Pratiche di Sicurezza del Dominio Personale: Dalla Scansione degli Attacchi alle Strategie di Protezione

Analisi approfondita delle minacce di scansione che i domini personali affrontano, condivisione di strategie di protezione della sicurezza del dominio, inclusi consigli pratici come l’uso di VPN al posto dei proxy inversi, la distribuzione di servizi di sicurezza edge, per aiutare gli sviluppatori individuali a stabilire un completo sistema di protezione della sicurezza del dominio.
Tags:
Categories:

Prefazione

Nell’era di Internet, la sicurezza dei domini è diventata una questione che ogni utente di Internet deve affrontare. Ogni giorno innumerevoli strumenti automatizzati scansionano ogni angolo di Internet alla ricerca di potenziali vulnerabilità. Molti pensano che solo le grandi aziende siano obiettivi di attacco, ma in realtà, a causa della riduzione dei costi di attacco e della diffusione degli strumenti, qualsiasi servizio esposto su Internet può diventare un bersaglio. La sicurezza dei domini non riguarda solo la privacy personale e la protezione dei dati, ma è anche la base per mantenere il funzionamento stabile dei servizi di rete. Con l’evoluzione continua delle minacce alla sicurezza informatica, stabilire un completo sistema di protezione della sicurezza dei domini sta diventando sempre più importante, ed è per questo che continuiamo a prestare attenzione e a condividere esperienze pratiche di sicurezza.

Analisi di Casi Reali

Esempio di Attacco di Scansione

Un piccolo sito web espositivo che ho distribuito su Cloudflare, sebbene abbia solo due URL validi:

Log di accesso al sito web

continua comunque a subire attacchi di scansione.

Quando il sito è stato messo online, tutti gli altri URL restituivano 404, e lo stesso giorno un host di Hong Kong ha iniziato a scansionare, con l’IP di origine che cambiava quotidianamente, ma la maggior parte proveniva da Hong Kong. Poiché alcuni utenti provengono da IP di Hong Kong, non è possibile bloccare direttamente quella regione. Questo caso illustra le caratteristiche di automazione e continuità degli attacchi di rete, e ci ricorda che abbiamo bisogno di stabilire una strategia sistematica di protezione della sicurezza dei domini.

Log di attacco di scansione

Tutti questi URL sono tentativi con vari scopi; il mio worker gestisce solo / e /logs-collector, e questi tentativi persistenti sono fondamentalmente per cercare vulnerabilità. Questi tentativi di attacco non solo consumano le richieste gratuite di Cloudflare, ma contaminano anche i dati di log, causando interferenze nel monitoraggio del sistema.

Ma far sì che queste scansioni occupino le richieste gratuite di CF e contaminino i miei log non è una buona cosa.

Successivamente ho fatto sì che tutte le altre richieste restituissero 200, con un messaggio di提示 Host on Cloudflare Worker, don't waste your time.

Risposta modificata

Dopo la modifica, la quantità di scansioni è diminuita, anche se non possiamo essere certi della relazione di causalità, ma questo approccio ha effettivamente trasmesso un segnale chiaro.

Se si tratta di un servizio in esecuzione sul proprio host, essere scansionati in questo modo ogni giorno senza che il servizio venga aggiornato tempestivamente con patch di sicurezza, prima o poi verrà scansionata una vulnerabilità e si subirà un’intrusione. È per questo che enfatizziamo l’importanza della sicurezza dei domini: non riguarda solo il successo o il fallimento di un singolo attacco, ma riguarda anche la postura di sicurezza del sistema a lungo termine.

Per gli attaccanti, questo tipo di attacco consiste nel tentare incessantemente ogni giorno a orari fissi; se riescono a penetrare uno, è un successo. È quasi sempre automatizzato, con costi di apparecchiature e tempo molto bassi. Questo spiega anche perché gli attacchi di rete sono così diffusi: per gli attaccanti, è un’attività a basso costo e alto rendimento.

