Praktyki bezpieczeństwa osobistych domen: od skanowania ataków do strategii ochrony
Categories:
Wstęp
W dobie internetu bezpieczeństwo domen stało się problemem, na który musi zwrócić uwagę każdy użytkownik internetu. Każdego dnia niezliczone narzędzia automatyczne skanują każdy zakamarek internetu w poszukiwaniu potencjalnych luk. Wiele osób uważa, że tylko duże przedsiębiorstwa stają się celem ataków, ale w rzeczywistości, ze względu na obniżenie kosztów ataków i powszechność narzędzi, każda usługa wystawiona w internecie może stać się celem. Bezpieczeństwo domen dotyczy nie tylko prywatności i ochrony danych, ale także jest podstawą utrzymania stabilnego działania usług sieciowych. W miarę jak zagrożenia cyberbezpieczeństwa ciągle ewoluują, budowanie kompleksowego systemu ochrony bezpieczeństwa domen staje się coraz ważniejsze, dlatego też stale monitorujemy i dzielimy się doświadczeniami w zakresie bezpieczeństwa.
Analiza rzeczywistych przypadków
Przykład ataku skanującego
Mała strona pokazowa, którą wdrożyłem na Cloudflare, mimo że ma tylko dwa prawidłowe adresy URL:
ale nadal jest stale atakowana przez skanowanie.
Kiedy strona została uruchomiona, wszystkie inne adresy URL zwracały 404, a już tego samego dnia hosty z Hongkongu zaczęły skanować. Adresy IP źródłowe zmieniały się codziennie, ale większość pochodziła z Hongkongu. Ponieważ część użytkowników pochodzi z adresów IP z Hongkongu, nie można było po prostu zablokować tego regionu. Ten przypadek ilustruje automatyczny i ciągły charakter ataków sieciowych i przypomina nam, że potrzebujemy systemowej strategii ochrony bezpieczeństwa domen.
Wszystkie te adresy URL to próby o różnych celach - mój worker obsługuje tylko / i /logs-collector, a te uporczywe próby są zasadniczo skierowane na znalezienie luk. Te próby ataków nie tylko zużywają darmowe limity żądań Cloudflare, ale też zanieczyszczają dane logów i zakłócają monitorowanie systemu.
Ale takie skanowanie zajmuje darmowe żądania CF i zanieczyszcza moje logi, co również nie jest dobrym rozwiązaniem.
Później zmieniłem wszystkie inne żądania, aby zwracały 200 z komunikatem Host on Cloudflare Worker, don't waste your time.
Po modyfikacji skanowanie nieco się zmniejszyło. Chociaż nie możemy stwierdzić z pewnością związku przyczynowo-skutkowego, takie działanie rzeczywiście przekazuje jasny sygnał.
Jeśli usługa działa na własnym hoście i jest codziennie skanowana w ten sposób, a usługa nie jest na bieżąco aktualizowana pod kątem bezpieczeństwa, w końcu zostanie wykryta luka i dozna ataku. Dlatego podkreślamy znaczenie bezpieczeństwa domen - nie chodzi tylko o powodzenie pojedynczego ataku, ale o długoterminową sytuację bezpieczeństwa systemu.
Dla atakujących ten rodzaj ataku to codzienne, regularne próby - jeśli uda się włamać do jednego systemu, to już jest to sukces. Są one w większości zautomatyzowane, a koszty sprzętu i czasu są niskie. To również wyjaśnia, dlaczego ataki sieciowe są tak powszechne - dla atakujących jest to aktywność o niskich kosztach i wysokim potencjalnym zysku.
Analiza zagrożeń bezpieczeństwa
Charakterystyka atakujących
Przekraczanie granic jest częstą cechą ataków sieciowych - atakujący poprzez rozmieszczenie infrastruktury atakującej w różnych regionach zmniejszają prawdopodobieństwo pociągnięcia ich do odpowiedzialności. Szerokie wykorzystanie narzędzi automatycznych znacznie obniża koszty ataków - narzędzia do skanowania portów takie jak Nmap i Masscan stały się standardowym wyposażeniem atakujących. Ataki są zazwyczaj ciągłe i niezwykle tanie. Atakujący mają dostęp do ogromnych zasobów kompromitowanych systemów (botnetów), dzięki czemu mogą często zmieniać adresy IP, aby omijać blokady. Czas ataków jest zwykle wybierany na późne godziny lub święta, kiedy monitoring i reakcja mogą być słabsze.
Typowe metody ataków
Skanowanie portów to pierwszy krok atakujących - skanują one partiami otwarte porty, identyfikując powszechnie używane usługi takie jak SSH, RDP, MySQL itp. Skanowanie luk dotyczy starszego oprogramowania z znanymi lukami - poprzez analizę ścieżek i nazw plików identyfikują potencjalne pola ataku. Ponadto atakujący konstruują różne dane wejściowe, próbując wykorzystać luki w walidacji wejścia, aby uzyskać uprawnienia systemowe.
Praktyki bezpieczeństwa
Ochrona bezpieczeństwa domen wymaga różnych strategii w zależności od typu usługi. Dla usług prywatnych i publicznych należy stosować całkowicie różne rozwiązania ochronne.
flowchart TD
A[Wdrożenie usługi domenowej] e1@--> B{Ocena typu usługi}
B e2@-->|Usługa prywatna| C[Wybierz rozwiązanie VPN]
B e3@-->|Usługa publiczna| D[Wybierz usługę bezpieczeństwa brzegowego]
C e4@--> E[Skonfiguruj DNS wewnętrzny]
C e5@--> F[Wdróż Tailscale lub ZeroTier]
C e6@--> G[Skonfiguruj dostęp do stałego IP w sieci wewnętrznej]
D e7@--> H[Wybierz Cloudflare]
D e8@--> I[Wybierz Alibaba Cloud ESA]
D e9@--> J[Skonfiguruj ochronę WAF i DDoS]
E e10@--> K[Usługa całkowicie ukryta]
F e11@--> K
G e12@--> K
H e13@--> L[Ukrycie prawdziwego IP]
I e14@--> L
J e15@--> L
classDef start fill:#E3F2FD,stroke:#1565C0,stroke-width:1px,color:#0D47A1;
classDef decision fill:#FFF8E1,stroke:#EF6C00,stroke-width:1px,color:#E65100;
classDef action fill:#E8F5E9,stroke:#2E7D32,stroke-width:1px,color:#1B5E20;
classDef result fill:#F3E5F5,stroke:#6A1B9A,stroke-width:1px,color:#4A148C;
classDef animate stroke:#EF6C00,stroke-width:2px,stroke-dasharray: 9\,5,stroke-dashoffset: 900,animation: dash 25s linear infinite;
class A start;
class B decision;
class e1,e2,e3,e4,e5,e6,e7,e8,e9,e10,e11,e12,e13,e14,e15 animate;
class C,D,E,F,G,H,I,J action;
class K,L result;
Używanie VPN zamiast reverse proxy
Większość ludzi nie aktualizuje oprogramowania na bieżąco, więc najlepszą strategią jest nie ujawnianie swojej domeny. Ataki skanujące mogą konstruować zarówno prefiksy, jak i sufiksy - wszystkie możliwe subdomeny będą testowane. Obszary szczególnie narażone na skanowanie subdomen obejmują nas, home, dev, test, blog, work, webdav, frp, proxy itp. Aby przeprowadzić zautomatyzowany atak, atakujący przygotowuje słownik subdomen i wykonuje zautomatyzowane testy. Te powszechne nazwy są skanowane w pierwszej kolejności, dlatego unikanie oczywistych nazw subdomen jest podstawowym środkiem ostrożności.
Dla usług prywatnych zaleca się użycie technologii VPN zamiast reverse proxy, co pozwala całkowicie ukryć usługę w sieci wewnętrznej. Można skonfigurować serwer DNS w sieci lokalnej, taki jak AdGuard Home, na którym skonfiguruje się rozpoznawanie nazw domenowych, aby urządzenia w sieci wewnętrznej uzyskiwały dostęp przez stały adres IP. AdGuard Home nie tylko zapewnia usługi DNS, ale także oferuje blokowanie reklam i funkcje kontroli rodzicielskiej, co czyni go idealnym wyborem w środowisku sieci domowej. DDNS można również zrealizować za pomocą API AdGuard Home - ponieważ jest to środowisko sieci lokalnej, nazwy domenowe można dowolnie wybierać, bez ograniczeń związanych z publicznymi nazwami domenowymi. Zaletą tego podejścia jest to, że usługa w ogóle nie jest wystawiona w internecie, co naturalnie eliminuje ryzyko ataków skanujących.
Używanie usług bezpieczeństwa brzegowego
Dla usług, które muszą być dostępne z internetu, usługi bezpieczeństwa brzegowego są najlepszym wyborem. Cloudflare oferuje światowej klasy usługi bezpieczeństwa brzegowego, a jego wersja darmowa jest w pełni wystarczająca, zanim indywidualny deweloper znajdzie projekt o prawdziwej wartości komercyjnej. Chiński Alibaba Cloud ESA również jest dobrym wyborem - nowi użytkownicy mogą skorzystać z 3-miesięcznego darmowego okresu próbnego, a standardowa opłata to 10 yuan miesięcznie za domenę główną z limitem 50 GB ruchu. W porównaniu z całkowicie darmowymi usługami Cloudflare, główną zaletą ESA jest lepsza prędkość dostępu w regionie Chin kontynentalnych.
Usługi bezpieczeństwa są generalnie drogie, ale bez ochrony straty w przypadku ataku mogą być znacznie większe. Jeśli płacimy za ochronę, mamy stały, bezpośredni koszt każdego dnia. Usługi bezpieczeństwa brzegowego można uznać za ubezpieczenie - bardzo tanie i o wysokim stosunku jakości do ceny, typowy przykład ’niech profesjonaliści robią to, co robią najlepiej'.
Głównym celem usług bezpieczeństwa brzegowego jest ukrycie prawdziwego adresu IP. Użytkownik uzyskuje dostęp do węzła brzegowego, a ten węzeł decyduje, czy ma się połączyć z oryginalnym adresem IP. W istocie jest to wstępny reverse proxy, który integruje funkcje takie jak cache, WAF, CDN, ochrona przed DDoS. Ponieważ między użytkownikiem a usługą znajduje się trzecia strona, istnieje pewne prawdopodobieństwo pogorszenia doświadczenia użytkownika. Korzystam zarówno z Cloudflare, jak i ESA - podsumowując, niewielu najlepszych użytkowników doświadcza nieco gorszego doświadczenia, ale znacznie więcej użytkowników z różnych regionów ma lepsze doświadczenie. Ogólnie rzecz biorąc, to nadal bardzo wartościowa inwestycja.
Podsumowanie
Bezpieczeństwo domen to system inżynieryjny, który wymaga różnych strategii ochronnych w zależności od typu usługi. Dla usług prywatnych priorytetem jest rozwiązanie VPN - zarówno Tailscale, jak i ZeroTier są dojrzałymi i niezawodnymi opcjami. Jeśli potrzebujesz usług DNS, możesz skonfigurować AdGuard Home w sieci wewnętrznej - oferuje on kompleksowe rozwiązanie DNS, w tym blokowanie reklam i funkcje kontroli rodzicielskiej. Dla potrzeb dostępu publicznego można użyć AdGuard Private, aby zapewnić szyfrowane usługi rozpoznawania nazw domenowych.
Dla usług publicznych, które mają być dostępne dla szerokiej publiczności, najlepiej jest umieścić je za warstwą usługi bezpieczeństwa brzegowego. Cloudflare oferuje światowej klasy darmową ochronę bezpieczeństwa, odpowiednią dla większości indywidualnych deweloperów. Jeśli szczególnie zależy Ci na szybkości dostępu w regionie Chin kontynentalnych, możesz wybrać Alibaba Cloud ESA, który ma szerszą dystrybucję węzłów w Chinach i może zapewnić lepsze doświadczenie lokalne.
Niezależnie od wybranej opcji, kluczowe jest zbudowanie świadomości bezpieczeństwa domen, aktywne podejmowanie środków ochronnych zamiast biernego czekania na ataki. W cyberbezpieczeństwie nie ma ‘srebrnej kuli’ - najlepsze jest to, co najlepiej pasuje do Twoich potrzeb.