Pratiques de sécurité pour les domaines personnels

Introduction

À l’ère d’Internet, les cyberattaques sont devenues la norme. Chaque jour, d’innombrables outils automatisés parcourent chaque recoin d’Internet à la recherche de vulnérabilités potentielles. Beaucoup pensent que seules les grandes entreprises sont des cibles d’attaques, mais en réalité, en raison de la baisse des coûts d’attaque et de la popularisation des outils, tout service exposé sur Internet peut devenir une cible.

Analyse de cas réels

Exemple d’attaque par scan

J’ai déployé un petit site de démonstration sur Cloudflare, qui n’a que deux URL valides :

• https://weread-challenge.techfetch.dev/
• https://weread-challenge.techfetch.dev/logs-collector

Mais il subit toujours des attaques de scan continues.

Au début, toutes les autres URL renvoyaient 404, le jour de son lancement, un hôte de Hong Kong a commencé à scanner, l’IP source changeait tous les jours, mais la plupart provenaient de Hong Kong. Étant donné que certains utilisateurs accèdent avec une IP de Hong Kong, il n’est pas possible de bloquer directement la région.

Toutes ces URL sont des tentatives aux buts variés, mon worker ne traite que / et /logs-collector, ces tentatives obstinées visent essentiellement à trouver des failles.

Mais ce genre de scan consomme les requêtes gratuites de CF et pollue mes journaux, ce n’est pas une bonne chose.

Plus tard, j’ai fait en sorte que toutes les autres requêtes renvoient 200, avec le message Host on Cloudflare Worker, don't waste your time.

Ainsi, le nombre de scans a légèrement diminué, bien que je ne sache pas s’il y a un lien de causalité.

Si le service fonctionne sur son propre hôte et qu’il est constamment scanné sans mise à jour de sécurité, tôt ou tard, une vulnérabilité sera découverte.

Pour les attaquants, il s’agit simplement de tenter continuellement à intervalles réguliers, chaque réussite compte, et tout est largement automatisé, avec des coûts matériels et temporels très faibles.

Analyse des menaces de sécurité

Caractéristiques des attaquants

• Atteintes transfrontalières fréquentes, réduisant les possibilités de poursuites
• Utilisation généralisée d’outils automatisés, notamment des outils de scan de ports comme Nmap, Masscan, etc.
• Attaques continues à faible coût
• Ressources de machines zombies abondantes, adresses IP changeant fréquemment
• Les attaques ont généralement lieu la nuit ou pendant les vacances

Méthodes d’attaque courantes

1. Scan de ports
   • Scan en masse des ports ouverts
   • Identification des services courants (SSH, RDP, MySQL, etc.)
2. Scan de vulnérabilités
   • Scan de logiciels anciens présentant des vulnérabilités connues
   • Identification par caractéristiques de chemin et de nom de fichier
3. Construction automatique d’entrées, exploitation de vulnérabilités de validation d’entrée

Pratiques de sécurité

Utiliser un VPN plutôt qu’un reverse proxy

La plupart des gens ne mettent pas à jour leurs logiciels en temps voulu, il est donc préférable de ne pas exposer son domaine. Le scan peut à la fois construire un préfixe et un suffixe, testant divers sous-domaines.

Par exemple, les sous-domaines très ciblés :

• nas.example.com
• home.example.com
• dev.example.com
• test.example.com
• blog.example.com
• work.example.com
• webdav.example.com
• frp.example.com
• proxy.example.com
• …

Ce sont des exemples tirés du hasard, pour les attaques automatisées, il faut évidemment utiliser un dictionnaire de sous-domaines et tester automatiquement.

On peut installer un serveur DNS local, comme AdguardHome, configurer la résolution de domaine dessus, et faire accéder les appareils du réseau local avec des IP fixes.

Le DDNS peut également être réalisé via l’API d’AdguardHome. Étant donné que c’est un réseau local, le domaine peut être choisi librement.

Utiliser des services de sécurité périphérique

Cyber Bouddha Cloudflare ne nécessite pas de longs discours, tant que les amateurs de bricolage personnel ne trouvent pas de projet à valeur commerciale, il restera gratuit.

En Chine, il y a le ESA d’Alibaba Cloud, que j’utilise aussi. Alibaba Cloud est gratuit pendant 3 mois, normalement c’est 10 yuans par mois pour un domaine racine avec une limite de 50 Go de trafic, face à la gratuité totale de CF, je ne m’étendrai pas davantage.

Les services de sécurité sont généralement coûteux, ne pas se protéger entraîne de grosses pertes en cas d’attaque, et payer pour la protection signifie voir directement les “pertes” chaque jour.

Les services de sécurité périphérique sont une sorte d’assurance, très abordables, des services de sécurité à très haut rapport qualité-prix, typiquement faire faire par des professionnels ce qui est leur spécialité.

Le but principal de la sécurité périphérique est de cacher son IP réelle, les utilisateurs accèdent aux nœuds périphériques, qui décident par calcul si renvoyer ou non la requête vers l’IP réelle.

Son essence est un reverse proxy en amont, intégrant des fonctions de cache, WAF, CDN, protection DDoS, etc. Puisqu’un tiers s’intercale entre l’utilisateur et le service, il y a une certaine probabilité de dégradation de l’expérience utilisateur.

J’utilise à la fois CF et ESA, pour résumer, cela fait légèrement baisser l’expérience pour la partie des utilisateurs ayant la meilleure expérience, mais améliore l’expérience pour les utilisateurs de plus de régions. Globalement, cela reste très rentable.

Conclusion

Pour les services d’usage personnel, privilégiez l’utilisation d’un VPN, tailscale ou zerotier sont d’excellents choix, et pour le service DNS, vous pouvez installer AdGuardHome en réseau local, et utiliser AdGuardPrivate pour le réseau public.

Pour les services publics accessibles au grand public, il est préférable d’utiliser Cloudflare, et pour ceux qui souhaitent une vitesse d’accès en Chine continentale, utilisez Ali ESA

Ces pratiques de sécurité sont données à titre indicatif, et je suis très ouvert aux suggestions des experts du site V.

• ←Précédent
• Suivant→