Analisi delle Minacce alla Sicurezza

Caratteristiche degli Attaccanti

Gli attacchi transfrontalieri sono una caratteristica comune degli attacchi di rete; gli attaccanti riducono la probabilità di essere ritenuti responsabili distribuendo infrastrutture di attacco in diverse regioni. L’uso diffuso di strumenti automatizzati riduce drasticamente i costi di attacco. Strumenti di scansione delle porte come Nmap e Masscan sono diventati standard per gli attaccanti. Gli attacchi sono tipicamente continui e hanno costi estremamente bassi. Gli attaccanti hanno risorse abbondanti di macchine compromesse (botnet) e possono cambiare frequentemente indirizzi IP per eludere i blocchi. Gli orari di attacco di solito scelgono le ore notturne o i giorni festivi, quando il monitoraggio e la risposta potrebbero essere più deboli.

Metodi di Attacco Comuni

La scansione delle porte è il primo passo per gli attaccanti; scansionano in blocco le porte aperte, identificando servizi comuni come SSH, RDP, MySQL, ecc. La scansione delle vulnerabilità invece mira a software obsoleti con vulnerabilità note, identificando potenziali superfici di attacco attraverso caratteristiche di percorso e nomi di file. Inoltre, gli attaccanti costruiscono vari input autonomamente, tentando di ottenere i privilegi di sistema attraverso vulnerabilità di convalida degli input.

Pratiche di Sicurezza

La protezione della sicurezza dei domini richiede strategie diverse a seconda del tipo di servizio. Per i servizi per uso personale e i servizi pubblici, dovrebbero essere adottati schemi di protezione completamente diversi.

flowchart TD
    A[Distribuzione del Servizio Dominio] e1@--> B{Determinazione Tipo Servizio}
    B e2@-->|Servizio Personale| C[Scegliere Soluzione VPN]
    B e3@-->|Servizio Pubblico| D[Scegliere Servizio di Sicurezza Edge]

    C e4@--> E[Configurare DNS Interno]
    C e5@--> F[Distribuire Tailscale o ZeroTier]
    C e6@--> G[Configurare Accesso IP Fisso Interno]

    D e7@--> H[Scegliere Cloudflare]
    D e8@--> I[Scegliere Alibaba Cloud ESA]
    D e9@--> J[Configurare WAF e Protezione DDoS]

    E e10@--> K[Servizio Completamente Nascosto]
    F e11@--> K
    G e12@--> K

    H e13@--> L[IP Reale Nascosto]
    I e14@--> L
    J e15@--> L

    classDef start fill:#E3F2FD,stroke:#1565C0,stroke-width:1px,color:#0D47A1;
    classDef decision fill:#FFF8E1,stroke:#EF6C00,stroke-width:1px,color:#E65100;
    classDef action fill:#E8F5E9,stroke:#2E7D32,stroke-width:1px,color:#1B5E20;
    classDef result fill:#F3E5F5,stroke:#6A1B9A,stroke-width:1px,color:#4A148C;
    classDef animate stroke:#EF6C00,stroke-width:2px,stroke-dasharray: 9\,5,stroke-dashoffset: 900,animation: dash 25s linear infinite;
    class A start;
    class B decision;
    class e1,e2,e3,e4,e5,e6,e7,e8,e9,e10,e11,e12,e13,e14,e15 animate;
    class C,D,E,F,G,H,I,J action;
    class K,L result;

Utilizzare VPN invece del Proxy Inverso

La maggior parte delle persone non aggiorna tempestivamente il software; la migliore strategia è non esporre il proprio dominio. Gli attacchi di scansione possono costruire sia prefissi che suffissi; tutti i tipi di sottodomini vengono tentati. Le aree pesantemente colpite dalla scansione dei sottodomini includono nas, home, dev, test, blog, work, webdav, frp, proxy, ecc. Per realizzare attacchi automatizzati, gli attaccanti preparano un dizionario di nomi di sottodomini e eseguono test automatizzati. Questi nomi comuni vengono scansionati per primi, quindi evitare di utilizzare questi nomi di sottodomini ovvi è una misura di protezione di base.

