Практика безопасности личных доменов: от сканирования атак к стратегии защиты
Categories:
Введение
В эпоху интернета безопасность доменов стала тем вопросом, на который должен обратить внимание каждый пользователь интернета. Каждый день бесчисленные автоматизированные инструменты сканируют каждый уголок интернета в поисках возможных уязвимостей. Многие считают, что только крупные предприятия становятся целями атак, но на самом деле из-за снижения стоимости атак и распространения инструментов любой сервис, доступный в интернете, может стать объектом атаки. Безопасность доменов касается не только личной конфиденциальности и защиты данных, но и является основой для поддержания стабильной работы сетевых сервисов. По мере эволюции угроз кибербезопасности создание комплексной системы защиты доменов становится все более важным, и именно поэтому мы продолжаем уделять внимание и делиться практическим опытом в области безопасности.
Анализ реальных случаев
Пример сканирующей атаки
Небольшой демонстрационный сайт, размещенный мной на Cloudflare, хотя и имеет только два действующих URL:
все же постоянно подвергается сканирующим атакам.
С самого начала запуска сайта все остальные URL возвращали 404, и в тот же день началось сканирование с хостов из Гонконга, исходные IP менялись ежедневно, но большинство приходилось из Гонконга. Поскольку часть пользователей приходится с IP-адресов из Гонконга, невозможно просто заблокировать этот регион. Этот случай иллюстрирует автоматизированный и продолжительный характер сетевых атак и напоминает нам о необходимости создания системной стратегии защиты доменов.
Все эти URL — это попытки с различными целями, мой worker обрабатывает только / и /logs-collector, эти настойчивые попытки в основном направлены на поиск уязвимостей. Эти попытки атак не только потребляют бесплатные запросы Cloudflare, но и загрязняют данные логов, создавая помехи для мониторинга системы.
Но такое сканирование, занимающее бесплатные запросы CF и загрязняющее мои логи, тоже не является чем-то хорошим.
Позже я настроил все остальные запросы на возврат 200 с сообщением Host on Cloudflare Worker, don't waste your time.
После изменений количество сканирований немного снизилось, и хотя причинно-следственную связь нельзя установить точно, такой подход действительно передает четкий сигнал.
Если сервис работает на собственном хосте и ежедневно подвергается такому сканированию, а обновления безопасности не применяются своевременно, рано или поздно будут обнаружены уязвимости и произойдет взлом. Вот почему мы подчеркиваем важность безопасности доменов — она касается не только успеха отдельной атаки, но и долгосрочного состояния безопасности системы.
Для злоумышленников такая атака — это ежедневные регулярные попытки, и каждая успешная атака приносит результат, в основном они автоматизированы, и затраты на оборудование и время невелики. Это также объясняет, почему сетевые атаки так распространены, потому что для злоумышленников это деятельность с низкими затратами и высокой отдачей.
Анализ угроз безопасности
Характеристики злоумышленников
Трансграничные операции — распространенная особенность сетевых атак, злоумышленники развертывают атакующие инфраструктуры в разных регионах, чтобы снизить вероятность привлечения к ответственности. Широкое использование автоматизированных инструментов значительно снижает стоимость атак, такие инструменты для сканирования портов, как Nmap и Masscan, стали стандартным оснащением для злоумышленников. Атаки обычно носят продолжительный характер и крайне дешевы. У злоумышленников есть достаточные ресурсы зомби-машин, позволяющие часто менять IP-адреса для обхода блокировок. Время атак обычно выбирается в поздние вечерние часы или в праздничные дни, когда мониторинг и реагирование могут быть менее эффективными.
Распространенные методы атак
Сканирование портов — это первый шаг атакующего, они массово сканируют открытые порты, идентифицируя часто используемые сервисы, такие как SSH, RDP, MySQL и т.д. Сканирование уязвимостей направлено на обнаружение устаревшего программного обеспечения с известными уязвимостями, определяя потенциальные поверхности атаки по характеристикам путей и имен файлов. Кроме того, злоумышленники сами создают различные входные данные, пытаясь получить системные привилегии через уязвимости валидации ввода.
Практические меры безопасности
Защита доменов требует применения различных стратегий в зависимости от типа сервиса. Для частных и публичных сервисов следует использовать совершенно разные схемы защиты.
