Web

Rate limiting implementálása a brute force támadások ellen Express.js-sel

iranyonline 0

Az interneten zajló adatforgalom és a webes alkalmazások robbanásszerű növekedése magával hozta a kiberbiztonsági fenyegetések sokszínűségét is. A fejlesztők és rendszermérnökök számára egyaránt kiemelten fontos, hogy proaktívan védekezzenek a potenciális támadások ellen, melyek veszélyeztethetik a rendszerek integritását, adatbiztonságát és rendelkezésre állását. Az egyik leggyakoribb és legveszélyesebb támadási forma a brute force támadás, amely ellen az egyik leghatékonyabb védelmi mechanizmus a rate limiting. Ebben a cikkben részletesen megvizsgáljuk, hogyan implementálhatjuk a rate limitinget Express.js alapú alkalmazásainkban, hogy hatékonyan védekezzünk a brute force kísérletek ellen.

Mi az a Brute Force Támadás és Miért Veszélyes?

A brute force támadás lényege, hogy egy támadó automatizált eszközök segítségével, szisztematikusan próbálja kitalálni egy jelszó, PIN kód, vagy bármilyen hitelesítő adat kombinációját. Ez általában egy előre összeállított jelszólistával (dictionary attack) vagy az összes lehetséges karakterkombináció kipróbálásával történik. A támadás sikerességének esélye közvetlenül arányos a próbálkozások számával. Minél több próbálkozást tesz a támadó, annál nagyobb az esélye, hogy eltalálja a helyes kombinációt.

Miért olyan veszélyes ez? Egy sikeres brute force támadás a következő következményekkel járhat:

  • Fiókfeltörés: A legnyilvánvalóbb veszély, hogy a támadó hozzáférést szerez egy felhasználói fiókhoz, ami adatlopáshoz, pénzügyi károkhoz, vagy a felhasználó nevében elkövetett rosszindulatú cselekményekhez vezethet.
  • Szolgáltatásmegtagadási támadás (DoS): A nagyszámú sikertelen bejelentkezési kísérlet túlterhelheti a szervert, lelassíthatja vagy akár teljesen elérhetetlenné teheti a szolgáltatást a jogos felhasználók számára.
  • Erőforrás-kihasználás: A folyamatos adatbázis-lekérdezések és feldolgozási igények feleslegesen terhelik a szerver erőforrásait, ami magasabb üzemeltetési költségekhez és a rendszer teljesítményének romlásához vezet.
  • Adathalászat és további támadások alapja: A megszerzett adatok felhasználhatók további, kifinomultabb támadásokhoz.

Tekintettel ezekre a súlyos következményekre, elengedhetetlen, hogy megfelelő védelmi mechanizmusokat építsünk be alkalmazásainkba.

Mi a Rate Limiting és Miért Van Rá Szükségünk?

A rate limiting (sebességkorlátozás) egy olyan biztonsági mechanizmus, amely korlátozza, hogy egy felhasználó, egy IP-cím vagy egy adott entitás mennyi kérést küldhet egy szervernek egy meghatározott időkereten belül. A cél az, hogy megakadályozza a túlzott erőforrás-felhasználást, a szolgáltatásmegtagadási támadásokat és természetesen a brute force támadásokat. Lényegében egy virtuális „kapuőr”, amely ellenőrzi a bejövő forgalmat és csak a megengedett mennyiséget engedi át.

A rate limiting alapvető fontosságú, mert:

  • Véd a Brute Force ellen: A támadók csak korlátozott számú próbálkozást tehetnek meg, mielőtt ideiglenesen blokkolásra kerülnének. Ez drámaian lelassítja, vagy teljesen lehetetlenné teszi a sikeres találgatást.
  • Megakadályozza a DoS / DDoS támadások egy részét: Bár nem teljeskörű megoldás a komplex DDoS ellen, az egyszerű DoS kísérleteket (pl. egyetlen IP-ről érkező nagyszámú kérés) hatékonyan blokkolja.
  • Védi az API-kat a túlzott használattól: Biztosítja, hogy az API-kat ne terheljék túl, fenntartva a szolgáltatás minőségét és a válaszidőket.
  • Erőforrás-megtakarítás: Csökkenti a szerverek terhelését, ezáltal optimalizálja az erőforrás-felhasználást és a költségeket.

