Sicherheitspraktiken für persönliche Domains

Dieser Artikel teilt praktische Erfahrungen zur Sicherung persönlicher Domains, einschließlich der Analyse von Scan-Angriffen, Domainschutzstrategien, gängigen Angriffsmethoden und der Auswahl von Edge-Sicherheitsdiensten.
Tags:
Categories:

Vorbemerkung

Im Zeitalter des Internets sind Cyberangriffe zur Norm geworden. Jeden Tag scannen unzählige automatisierte Tools jeden Winkel des Internets auf potenzielle Sicherheitslücken. Viele Menschen glauben, nur große Unternehmen wären Angriffsziele, doch aufgrund sinkender Angriffskosten und der Verbreitung von Tools kann jeder im Internet sichtbare Dienst zum Ziel werden.

Analyse echter Vorfälle

Beispiel für Scan-Angriffe

Eine kleine Demonstrationswebsite, die ich bei Cloudflare betreibe, hat nur zwei gültige URLs:

Trotzdem wird sie kontinuierlich von Scan-Angriffen betroffen.

Anfangs gab es für alle anderen URLs nur 404-Fehler. Am Tag der Inbetriebnahme begann ein Hongkonger Host bereits mit dem Scannen. Die Quell-IPs wechselten täglich, stammten jedoch größtenteils aus Hongkong. Da einige Nutzer mit Hongkonger IPs auf die Seite zugreifen, kann ich das Land nicht einfach sperren.

All diese URLs sind Versuche mit unterschiedlichen Absichten. Mein Worker verarbeitet nur / und /logs-collector. Diese hartnäckigen Versuche zielen größtenteils darauf ab, Sicherheitslücken zu finden.

Solche Scans verbrauchen jedoch kostenlose Anfragen bei CF und verschmutzen meine Logs, was ebenfalls nicht wünschenswert ist.

Später ließ ich alle anderen Anfragen mit 200 antworten und fügte Host on Cloudflare Worker, don't waste your time hinzu.

Danach wurde weniger gescannt, obwohl ich nicht weiß, ob es einen kausalen Zusammenhang gibt.

Wenn der Dienst auf einem eigenen Server läuft und täglich gescannt wird, ohne dass Sicherheitsupdates installiert werden, ist es nur eine Frage der Zeit, bis eine Schwachstelle gefunden wird.

Für Angreifer bedeutet dies, täglich automatisierte Versuche zu starten. Jeder erfolgreiche Angriff zählt, und sowohl Geräte- als auch Zeitaufwand sind gering.

Analyse der Sicherheitsbedrohungen

Merkmale von Angreifern

  • Grenzüberschreitende Straftaten sind verbreitet, was die Verfolgung erschwert
  • Weit verbreitete Nutzung automatisierter Tools, einschließlich Portscanner wie Nmap und Masscan
  • Kontinuierliche Angriffe mit geringen Kosten
  • Ausreichende Botnetz-Ressourcen, IP-Adressen wechseln häufig
  • Angriffszeiten fallen meist auf Nachtstunden oder Feiertage

Häufige Angriffsarten

  1. Portscanning
    • Massenweises Scannen offener Ports
    • Identifizierung gängiger Dienste (SSH, RDP, MySQL usw.)
  2. Schwachstellenscanning
    • Scannen nach bekannten Lücken in veralteter Software
    • Identifizierung durch Pfad- und Dateinamenmerkmale
  3. Eigenständige Eingabekonstruktion zur Ausnutzung von Eingabevalidierungsfehlern

Sicherheitspraxis

VPN statt Reverse Proxy verwenden

Die meisten Menschen aktualisieren ihre Software nicht rechtzeitig. Es ist daher am besten, die eigene Domain nicht zu exponieren. Beim Scannen können sowohl Präfixe als auch Suffixe konstruiert werden, um verschiedene Subdomains auszuprobieren.

Zum Beispiel Subdomains mit hohem Risiko:

  • nas.example.com
  • home.example.com
  • dev.example.com
  • test.example.com
  • blog.example.com
  • work.example.com
  • webdav.example.com
  • frp.example.com
  • proxy.example.com

Dies sind nur spontan genannte Beispiele. Für automatisierte Angriffe wird ein Wörterbuch für Subdomains verwendet, um automatisierte Tests durchzuführen.

Ein lokales DNS-Server-Setup wie AdguardHome kann verwendet werden, um Domainauflösungen zu konfigurieren, wobei alle lokalen Geräte feste IPs nutzen.

DDNS kann ebenfalls über die API von AdguardHome realisiert werden. Da es sich um ein lokales Netzwerk handelt, kann die Domain beliebig ausgewählt werden.

Edge-Sicherheitsdienste verwenden

Der Cyber-Buddha Cloudflare bedarf keiner weiteren Erwähnung. Bis ein Hobbyist ein kommerziell wertvolles Projekt findet, wird er definitiv kostenlos bleiben.

Im Inland ist dies der Alibaba Cloud ESA. Ich nutze beide Dienste. Alibaba Cloud ist drei Monate kostenlos, danach kostet es normalerweise 10 Yuan pro Monat für 50 GB Datenverkehr. Vor dem kostenlosen Angebot von CF werde ich ihn nicht weiter vorstellen.

Sicherheitsdienste sind im Allgemeinen teuer. Wenn kein Schutz besteht, sind die Schäden bei einem Angriff erheblich. Wenn kostenpflichtiger Schutz besteht, sieht man täglich die direkten “Verluste”.

Edge-Sicherheitsdienste sind eine Art Versicherung, ein äußerst kostengünstiger und hochwertiger Sicherheitsdienst, ein klassisches Beispiel dafür, Fachleuten Fachaufgaben zu überlassen.

Das Hauptziel von Edge-Sicherheit ist es, die echte IP zu verbergen. Nutzer greifen auf Edge-Knoten zu, und die Edge-Knoten entscheiden, ob die echte IP angefragt wird.

Im Wesentlichen handelt es sich um einen vorgeschalteten Reverse Proxy, der Cache, WAF, CDN und DDoS-Schutz integriert. Da ein Dritter zwischen Nutzer und Dienst eingefügt wird, kann dies die Benutzererfahrung beeinträchtigen.

Ich nutze sowohl CF als auch ESA. Zusammenfassend lässt sich sagen, dass ein Teil der Nutzer mit bester Erfahrung leicht abnimmt, während die Erfahrung für Nutzer aus mehr Regionen verbessert wird. Insgesamt ist dies dennoch sehr empfehlenswert.

Fazit

Wenn es nur um private Dienste geht, sollte zuerst ein VPN verwendet werden. tailscale oder zerotier sind gute Optionen. Für DNS-Dienste kann AdGuardHome im lokalen Netzwerk eingerichtet werden, während AdGuardPrivate im öffentlichen Netz genutzt werden kann.

Für öffentliche Dienste, die von der breiten Öffentlichkeit genutzt werden, ist es am besten, Cloudflare zu verwenden. Für bessere Zugriffsgeschwindigkeit auf dem chinesischen Festland empfiehlt sich Alibaba ESA.

Diese Sicherheitspraxis dient nur als Referenz. V-Station-Experten sind herzlich eingeladen, Vorschläge zu unterbreiten.