Prácticas de seguridad para dominios personales

Este artículo comparte experiencias prácticas de seguridad en el uso de dominios personales, incluyendo análisis de ataques de escaneo, estrategias de protección de dominios, métodos de ataque comunes y la selección de servicios de seguridad perimetral.
Tags:
Categories:

Introducción

En la era de Internet, los ataques cibernéticos se han convertido en una norma. Cada día, innumerables herramientas automatizadas escanean cada rincón de Internet en busca de posibles vulnerabilidades. Muchas personas creen que solo las grandes empresas son objetivos de ataque, pero en realidad, debido a la reducción de costos de ataque y la popularización de herramientas, cualquier servicio expuesto en Internet puede convertirse en un objetivo.

Análisis de casos reales

Ejemplo de ataque de escaneo

Desplegué un pequeño sitio web de demostración en Cloudflare, aunque solo tiene dos URL válidas:

Sin embargo, sigue sufriendo continuamente ataques de escaneo.

Al principio, todas las demás URL devolvían404, y el mismo día del lanzamiento, una máquina con IP de Hong Kong comenzó a escanear. La IP de origen cambiaba todos los días, pero la mayoría eran de Hong Kong. Como algunos usuarios acceden con IP de Hong Kong, no se puede bloquear directamente la región.

Todas estas URL son intentos con diversos propósitos. Mi worker solo maneja/y/logs-collector. Estos intentos persistentes son principalmente para buscar vulnerabilidades.

Pero este tipo de escaneo consume solicitudes gratuitas de CF y contamina mis registros, lo cual tampoco es algo bueno.

Luego hice que todas las demás solicitudes devolvieran200, añadiendoHost on Cloudflare Worker, don't waste your time

Así se redujo un poco el escaneo, aunque no sé si hay una relación causal.

Si el servicio se ejecuta en mi propio host y es escaneado todos los días, y el servicio no se actualiza de forma segura, tarde o temprano se encontrará una vulnerabilidad.

Para los atacantes, es simplemente intentar continuamente a una hora fija todos los días. Si pueden romper uno, es uno. Todo es básicamente automatizado, con bajos costos de dispositivos y tiempo.

Análisis de amenazas de seguridad

Características de los atacantes

  • Ataques transfronterizos generalizados, reduciendo la posibilidad de responsabilidad
  • Uso extensivo de herramientas automatizadas, incluyendo herramientas de escaneo de puertos como Nmap, Masscan, etc.
  • Ataques persistentes, con costos bajos
  • Recursos de máquinas zombis abundantes, direcciones IP que cambian frecuentemente
  • Los ataques suelen ocurrir en la madrugada o días festivos

Métodos de ataque comunes

  1. Escaneo de puertos
    • Escaneo masivo de puertos abiertos
    • Identificación de servicios comunes (SSH, RDP, MySQL, etc.)
  2. Escaneo de vulnerabilidades
    • Escaneo de software antiguo con vulnerabilidades conocidas
    • Identificación mediante características de ruta y nombre de archivo
  3. Construcción propia de entradas, aprovechando vulnerabilidades de validación de entrada

Prácticas de seguridad

Uso de VPN en lugar de proxy inverso

La mayoría de la gente no actualiza su software a tiempo. Lo mejor es no exponer tu dominio. El escaneo puede tanto construir un prefijo como un sufijo, probando todos los subdominios.

Por ejemplo, los subdominios son una zona de alta incidencia:

  • nas.example.com
  • home.example.com
  • dev.example.com
  • test.example.com
  • blog.example.com
  • work.example.com
  • webdav.example.com
  • frp.example.com
  • proxy.example.com

Estos son ejemplos al azar. Para ataques automatizados, definitivamente se usa un diccionario de subdominios para pruebas automatizadas.

Se puede montar un servidor DNS de red local, comoAdguardHome, configurando la resolución de nombres de dominio en él, y los dispositivos de la red interna acceden con IP fija.

DDNS también se puede implementar mediante la API deAdguardHome. Debido a que es una red local, el nombre de dominio se puede elegir libremente.

Uso de servicios de seguridad perimetral

No hace falta decir mucho sobre el dios cibernéticoCloudflare. Antes de que los aficionados a la tecnología encuentren un proyecto con valor comercial real, definitivamente será gratuito.

En China continental, está elESAde Alibaba Cloud. Lo estoy usando ambos. Alibaba Cloud es gratuito por 3 meses. Normalmente es de 10 yuanes por mes por dominio raíz con límite de 50G de tráfico. En comparación con el totalmente gratuito de CF, no lo presentaré más.

Los servicios de seguridad son generalmente caros. Si no se protege, las pérdidas por ataques son grandes. Si se protege pagando, se ve la “pérdida” directa todos los días.

Los servicios de seguridad perimetral son una especie de seguro, servicios de seguridad muy baratos y de alto rendimiento, un ejemplo típico de dejar que profesionales hagan trabajos profesionales.

La seguridad perimetral tiene como objetivo principal ocultar tu IP real. Los usuarios acceden a nodos perimetrales, y los nodos perimetrales deciden si acceder o no a la IP real.

Su esencia es un proxy inverso previo, integrado con funciones de caché, WAF, CDN, protección DDoS, etc. Debido a que se inserta un tercero entre el usuario y el servicio, existe cierta probabilidad de degradar la experiencia del usuario.

Estoy usando tanto CF como ESA. En resumen, se hace que una parte de los usuarios con mejor experiencia tengan una ligera caída en la experiencia, pero se mejora la experiencia para usuarios en más regiones. En general, sigue siendo muy valioso.

Resumen

Si es solo para servicios de uso personal, se recomienda usar VPN, tailscale o zerotier son buenas opciones. Si se necesita un servicio DNS, se puede montar AdGuardHome en la red interna, y usar AdGuardPrivate en la red pública.

Si es un servicio público para el acceso de la mayoría, lo mejor es usar Cloudflare. Si se preocupa por la velocidad de acceso en el continente, se usa Ali ESA

Estas prácticas de seguridad son solo de referencia, y se agradecen encarecidamente las sugerencias de los expertos de la comunidad V.