Rate Limiting Stratégiák

A rate limiting implementálása során többféle stratégiát is alkalmazhatunk, attól függően, hogy milyen szinten és milyen célból szeretnénk a korlátozást bevezetni:

  • IP-alapú korlátozás: A leggyakoribb megközelítés, ahol minden egyes IP-címről érkező kéréseket számoljuk és korlátozzuk. Ez hatékony a különálló IP-címekről indított brute force támadások és egyszerű DoS ellen. Hátránya, hogy megnehezítheti a szolgáltatás igénybevételét, ha sok felhasználó osztozik egy IP-címen (pl. irodai hálózatok, proxy szerverek mögött).
  • Felhasználó-alapú korlátozás: Autentikált kérések esetén a felhasználói azonosító (pl. user ID) alapján korlátozzuk a kéréseket. Ez sokkal pontosabb, mivel egy adott felhasználó túlzott tevékenységét célozza, függetlenül attól, hogy honnan jelentkezik be.
  • Végpont-specifikus korlátozás: Különböző API végpontokhoz (pl. /login, /register, /api/data) különböző limiteket állíthatunk be. A bejelentkezési végpontok általában szigorúbb korlátozást igényelnek, mint egy nyilvános adatokat szolgáltató végpont.
  • Globális korlátozás: A teljes alkalmazásra vonatkozóan beállított limit, ami az összes bejövő kérést figyeli, függetlenül az IP-től vagy felhasználótól. Ez kevésbé célzott, de segíthet a hirtelen és masszív forgalomnövekedés kezelésében.

Express.js és a Rate Limiting

Az Express.js egy népszerű és minimális webalkalmazás keretrendszer Node.js-hez. Könnyűsége és rugalmassága miatt kiválóan alkalmas API-k és webes háttérrendszerek fejlesztésére. Mivel széles körben elterjedt, gyakran válik támadások célpontjává is. Szerencsére az Express.js gazdag middleware ökoszisztémával rendelkezik, ami megkönnyíti a biztonsági funkciók, így a rate limiting implementálását is. A leggyakrabban használt és ajánlott modul erre a célra az express-rate-limit.

Az `express-rate-limit` Modul Bemutatása

Az express-rate-limit egy egyszerű, de rendkívül rugalmas middleware, amelyet kifejezetten az Express.js alkalmazásokhoz terveztek a kérések sebességének korlátozására.

Telepítés

Először is telepítenünk kell a modult a projektünkbe:

npm install express-rate-limit

Alapvető Implementáció

Egy nagyon alapvető beállítás, amely globálisan alkalmazza a rate limitinget minden útvonalra:

const express = require('express');
const rateLimit = require('express-rate-limit');
const app = express();

// Konfiguráljuk az alapértelmezett rate limiter-t
const limiter = rateLimit({
    windowMs: 15 * 60 * 1000, // 15 perc
    max: 100, // Maximálisan 100 kérés 15 perc alatt IP-címenként
    message: "Túl sok kérés erről az IP-címről, próbálja újra később.",
    standardHeaders: true, // HTTP fejlécek (RateLimit-Limit, RateLimit-Remaining, RateLimit-Reset) küldése
    legacyHeaders: false, // X-RateLimit-*-fejlécek letiltása
});

// Alkalmazzuk a rate limiter-t az összes kérésre
app.use(limiter);

// Példa útvonal
app.get('/', (req, res) => {
    res.send('Üdvözöljük a főoldalon!');
});

app.listen(3000, () => {
    console.log('Szerver fut a http://localhost:3000 címen');
});

Ebben a példában minden IP-cím 15 percenként maximum 100 kérést küldhet. Ha túllépi a limitet, egy 429-es (Too Many Requests) HTTP státuszkóddal és a megadott üzenettel válaszol a szerver.

Konfigurációs Lehetőségek

Az express-rate-limit rendkívül rugalmas, számos konfigurációs opcióval:

  • windowMs: Az időablak hossza milliszekundumban. (pl. 15 * 60 * 1000 = 15 perc).
  • max: A megengedett maximális kérések száma az adott időablakon belül.
  • message: A válaszüzenet, amikor a limitet túllépték. Lehet string, vagy HTML.
  • statusCode: A HTTP státuszkód, ami akkor küldődik, ha a limitet túllépték (alapértelmezett 429).
  • handler: Egy egyéni függvény, amely lefut, amikor a limitet túllépték. Hasznos logoláshoz, értesítések küldéséhez, vagy egyedi válasz generálásához.
  • keyGenerator: Egy függvény, amely generálja az adott kéréshez tartozó egyedi kulcsot. Alapértelmezés szerint az IP-címet használja, de módosítható (pl. req.user.id autentikált kéréseknél).
  • store: Az a tárolómechanizmus, amely a kérések számát tárolja. Alapértelmezés szerint a MemoryStore-t használja, ami memóriában tárol, de elosztott rendszerekhez RedisStore vagy más persistent store ajánlott.
  • skip: Egy aszinkron függvény, amely meghatározza, hogy az adott kérésre vonatkozzon-e a rate limit. Hasznos lehet belső API-k vagy bizonyos felhasználói szerepek kizárására.
  • requestWasSuccessful: Egy aszinkron függvény, amely meghatározza, hogy a kérés sikeres volt-e a limit növelése szempontjából. Hasznos lehet, ha csak a sikertelen bejelentkezéseket akarjuk limitálni.

