Veiligheidspraktijken voor persoonlijke domeinen

Dit artikel deelt veiligheidspraktijken voor het gebruik van persoonlijke domeinen, inclusief analyse van scan-aanvallen, domeinbeschermingsstrategieën, veelvoorkomende aanvalsmethoden en de keuze van edge security services.
Tags:
Categories:

Inleiding

In het tijdperk van internet zijn cyberaanvallen een normale zaak geworden. Elke dag scannen talloze geautomatiseerde tools het internet op zoek naar kwetsbare plekken. Velen denken dat alleen grote bedrijven doelwit zijn, maar door de verlaagde kosten en de populariteit van aanvalstools zijn in feite alle diensten die op internet staan, potentiële doelwitten.

Echte casussen

Scan-aanvalvoorbeeld

Een kleine demonstratiewebsite die ik heb gehost op Cloudflare, heeft slechts twee geldige URL’s:

Toch wordt deze website continu blootgesteld aan scan-aanvallen.

In het begin gaven alle andere URL’s een 404 terug. Op de eerste dag dat de site live ging, werd er al vanaf een Hongkongse host gescand. Het bron-IP wisselde dagelijks, maar meestal kwam het uit Hongkong. Aangezien sommige gebruikers vanuit Hongkong IP’s bezoeken, kan ik het gebied niet eenvoudig blokkeren.

Alle bovenstaande URL’s zijn pogingen met diverse doelstellingen. Mijn worker verwerkt alleen / en /logs-collector. Deze hardnekkige pogingen zijn in feite allemaal bedoeld om kwetsbaarheden te vinden.

Maar dit scannen verbruikt de gratis Cloudflare-aanvragen en vervuilt mijn logbestanden, wat ook niet ideaal is.

Later heb ik alle andere verzoeken een 200 laten retourneren, met de tekst: Host op Cloudflare Worker, verspil je tijd niet.

Sindsdien zijn de scans iets minder geworden, hoewel ik niet zeker weet of er een causaal verband is.

Als een service op je eigen server draait en deze dagelijks wordt gescand, zonder dat de beveiliging wordt bijgewerkt, is het slechts een kwestie van tijd voordat er een kwetsbaarheid wordt gevonden.

Voor aanvallers is het een kwestie van dagelijks automatisch blijven proberen. Het lukt de een, de ander niet. Het is meestal volledig geautomatiseerd, met weinig apparatuur- en tijdskosten.

Analyse van beveiligingsbedreigingen

Kenmerken van aanvallers

  • Grensoverschrijdende misdrijven zijn gebruikelijk, waardoor verantwoordelijkheid moeilijker is na te trekken
  • Gebruik van geautomatiseerde tools, waaronder Nmap, Masscan en andere poortscan tools
  • Continu aanvallen met lage kosten
  • Voldoende botnet resources, IP-adressen veranderen regelmatig
  • Aanvallen vinden meestal plaats in de late avond of tijdens feestdagen

Veelvoorkomende aanvalsmethoden

  1. Poortscanning
    • Bulkscanning van open poorten
    • Identificatie van veelgebruikte services (SSH, RDP, MySQL, etc.)
  2. Kwetsbaarheidsscanning
    • Scanning van bekende kwetsbaarheden in oude software
    • Identificatie via padkenmerken en bestandsnaamkenmerken
  3. Zelf geconstrueerde input, door invoervalidatiekwetsbaarheden te exploiteren

Veiligheidspraktijken

Gebruik van VPN in plaats van reverse proxy

De meeste mensen updaten hun software niet tijdig. Het is daarom beter om je domein niet bloot te stellen. Scanning kan zowel postfix als prefix construeren, en alle subdomeinen worden getest.

Bijvoorbeeld veelvoorkomende subdomeinen:

  • nas.example.com
  • home.example.com
  • dev.example.com
  • test.example.com
  • blog.example.com
  • work.example.com
  • webdav.example.com
  • frp.example.com
  • proxy.example.com

Dit zijn zomaar wat voorbeelden. Bij geautomatiseerde aanvallen wordt er meestal een woordenboek met subdomeinen gebruikt en automatisch getest.

Je kunt een DNS-server in je lokale netwerk opzetten, bijvoorbeeld AdguardHome, en daar domeinresolutie op configureren, zodat interne apparaten toegang hebben via een vast IP.

DDNS kan ook worden geïmplementeerd met de API van AdguardHome. Aangezien het een lokaal netwerk is, kun je het domein zelf kiezen.

Gebruik van edge security services

Cyber-Bodhisattva Cloudflare is bekend. Totdat hobbyisten echt een commercieel project vinden, zal het zeker gratis blijven.

In China is dat Alibaba ESA. Ik gebruik beide. Alibaba is gratis voor 3 maanden, normaal gesproken is het 10 yuan per maand voor één rootdomein met een limiet van 50 GB verkeer. In vergelijking met de volledig gratis Cloudflare, zal ik het niet verder introduceren.

Beveiligingsservices zijn over het algemeen duur. Zonder bescherming is de schade bij een aanval groot. Als je betaalt voor bescherming, zie je elke dag de directe “kosten”.

Edge security is een soort verzekering, zeer goedkoop en een uitstekende beveiligingsservice. Het is een typisch voorbeeld van het laten doen van gespecialiseerde taken door gespecialiseerde mensen.

Het doel van edge security is om het echte IP-adres te verbergen. Gebruikers bezoeken edge-nodes, en de edge-nodes beslissen of ze het echte IP-adres moeten benaderen.

In feite is het een front-end reverse proxy, geïntegreerd met caching, WAF, CDN en DDoS-bescherming. Omdat er een derde partij tussen de gebruiker en de service wordt geplaatst, kan het de gebruikerservaring enigszins beïnvloeden.

Ik gebruik zowel CF als ESA. Kort samengevat: het laat een deel van de gebruikers met de beste ervaring licht dalen, maar verbetert de ervaring voor gebruikers in meer regio’s. Over het geheel genomen is het nog steeds zeer de moeite waard.

Samenvatting

Voor gebruik door jezelf is het gebruik van een VPN het beste. tailscale of zerotier zijn goede keuzes. Als je DNS-service nodig hebt, kun je AdGuardHome in je lokale netwerk installeren, of AdGuardPrivate voor publiek gebruik.

Voor openbare diensten die toegankelijk zijn voor het publiek, is het het beste om een Cloudflare te gebruiken. Als je om de snelheid van toegang in het vasteland van China geeft, gebruik dan Ali ESA.

Deze veiligheidspraktijken zijn slechts richtlijnen. We zijn zeer geïnteresseerd in suggesties van experts op V-station.