Game Firewall para um endereço IP, todas as regras recém-criadas serão aplicadas e o estado do Game Firewall desse endereço IP passará de Disponível para Configurado.

Verificar a sua configuração

Após concluir a configuração, verifique que o seu servidor está protegido pelo Game Firewall controlando estes 2 pontos:

• Na página Endereços IP públicos, cada endereço IP associado ao seu servidor Bare Metal Game e que necessite de proteção deve ter o estado do Game Firewall definido como Configurado.
• Na página de gestão do seu servidor Bare Metal Game, na secção Rede do separador Informações gerais, o estado da proteção anti-DDoS Game deve ser Todos os endereços IP estão protegidos ou Alguns endereços IP estão protegidos. Neste último caso, certifique-se de que configurou todos os endereços IP relevantes.

Menções específicas para certos jogos

Ark Survival Evolved

• Ark Survival Evolved : Motor principal de proteção.
• Ark Survival Evolved v.311.78 : Motor de proteção atualizado, adicionado aos servidores Bare Metal Game das gamas GAME-1 e GAME-2 (a partir de 2024).

Counter Strike 2

• Counter Strike 2: Novo motor de proteção adicionado aos servidores Bare Metal Game das gamas GAME-1 e GAME-2 (a partir de 2024).

FiveM

• FiveM é um mod multijogador do Grand Theft Auto V da Cfx.re, agora reconhecido pela editora de jogos Rockstar. Adicionámos o suporte ao FiveM aos servidores Bare Metal Game das gamas GAME-1 e GAME-2 (a partir de 2024).

Rust

• Rust é suportado com um perfil de proteção dedicado em todas as gerações de servidores Bare Metal Game. Observe que atualizamos esse perfil de proteção (adicionamos suporte para cookies RakNet) para a 3ª geração de servidores Bare Metal Game (2024, baseado em EPYC).

Minecraft

Minecraft é bem suportado pelos seguintes perfis:

• Java Minecraft: Deve ser a melhor solução para todas as versões de Java Minecraft. Protege o protocolo Minecraft Query e está configurado para o tráfego TCP. Foi adicionado em 2024, mas também está disponível para as gerações anteriores de servidores Bare Metal Game. Atenção: se houver outros jogos UDP alojados no mesmo IP.
• Minecraft Query : Proteção geral do protocolo Minecraft Query.
• Minecraft Bedrock: Proteção Minecraft Bedrock (com suporte para cookies RakNet), adicionada aos servidores Bare Metal Game das gamas GAME-1 e GAME-2 (a partir de 2024).
• Minecraft Pocket Edition: Proteção PE/Bedrock Minecraft, idêntica à Bedrock, mantida por motivos de compatibilidade.

Valheim

• Valheim : Novo motor de proteção, adicionado aos servidores Bare Metal Game das gamas GAME-1 e GAME-2 (a partir de 2024).

Utilização de endereços Additional IP com servidores dedicados Game

Os endereços Additional IP oferecem uma forma flexível de gerir as suas aplicações em vários servidores ou serviços alojados. Elas trazem um valor acrescentado à sua infraestrutura de alojamento de jogos, permitindo-lhe gerir a escalabilidade ou as ações de failover sem que isso afete os endereços IP públicos. Os Additional IP permitem-lhe igualmente definir diferentes localizações geográficas de IP ou ainda explorar o seu próprio bloco de IP (utilizando o serviço BYOIP) para os servidores Game da OVHcloud.

Embora os Additional IP permitam alguma flexibilidade, algumas situações requerem uma atenção suplementar.

Configuração por IP específico para a geração de um servidor Game

Para oferecer a maior flexibilidade de configuração, diferentes regras de proteção do jogo podem ser definidas em diferentes endereços Additional IP que apontam para o mesmo servidor Bare Metal Game.
O número máximo de regras e os parâmetros de proteção disponíveis são definidos numa base por endereço IP, mas são específicos da geração de servidores Bare Metal Game específicos por trás da firewall.

Existem diferenças entre os servidores Game mais recentes (3ª geração de servidores Game Bare Metal - 2024, baseado no EPYC) e os servidores Game mais antigos (gerações anteriores, geralmente identificados como RISE-GAME ou SYS-GAME).

Verificando proteções de jogos suportadas

Todos os protocolos de proteção anti-DDoS Game suportados para um servidor específico estão visíveis na página de configuração GAME firewall para qualquer endereço IP que aponte para esse servidor, no menu pendente Game protocol:

Lista de protocolos de proteção suportados

Se preferir a automatização, os detalhes do protocolo podem ser recuperados através de APIv6 OVHcloud :

Exemplo de resposta API:

{
    ipOnGame: "1.2.3.4"
    maxRules: 30
    state: "ok"
    firewallModeEnabled: true
  - supportedProtocols: [
        "arkSurvivalEvolved"
        "arma"
        "gtaMultiTheftAutoSanAndreas"
        "gtaSanAndreasMultiplayerMod"
        "hl2Source"
        "minecraftPocketEdition"
        "minecraftQuery"
        "mumble"
        "other"
        "rust"
        "teamspeak2"
        "teamspeak3"
        "trackmaniaShootmania"
    ]
}

Migração de um Additional IP entre servidores

Embora uma configuração do conjunto de regras estática possa ser explícita, as ações de migração de endereços Additional IP podem exigir alguns comentários.

• Migração de um IP de uma antiga geração para uma nova geração de servidores Bare Metal Game:

  • O processo é transparente e todas as regras de proteção e os parâmetros IP serão conservados.

• Migração de um IP de uma nova geração para uma antiga geração de servidores Bare Metal Game:

  • Se o servidor de destino suportar menos regras de proteção do que as do servidor original, será apresentado um erro e a ação será interrompida.
  • Caso contrário:
    • As regras de compatibilidade descendente são conservadas (o nome do perfil de proteção deve ser igual).
    • As regras não suportadas no servidor de destino serão eliminadas.

• Migração de um IP de um servidor Bare Metal Game para outros servidores ou serviços:

  • Todas as regras de proteção anti-DDoS Game aplicadas ao IP serão eliminadas, pois não são suportadas fora dos servidores Bare Metal Game.

FAQ

Quer saber mais?

Se precisar de formação ou de assistência técnica para implementar as nossas soluções, contacte o seu representante comercial ou clique em esta ligação para obter um orçamento e solicitar uma análise personalizada do seu projecto aos nossos especialistas da equipa de Serviços Profissionais.

Fale com nossa comunidade de utilizadores.