Fejlettebb Implementációs Minták

Különböző Limitek Különböző Útvonalakra

A gyakorlatban valószínűleg nem akarjuk, hogy minden végpontra ugyanaz a limit vonatkozzon. A bejelentkezési útvonalaknak sokkal szigorúbb korlátozásokra van szükségük a brute force támadások ellen, míg más API végpontok lazábbak lehetnek.

const loginLimiter = rateLimit({
    windowMs: 5 * 60 * 1000, // 5 perc
    max: 5, // 5 próbálkozás 5 perc alatt IP-nként
    message: "Túl sok sikertelen bejelentkezési kísérlet, próbálja újra 5 perc múlva.",
});

const apiLimiter = rateLimit({
    windowMs: 60 * 60 * 1000, // 1 óra
    max: 1000, // 1000 kérés 1 óra alatt IP-nként
    message: "Túl sok kérés az API-tól, próbálja újra később.",
});

app.post('/login', loginLimiter, (req, res) => {
    // Bejelentkezési logika
    // ...
    res.send('Bejelentkezés feldolgozva.');
});

app.get('/api/*', apiLimiter, (req, res) => {
    // API logika
    // ...
    res.send('API adatokat szolgáltat.');
});

Autentikált Felhasználók Limitálása (Felhasználó-alapú Rate Limiting)

Miután egy felhasználó bejelentkezett, érdemes lehet az ő tevékenységét limitálni, nem csak az IP-címét. Ehhez módosítani kell a keyGenerator opciót. Ez feltételezi, hogy van egy hitelesítési middleware-ünk (pl. Passport.js, JWT), amely beállítja a req.user objektumot.

const authenticatedLimiter = rateLimit({
    windowMs: 15 * 60 * 1000, // 15 perc
    max: 500, // 500 kérés 15 perc alatt felhasználónként
    keyGenerator: (req, res) => {
        // Feltételezve, hogy req.user.id tartalmazza a felhasználó azonosítóját
        return req.user ? req.user.id : req.ip; 
    },
    handler: (req, res, next, options) => {
        if (req.user) {
            console.warn(`Felhasználó ${req.user.id} túllépte a limitet.`);
        } else {
            console.warn(`IP ${req.ip} túllépte a limitet.`);
        }
        res.status(options.statusCode).send(options.message);
    },
    message: "Túl sok kérés. Kérjük, várjon, mielőtt újra próbálkozna.",
});

// Egy hitelesítési middleware, ami beállítja a req.user-t
app.use((req, res, next) => {
    // Itt történne a valós hitelesítés, pl. JWT ellenőrzés
    req.user = { id: 'testUserId123' }; // Példa
    next();
});

app.get('/dashboard', authenticatedLimiter, (req, res) => {
    res.send(`Üdvözöljük a felhasználói felületen, ${req.user.id}!`);
});

Ebben a példában, ha a felhasználó be van jelentkezve (req.user létezik), akkor a req.user.id alapján történik a limitálás. Ellenkező esetben visszatér az IP-alapú limitálásra.

Elosztott Rendszerek Kezelése Redis-szel

A MemoryStore nagyszerű egyetlen szerveres alkalmazásokhoz, de elosztott rendszerek (több Express.js példány load balancer mögött) esetén nem megfelelő, mivel minden szerver a saját memóriájában tárolná a kérésszámokat, ami pontatlan limitekhez vezetne. Ilyenkor egy központosított tárolóra, például Redis-re van szükség.

const RedisStore = require('rate-limit-redis');
const Redis = require('ioredis');

const client = new Redis({
    host: 'localhost', // Vagy a Redis szerver címe
    port: 6379,
});

const redisLimiter = rateLimit({
    store: new RedisStore({
        sendCommand: (...args) => client.call(...args),
    }),
    windowMs: 10 * 60 * 1000, // 10 perc
    max: 500, // 500 kérés 10 perc alatt IP-nként
    message: "Túl sok kérés, próbálja újra később.",
});

app.use(redisLimiter); // Alkalmazzuk az elosztott limitert

Ehhez telepíteni kell a rate-limit-redis és az ioredis csomagokat:

npm install rate-limit-redis ioredis

A RedisStore biztosítja, hogy minden szerver ugyanazt a központi adatot használja a kérések számolásához, így a limitálás konzisztens marad az elosztott környezetben is.

Reverse Proxy-k Mögötti IP Azonosítás

Ha az Express.js alkalmazásunk egy reverse proxy (pl. Nginx, Cloudflare) mögött fut, a req.ip valószínűleg a proxy IP-címét fogja visszaadni, nem a tényleges kliens IP-címét. Ebben az esetben a proxy általában az X-Forwarded-For HTTP fejlécben továbbítja az eredeti kliens IP-címét. Ahhoz, hogy az express-rate-limit ezt helyesen kezelje, engedélyeznünk kell az Express trust proxy beállítását:

app.set('trust proxy', 1); // A proxyk száma, vagy true, ha megbízunk az elsőben.

