Un guide très complet pour monter une archi HAproxy en HA derrière un ELB avec la terminaison SSL au niveau du HAproxy (utile pour avoir plusieurs certificats SSL sur le même HAproxy par exemple).

Parmi les points importants:

• utiliser le mode TCP au niveau de l'ELB pour laisser HAproxy gérer la terminaison SSL
• activer le Proxy Protocol au niveau ELB (ProxyProtocolPolicyType) et HAproxy (accept-proxy) pour récupérer les IP sources dans les logs HAproxy
• créer un frontend sans le Proxy Protocol sur le HAproxy dédié au Healthcheck ELB (les healthcheck ELB ne supportent pas encore le ProxyProtocol)

Également pas mal d'autres astuces pour ajouter des fonctions de sécurité basiques au niveau HAproxy (URL filtering, Rate limiting, DDOS protection...)

Quelques astuces pour se protéger des attaques DDOS au niveau du HAproxy

• Pour limiter les attaques DDOS de type TCP Syn Flood au niveau de l'HAproxy, modifier les parmètre suivant dans sysctl:

  net.ipv4.tcp_syncookies = 1
  net.ipv4.conf.all.rp_filter = 1
  net.ipv4.tcp_max_syn_backlog = 1024 

• Pour limiter les attaques de type Slowloris, ajouter le paramètre timeout http-request 5s dans le fichier de configuration HAproxy

Egalement d'autres astuces, pour:

• paramétrer des limites max de connexions différentes pour le contenu static et dynamique (en utilisant 2 backends différents)
• limiter le nombre de connexions par user
• limiter le nombre de connexions par secondes par user
• limiter le nombre de requêtes par secondes
• détecter et bloquer les scans de vulnerabilités

Configuration HAproxy pour bloquer les attaques Slow POST.

frontend my-frontend
    ...
    option http-buffer-request
    timeout http-request 10s

Explication détaillée sur les types d'attaques DDOS et les solutions pour s'en protéger