Per i servizi per uso personale, si consiglia di utilizzare la tecnologia VPN invece del proxy inverso, in modo da poter nascondere completamente il servizio nella rete interna. È possibile configurare un server DNS per la rete locale, come AdGuard Home, su cui configurare la risoluzione dei nomi di dominio, in modo che tutti i dispositivi interni accedano tramite IP fisso. AdGuard Home non solo fornisce servizi DNS, ma ha anche funzionalità di blocco degli annunci e controllo parentale, ed è una scelta ideale per ambienti di rete domestici. Anche il DDNS può essere implementato utilizzando l’API di AdGuard Home; poiché si tratta di un ambiente di rete locale, il nome di dominio può essere scelto liberamente, senza essere limitato dalle regole dei nomi di dominio pubblici. Il vantaggio di questo approccio è che il servizio non è esposto affatto su Internet pubblico, evitando naturalmente il rischio di attacchi di scansione.

Utilizzare Servizi di Sicurezza Edge

Per i servizi che devono essere accessibili pubblicamente, i servizi di sicurezza edge sono la scelta migliore. Cloudflare fornisce servizi di sicurezza edge all’avanguardia a livello globale; per gli sviluppatori individuali che non hanno ancora trovato un progetto con vero valore commerciale, la versione gratuita è più che sufficiente. Anche il servizio ESA di Alibaba Cloud in Cina è una buona opzione; i nuovi utenti possono provarlo gratuitamente per 3 mesi, e il costo normale è di 10 yuan al mese per un dominio radice, con un limite di 50 GB di traffico. Di fronte ai servizi completamente gratuiti di Cloudflare, il principale vantaggio dell’ESA risiede nella velocità di accesso ottimizzata nella regione della Cina continentale.

I servizi di sicurezza sono generalmente costosi, ma non fare protezione potrebbe portare a perdite maggiori in caso di attacco. Se si paga per la protezione, si guarda ogni giorno una spesa fissa diretta. I servizi di sicurezza edge sono come un’assicurazione, molto economici e con un ottimo rapporto qualità-prezzo, un classico esempio di far fare ai professionisti ciò in cui eccellono.

Lo scopo principale dei servizi di sicurezza edge è nascondere il proprio IP reale; gli utenti accedono ai nodi edge, e i nodi edge calcolano se inoltrare la richiesta all’IP reale. La sua essenza è un proxy inverso anteriore, che integra funzionalità di caching, WAF, CDN, protezione DDoS, ecc. Poiché tra l’utente e il servizio viene inserito un terzo, esiste una certa probabilità che l’esperienza utente peggiori. Io uso sia Cloudflare che ESA; in sintesi, si fa sì che l’esperienza migliore per una parte degli utenti diminuisca leggermente, ma che l’esperienza per più regioni migliori. Nel complesso, rimane comunque un investimento molto valido.

Conclusione

La sicurezza dei domini è un progetto sistematico che richiede strategie di protezione diverse a seconda del tipo di servizio. Per i servizi per uso personale, dare priorità alle soluzioni VPN; Tailscale e ZeroTier sono scelte mature e affidabili. Se è necessario un servizio DNS, si può configurare AdGuard Home nella rete interna, che fornisce una soluzione DNS completa, inclusa la funzionalità di blocco degli annunci e controllo parentale. Per le esigenze di accesso pubblico, si può utilizzare AdGuard Private per fornire servizi di risoluzione DNS crittografati.

Per i servizi pubblici, per i servizi a cui deve accedere il pubblico, è meglio applicare uno strato di servizio di sicurezza edge. Cloudflare fornisce protezione di sicurezza gratuita all’avanguardia a livello globale, adatta alla maggior parte degli sviluppatori individuali. Se si tiene particolarmente alla velocità di accesso nella regione della Cina continentale, si può scegliere Alibaba Cloud ESA, che ha una distribuzione di nodi più ampia in Cina ed è in grado di fornire un’esperienza localizzata migliore.

Indipendentemente dalla soluzione scelta, la chiave è stabilire la consapevolezza della sicurezza dei domini, adottare misure di protezione attivamente, invece di aspettare passivamente che si verifichi un attacco. Non esiste una soluzione magica nella sicurezza informatica; quella più adatta a sé è la migliore.