Így az express-rate-limit automatikusan az X-Forwarded-For fejlécet fogja használni a kliens IP-címének meghatározásához.

Gyakorlati Tanácsok és Legjobb Gyakorlatok

  • Megfelelő Limit Értékek Kiválasztása: Nincs „egy méret mindenkire” megoldás. A limiteket az alkalmazás forgalmához, a végpontok érzékenységéhez és a felhasználói elvárásokhoz kell igazítani. A túl szigorú limitek ronthatják a felhasználói élményt, a túl lazák pedig nem nyújtanak megfelelő védelmet. Kezdjünk konzervatív értékekkel, majd fokozatosan finomítsuk a logok és a felhasználói visszajelzések alapján.
  • Hibakezelés és Logolás: Használjuk a handler opciót a limit túllépésekor történő logoláshoz. Ez kulcsfontosságú az anomáliák és a potenciális támadások észleléséhez. A logokban rögzítsük az IP-címet, a kért útvonalat és az időpontot.
  • Felhasználói Élmény: A hibaüzenet legyen informatív és segítőkész. Tájékoztassa a felhasználót, hogy mi történt, és mikor próbálkozhat újra. Például: „Túl sok kérés küldött. Kérjük, várjon 5 percet, mielőtt újra próbálkozna.” A standardHeaders: true opció segít, mert a válaszfejlécekben megadja a felhasználónak a hátralévő időt (RateLimit-Reset).
  • Kapcsolat Más Biztonsági Intézkedésekkel: A rate limiting önmagában nem csodaszer. Egy átfogó biztonsági stratégia része. Kombináljuk más intézkedésekkel:
    • CAPTCHA: Sikertelen bejelentkezési kísérletek után kérjünk CAPTCHA ellenőrzést, hogy megkülönböztessük a botokat az emberektől.
    • Kétfaktoros hitelesítés (2FA): Az egyik leghatékonyabb védelem a fiókfeltörés ellen, még akkor is, ha a jelszó kikerül.
    • Erős Jelszavak Kényszerítése: Jelszó-szabályok (hosszúság, karaktertípusok) és jelszó-hash-elés (bcrypt ajánlott) az adatbázisban.
    • Input Validáció és Szanitizáció: Megelőzi az SQL injection, XSS és egyéb injektálási támadásokat.
    • Fiókok zárolása: Ha egy fióknál túl sok sikertelen bejelentkezési kísérlet történik (IP-től függetlenül), ideiglenesen zároljuk azt, vagy értesítsük a felhasználót.
  • DDoS Védelem Szélesebb Kontextusa: A rate limiting segít bizonyos DoS támadások ellen, de a komplex DDoS támadások (elosztott botnetek) ellen felhőalapú DDoS védelmi szolgáltatásokra (pl. Cloudflare, AWS Shield) van szükség.

Összefoglalás

A rate limiting nem csupán egy opció, hanem alapvető biztonsági réteg minden modern webalkalmazásban, különösen az Express.js alapú rendszerekben, amelyek API-kat szolgáltatnak. Hatékonyan védi az alkalmazást a brute force támadásoktól, a szolgáltatásmegtagadási kísérletektől és az erőforrások túlzott kihasználásától.

Az express-rate-limit modul segítségével rendkívül egyszerűen és rugalmasan implementálhatjuk ezt a védelmi mechanizmust. Legyen szó egyszerű IP-alapú korlátozásról, végpont-specifikus szabályokról vagy elosztott rendszerek komplex kezeléséről Redis-szel, ez a middleware robusztus megoldást kínál. Fontos azonban megjegyezni, hogy a rate limiting csak egy része a szélesebb körű biztonsági stratégiának. A legjobb eredmény érdekében mindig kombináljuk más biztonsági gyakorlatokkal és eszközökkel.

Zárszó

A webes biztonság egy folyamatosan fejlődő terület, és a támadási módszerek is állandóan változnak. Mint fejlesztők, felelősségünk gondoskodni arról, hogy alkalmazásaink a lehető legbiztonságosabbak legyenek. A rate limiting implementálása az Express.js-ben egy kritikus lépés ebbe az irányba, amely megvédi felhasználóinkat, adatainkat és szolgáltatásainkat a leggyakoribb és legveszélyesebb támadásoktól. Ne hagyja figyelmen kívül ezt az alapvető védelmi vonalat – tegye alkalmazását biztonságosabbá még ma!

Kapcsolódó

Leave a Reply

Az e-mail címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöltük