Praktyka bezpieczeństwa domen osobistych

Ten artykuł dzieli się praktyką bezpieczeństwa podczas używania domen osobistych, w tym analizą ataków skanujących, strategią ochrony domen, typowymi metodami ataku oraz wyborem usług bezpieczeństwa brzegowego.
Tags:
Categories:

Wstęp

W erze internetu ataki sieciowe stały się normą. Co dzień niezliczone zautomatyzowane narzędzia skanują każdy zakątek internetu, poszukując potencjalnych luk. Wiele osób uważa, że celem ataków są tylko duże przedsiębiorstwa, ale rzeczywistość jest inna - ze względu na obniżające się koszty ataków i popularność narzędzi, każdy serwis wystawiony w internecie może zostać zaatakowany.

Analiza rzeczywistych przypadków

Przykład ataku skanującego

Mała witryna demonstracyjna, którą wdrożyłem na Cloudflare, mimo że miała tylko dwa ważne adresy URL:

wciąż systematycznie doświadczała ataków skanujących.

Początkowo inne adresy URL zwracały wszystkie 404, a tego samego dnia, w którym witryna została uruchomiona, zaczęto skanować z hosta z Hongkongu, źródłowy adres IP zmieniał się codziennie, ale większość pochodziła z Hongkongu. Ponieważ niektórzy użytkownicy odwiedzali stronę z adresów IP z Hongkongu, nie można było po prostu zablokować regionu.

Wszystkie te adresy URL to różne próby z różnymi celami, mój worker obsługuje tylko / i /logs-collector, te nieustające próby są głównie po to, aby znaleźć luki.

Jednak takie skanowanie zajmuje darmowe żądania CF, zanieczyszcza moje dzienniki, co również nie jest dobre.

Później wszystkie inne żądania zwracały 200, dodając Host on Cloudflare Worker, don't waste your time

W ten sposób skanowanie zmniejszyło się nieco, oczywiście nie wiem, czy istnieje związek przyczynowy.

Gdyby usługa działała na własnym serwerze i codziennie była skanowana w ten sposób, a usługa nie byłaby aktualizowana pod względem bezpieczeństwa, sooner or later zostanie znaleziona luka.

Dla atakującego chodzi o to, aby codziennie systematycznie próbować, im więcej uda się sforsować, tym lepiej, to zazwyczaj są zautomatyzowane działania, koszty urządzeń i czasu są niskie.

Analiza zagrożeń bezpieczeństwa

Cechy atakujących

  • Powszechne działania transgraniczne, zmniejszające możliwość odpowiedzialności
  • Szerokie wykorzystanie zautomatyzowanych narzędzi, w tym narzędzi do skanowania portów takich jak Nmap, Masscan
  • Ciągłe ataki, niskie koszty
  • Obfitość zasobów botnet, adresy IP często zmieniają się
  • Ataki zazwyczaj wybierają porę nocną lub święta

Typowe metody ataku

  1. Skanowanie portów
    • Masowe skanowanie otwartych portów
    • Identyfikacja popularnych usług (SSH, RDP, MySQL itp.)
  2. Skanowanie luk
    • Skanowanie starych oprogramowania znanego z luk
    • Identyfikacja poprzez cechy ścieżki i nazwy pliku
  3. Samodzielne konstruowanie danych wejściowych, wykorzystanie luk w weryfikacji danych wejściowych

Praktyka bezpieczeństwa

Używanie VPN zamiast reverse proxy

Większość ludzi nie aktualizuje oprogramowania na bieżąco, najlepiej nie odsłaniać własnej domeny, skanowanie może zarówno konstruować postfix, jak i prefix, próbując różnych subdomen.

Na przykład subdomeny w strefie zagrożenia:

  • nas.example.com
  • home.example.com
  • dev.example.com
  • test.example.com
  • blog.example.com
  • work.example.com
  • webdav.example.com
  • frp.example.com
  • proxy.example.com

To tylko przykłady, automatyczne ataki na pewno wykorzystują słownik subdomen i automatyczne testowanie.

Można zbudować serwer DNS w sieci LAN, na przykład AdguardHome, skonfigurować na nim rozpoznawanie nazw domen, a urządzenia wewnętrzne uzyskać dostęp przez stały adres IP.

DDNS można również zrealizować za pomocą API AdguardHome. Ponieważ jest to sieć LAN, domenę można wybrać dowolnie.

Korzystanie z usług bezpieczeństwa brzegowego

Cyber Buddy Cloudflare nie wymaga dalszych wyjaśnień, zanim osoby zajmujące się samodzielnym rozwijaniem projektów nie znajdą rzeczywiście komercyjnej wartości, zawsze będzie darmowy.

W Chinach jest to Alibaba Cloud ESA, którego używam oba, Alibaba Cloud jest darmowy przez 3 miesiące, normalnie to 10 yuanów miesięcznie za domenę główną z limitem 50 GB ruchu, wobec całkowicie darmowego CF nie będę się dłużej przedstawiał.

Usługi bezpieczeństwa są generalnie drogie, jeśli nie zastosuje się ochrony, straty w przypadku ataku są duże, a jeśli płaci się za ochronę, codziennie patrzy się na bezpośrednie “straty”.

Usługi bezpieczeństwa brzegowego są rodzajem ubezpieczenia, bardzo tanie, usługi bezpieczeństwa o bardzo wysokiej wartości, typowe zaangażowanie profesjonalistów do wykonywania profesjonalnej pracy.

Głównym celem bezpieczeństwa brzegowego jest ukrycie prawdziwego IP, użytkownicy uzyskują dostęp do węzłów brzegowych, węzły brzegowe podejmują decyzje, czy odwiedzić prawdziwe IP.

Jest to zasadniczo zaproponowany reverse proxy, zintegrowany z pamięcią podręczną, WAF, CDN, ochroną DDoS itp. Ponieważ w sieci użytkownik - serwer wstawiono trzecią osobę, istnieje pewne prawdopodobieństwo pogorszenia doświadczenia użytkownika.

Używam zarówno CF, jak i ESA, podsumowując, można powiedzieć, że pozwala najlepszej części użytkowników na nieco gorsze doświadczenie, ale poprawia doświadczenie użytkowników z większych regionów. Ogólnie rzecz biorąc, nadal jest to bardzo warte.

Podsumowanie

Jeśli chodzi tylko o usługi użytkowe, należy najpierw użyć VPN, tailscale lub zerotier są dobrymi wybierami, jeśli potrzebujesz usługi DNS, możesz zbudować AdGuardHome w sieci LAN, a w publicznej sieci możesz użyć AdGuardPrivate.

Jeśli chodzi o publiczne usługi dostępne dla szerokiej publiczności, najlepiej opakować Cloudflare, jeśli zależy Ci na prędkości dostępu na kontynencie, użyj Alibaba ESA

Ta praktyka bezpieczeństwa jest jedynie do celów informacyjnych, serdecznie zapraszamy ekspertów z V Station do przedstawienia sugestii.