flowchart TD
A[Развертывание доменных сервисов] e1@--> B{Определение типа сервиса}
B e2@-->|Частный сервис| C[Выбор VPN-решения]
B e3@-->|Публичный сервис| D[Выбор edge security services]
C e4@--> E[Настройка внутреннего DNS]
C e5@--> F[Развертывание Tailscale или ZeroTier]
C e6@--> G[Настройка доступа по фиксированному IP во внутренней сети]
D e7@--> H[Выбор Cloudflare]
D e8@--> I[Выбор Alibaba Cloud ESA]
D e9@--> J[Настройка WAF и DDoS-защиты]
E e10@--> K[Полная скрытность сервиса]
F e11@--> K
G e12@--> K
H e13@--> L[Скрытие реального IP]
I e14@--> L
J e15@--> L
classDef start fill:#E3F2FD,stroke:#1565C0,stroke-width:1px,color:#0D47A1;
classDef decision fill:#FFF8E1,stroke:#EF6C00,stroke-width:1px,color:#E65100;
classDef action fill:#E8F5E9,stroke:#2E7D32,stroke-width:1px,color:#1B5E20;
classDef result fill:#F3E5F5,stroke:#6A1B9A,stroke-width:1px,color:#4A148C;
classDef animate stroke:#EF6C00,stroke-width:2px,stroke-dasharray: 9\,5,stroke-dashoffset: 900,animation: dash 25s linear infinite;
class A start;
class B decision;
class e1,e2,e3,e4,e5,e6,e7,e8,e9,e10,e11,e12,e13,e14,e15 animate;
class C,D,E,F,G,H,I,J action;
class K,L result;
Использование VPN вместо обратного прокси
Большинство людей не обновляют программное обеспечение своевременно, поэтому лучшая стратегия — не раскрывать свой домен. Сканирующие атаки могут конструировать как префиксы, так и суффиксы, и будут пробоваться различные поддомены. Областью повышенного внимания при сканировании поддоменов являются такие имена, как nas, home, dev, test, blog, work, webdav, frp, proxy и т.д. Для автоматизации атак злоумышленники готовят словарь поддоменов и проводят автоматическое тестирование. Эти распространенные имена будут сканироваться в первую очередь, поэтому избегание использования этих очевидных имен поддоменов является базовой мерой защиты.
Для частных сервисов рекомендуется использовать VPN-технологии вместо обратного прокси, что позволяет полностью скрыть сервис во внутренней сети. Можно настроить DNS-сервер для локальной сети, например AdGuard Home, и сконфигурировать на нем разрешение доменных имен, чтобы устройства во внутренней сети обращались по фиксированному IP. AdGuard Home не только предоставляет DNS-сервис, но и обладает функциями блокировки рекламы и родительского контроля, что делает его идеальным выбором для домашней сетевой среды. DDNS также можно реализовать через API AdGuard Home, и поскольку это локальная сеть, доменные имена можно выбирать произвольно, без ограничений правил публичных доменов. Преимущество этого подхода в том, что сервис полностью не раскрывается в публичной сети, что естественным образом исключает риск сканирующих атак.
Использование edge security services
Для сервисов, которые должны быть доступны из публичной сети, edge security services — лучший выбор. Cloudflare предоставляет ведущие в мире edge security services, и его бесплатная версия полностью достаточна для индивидуальных разработчиков, пока они не найдут действительно коммерчески ценный проект. Alibaba Cloud ESA также является хорошим вариантом, новые пользователи могут бесплатно использовать его в течение 3 месяцев, а обычная плата составляет 10 юаней за корневой домен в месяц с ограничением 50 ГБ трафика. На фоне полностью бесплатных услуг Cloudflare основное преимущество ESA заключается в более высокой скорости доступа в материковом Китае.
Сервисы безопасности обычно дороги, но без защиты, в случае атаки, потери могут быть значительно больше. Если платить за защиту, это ежедневные прямые фиксированные расходы. Edge security services можно считать страховкой, очень дешевой и с высокой стоимостью, типичный пример того, чтобы профессионалы делали профессиональное дело.
Основная цель edge security services — скрыть ваш реальный IP. Пользователь обращается к edge-узлу, а edge-узел вычисляет, следует ли ему обращаться к исходному IP. По своей сути это предварительный обратный прокси, интегрирующий такие функции, как кэширование, WAF, CDN, DDoS-защита. Поскольку между пользователем и сервисом插入第三方的, есть определенная вероятность ухудшения пользовательского опыта. Я использую и Cloudflare, и ESA, и в целом можно сказать, что опыт лучшей части пользователей немного ухудшается, но опыт пользователей во многих других регионах улучшается. В целом это все еще очень стоящая инвестиция.
Заключение
Безопасность доменов — это системная инженерия, требующая применения различных стратегий защиты в зависимости от типа сервиса. Для частных сервисов приоритет отдается VPN-решениям, Tailscale и ZeroTier являются зрелыми и надежными вариантами. Если требуется DNS-сервис, во внутренней сети можно развернуть AdGuard Home, который предоставляет полное DNS-решение, включая блокировку рекламы и родительский контроль. Для потребностей доступа из публичной сети можно использовать AdGuard Private для предоставления зашифрованных DNS-услуг.
Для публичных сервисов, сервисов, предназначенных для массового доступа, лучше всего использовать edge security services. Cloudflare предоставляет ведущие в мире бесплатные услуги безопасности, подходящие для большинства индивидуальных разработчиков. Если вас особенно беспокоит скорость доступа в материковом Китае, можно выбрать Alibaba Cloud ESA, у которого более широкое распределение узлов в стране, что обеспечивает лучший локальный опыт.
Независимо от выбранного решения, ключевым является формирование осознанности в вопросах безопасности доменов, активное принятие защитных мер, а не пассивное ожидание атак. В кибербезопасности нет серебряной пули, лучше всего подходит то, что подходит именно вам.