Kişisel alan adı güvenliği uygulamaları

Bu makale, tarama saldırı analizleri, alan adı koruma stratejileri, yaygın saldırı yöntemleri ve边缘güvenlik hizmeti seçimi vb. konularda kişisel alan adı kullanım sürecindeki güvenlik deneyimlerini paylaşmaktadır.
Tags:
Categories:

Giriş

İnternet çağında siber saldırılar artık olağan hale gelmiştir. Her gün internetin her köşesindeki potansiyel açıkları arayan sayısız otomatik araç vardır. Birçok kişi yalnızca büyük işletmelerin saldırı hedefi olabileceğini düşünür, ancak saldırı maliyetlerinin düşmesi ve araçların yaygınlaşması sayesinde internet üzerinde açıkta kalan her hizmet saldırı hedefi olabilir.

Gerçek Vaka Analizi

Tarama Saldırısı Örneği

Cloudflare üzerinde dağıttığım küçük bir gösterim sitesi, sadece iki geçerli URL içeriyor:

Ancak yine de sürekli tarama saldırılarına maruz kalıyor.

Başlangıçta diğer tüm URL’ler 404 döndürüyordu, yayına girdiğim gün Hong Kong’dan gelen bir sunucu taramaya başladı, kaynak IP her gün değişiyor, ancak çoğunlukla Hong Kong’dan geliyor. Kullanıcıların bir kısmı Hong Kong IP’siyle eriştiğinden doğrudan bölgeyi yasaklayamıyorum.

Yukarıdaki tüm URL’ler çeşitli amaçlarla yapılan denemeler, worker’ım yalnızca / ve /logs-collector işliyor, bu kararlı denemelerin çoğu zaten açıkları bulmak için.

Ancak bu şekilde taramak CF ücretsiz istek sayısını tüketiyor, loglarımı kirletiyor, bu da iyi bir şey değil.

Daha sonra diğer tüm isteklere 200 döndürüp Host on Cloudflare Worker, don't waste your time ekledim.

Bu sayede biraz daha az tarama oldu, tabii bunun bir neden-sonuç ilişkisi olup olmadığını bilmiyorum.

Kendi sunucumuzda çalışan bir hizmette, her gün bu şekilde taranıp güvenlik güncellemeleri yapılmazsa, bir gün mutlaka bir açıklık bulunur.

Saldırganlar için ise, her gün düzenli olarak denemeye devam etmek, bir tane bile kırabilirse kazanç sağlarlar, hepsi otomatikleştirilmiş ve cihaz ve zaman maliyetleri düşük.

Güvenlik Tehdit Analizi

Saldırgan Özellikleri

  • Sınır ötesi suçlar yaygın, sorumluluk takibi azalır
  • Nmap, Masscan vb. port tarama araçları dahil otomatik araçlar yaygın kullanılır
  • Sürekli saldırılar, düşük maliyetli
  • Çıkır böcek kaynakları bol, IP adresleri sık sık değişir
  • Saldırı zamanı genellikle gece yarısı veya tatil günlerine denk gelir

Yaygın Saldırı Yöntemleri

  1. Port tarama
    • Açık portları toplu tarama
    • Kullanılan hizmetleri tanıma (SSH, RDP, MySQL vb.)
  2. Açıklık tarama
    • Eski yazılımlardaki bilinen açıklıkları tarama
    • Yol adı ve dosya adı özelliklerini kullanarak tanıma
  3. Özel giriş oluşturma, giriş doğrulama açıklarını kullanma

Güvenlik Uygulamaları

Ters proxy yerine VPN kullanma

Çoğu insan yazılımlarını zamanında güncellemez, bu yüzden alan adınızı açıkta bırakmamak en iyisi, tarama hem prefix hem de postfix oluşturabilir, alt alan adlarını denemek için.

Örneğin alt alan adı yoğun bölgeleri:

  • nas.example.com
  • home.example.com
  • dev.example.com
  • test.example.com
  • blog.example.com
  • work.example.com
  • webdav.example.com
  • frp.example.com
  • proxy.example.com

Bu sadece rastgele yazdıklarım, otomatik saldırı yapacaksanız alt alan adı sözlüğü alıp otomatik test yaparsınız.

Bir局域网 DNS sunucusu kurabilirsiniz, örneğin AdguardHome, üzerinde alan adı çözümlemesi yapıp,局域网 cihazlarının sabit IP ile erişmesini sağlayabilirsiniz.

DDNS’i de AdguardHome API’siyle gerçekleştirebilirsiniz.局域içinde olduğu için alan adını keyfi seçebilirsiniz.

Edge güvenlik hizmetlerini kullanma

Cyber Buddha Cloudflare‘den bahsetmeyeceğim, kişisel denemeciler ticari değeri olan projeyi bulana kadar kesinlikle ücretsiz kalacak.

Yerel olarak ise Alibaba Cloud ESA, ikisini de kullanıyorum, Alibaba Cloud’un ücretsiz 3 ay kullandığını, normalde bir kök alan adı için aylık 10 yuan, 50G trafiği sınırlandırıyor, CF tamamen ücretsizken fazla tanıtım yapmayacağım.

Güvenlik hizmetleri genellikle pahalı, koruma yapmazsanız saldırıya uğrarsanız büyük kayıp olur, ücretli koruma yaparsanız her gün doğrudan “kayıp” izlersiniz.

Edge güvenlik hizmeti bir tür sigorta gibi, çok uygun fiyatlı, maliyet performansı çok yüksek bir güvenlik hizmeti, tipik olarak uzmanların uzman işler yapması.

Edge güvenlik ana amacı gerçek IP’nizi gizlemek, kullanıcılar edge düğümüne erişir, edge düğümü gerçek IP’ye geri dönüş yapıp yapmayacağını hesaplar ve karar verir.

Esasen bir ön ters proxy, önbellek, WAF, CDN, DDoS koruması vb. fonksiyonları entegre eder. Kullanıcı ile hizmet arasına üçüncü bir taraf eklenmesi, bu yüzden kullanıcı deneyiminde düşüşe sebep olma ihtimali vardır.

CF ve ESA’yı ikisini de kullanıyorum, özetle en iyi deneyimi olan kullanıcıların deneyiminde hafif bir düşüş olsa da daha çok bölgedeki kullanıcıların deneyimini artırır. Genel olarak yine de çok değer.

Özet

Öncelikle sadece kendi kullanım hizmetleri için VPN kullanın, tailscale veya zerotier iyi seçenekler, DNS hizmeti ihtiyacınız olursa局域içinde AdGuardHome kurabilirsiniz,公网için AdGuardPrivate kullanabilirsiniz.

Açık halka hizmet veren hizmetler için ise Cloudflare kullanmanızı öneririm,大陆 erişim hızına önem veriyorsanız Alibaba ESA

Bu güvenlik uygulamaları sadece referans amaçlıdır, V站 uzmanların önerilerini sunmalarını memnuniyetle karşılarım.