ممارسات أمان النطاقات الشخصية

تشارك هذه المقالة الممارسات العملية للأمان أثناء استخدام النطاقات الشخصية، بما في ذلك تحليل هجمات المسح، واستراتيجيات حماية النطاق، وسائل الهجوم الشائعة، واختيار خدمات الأمان عند الحافة.
Tags:
Categories:

مقدمة

في عصر الإنترنت، أصبحت الهجمات السيبرانية أمراً طبيعياً. كل يوم، تقوم أدوات آلية لا حصر لها بمسح كل ركن من أركان الإنترنت بحثاً عن ثغرات محتملة. يعتقد الكثير من الناس أن الشركات الكبرى فقط هي التي ستكون هدفاً للهجمات، ولكن في الواقع، بسبب انخفاض تكلفة الهجوم وانتشار الأدوات، يمكن لأي خدمة مكشوفة على الإنترنت أن تصبح هدفاً للهجوم.

تحليل الحالات الواقعية

مثال على هجمات المسح

موقع عرض صغير نشرته على Cloudflare، ورغم أنه يحتوي فقط على عنوانين صالحين:

إلا أنه لا يزال يتعرض باستمرار لهجمات المسح.

في البداية، كانت جميع عناوين URL الأخرى تعيد 404، وفي يوم الإطلاق بدأت مضيفات في هونغ كونغ في المسح، وعنوان IP المصدر يتغير كل يوم، لكن معظمها من هونغ كونغ. ونظرًا لأن بعض المستخدمين يصلون من عناوين IP في هونغ كونغ، فلا يمكنني حظر المنطقة بشكل مباشر.

جميع عناوين URL هذه هي محاولات ذات أغراض مختلفة، يعالج الـ Worker الخاص بي فقط / و /logs-collector، وهذه المحاولات المستمرة تهدف في الأساس إلى العثور على الثغرات.

لكن هذا النوع من المسح يستهلك عدد الطلبات المجانية في CF، ويسجل سجلاتي بالقمامة، وهذا ليس أمراً جيداً.

لاحقاً، جعلت جميع الطلبات الأخرى تعيد 200، مع إضافة Host on Cloudflare Worker, don't waste your time.

بهذا قل المسح قليلاً، بالطبع لا أعرف ما إذا كان هناك علاقة سببية.

إذا كانت خدمة تعمل على مضيفك الخاص، وتُمسح كل يوم بهذه الطريقة، ولا يتم إجراء تحديثات أمنية للخدمة، فسيأتي اليوم الذي يتم فيه مسح ثغرة ما بالتأكيد.

بالنسبة للمهاجم، الأمر يتعلق بالمحاولة المستمرة كل يوم في الوقت المحدد، ومن يمكنه اختراق واحد فهو مكسب، والغالبية مؤتمتة، وتكلفة المعدات والوقت ليست عالية.

تحليل التهديدات الأمنية

خصائص المهاجمين

  • الجرائم عبر الحدود شائعة، مما يقلل من إمكانية المحاسبة.
  • الاستخدام الواسع للأدوات الآلية، بما في ذلك أدوات مسح المنافذ مثل Nmap و Masscan.
  • هجمات مستمرة بتكلفة زهيدة.
  • وفرة موارد أجهزة الزومبي، وعناوين IP تتغير بشكل متكرر.
  • عادة ما يتم اختيار وقت الهجوم في منتصف الليل أو في العطلات الرسمية.

طرق الهجوم الشائعة

  1. مسح المنافذ
    • مسح المنافذ المفتوحة دفعيًا.
    • تحديد الخدمات الشائعة (SSH، RDP، MySQL، إلخ).
  2. مسح الثغرات
    • مسح البرامج القديمة المعروفة بوجود ثغرات.
    • تحديد من خلال خصائص المسار وأسماء الملفات.
  3. بناء المدخلات يدوياً لاستغلال ثغرات التحقق من المدخلات.

الممارسات الأمنية

استخدام VPN بدلاً من الوكيل العكسي

معظم الناس لا يقومون بترقية البرامج في الوقت المناسب، ومن الأفضل عدم كشف اسم النطاق الخاص بك، حيث يمكن للمسح بناء postfix أو prefix، مع تجربة أنواع مختلفة من النطاقات الفرعية.

على سبيل المثال، المناطق المتضررة الشائعة للنطاقات الفرعية:

  • nas.example.com
  • home.example.com
  • dev.example.com
  • test.example.com
  • blog.example.com
  • work.example.com
  • webdav.example.com
  • frp.example.com
  • proxy.example.com

هذه مكتوبة عشوائياً، بالنسبة للهجوم الآلي، بالتأكيد سيتم إعداد قاموس للنطاقات الفرعية وإجراء اختبارات آلية.

يمكنك إنشاء خادم DNS للشبكة المحلية، مثل AdguardHome، وتكوين حل النطاق عليه، وتقوم أجهزة الشبكة الداخلية بالوصول عبر IP ثابت.

يمكن أيضًا تنفيذ DDNS باستخدام AdguardHome API. ونظرًا لأنها شبكة محلية، يمكن اختيار النطاق حسب الرغبة.

استخدام خدمات الأمان عند الحافة

لا داعي للحديث كثيرًا عن “Cloudflare” بودا السيبراني، فهو سيظل مجانيًا بالتأكيد قبل أن يجد الهواة الشخصيون مشروعًا ذا قيمة تجارية حقيقية.

محلياً، هناك ESA من Alibaba Cloud، وأنا أستخدم كلاهما، واستخدام Alibaba Cloud مجاني لمدة 3 أشهر، والسعر العادي هو 10 يوان شهريًا للنطاق الجذر محدود بـ 50 جيجابايت من حركة المرور، وبما أن CF مجاني بالكامل، فلن أقدم الكثير من التفاصيل.

خدمات الأمان بشكل عام باهظة الثمن، فبدون الحماية، ستكون الخسائر كبيرة عند التعرض للهجوم، وإذا دفعت للحماية، فستشاهد “الخسارة” المباشرة كل يوم.

تُعد خدمات الأمان عند الحافة نوعًا من التأمين، وهي خدمة أمنية رخيصة جدًا وممتازة من حيث التكلفة، حيث يتم تكليف المحترفين بعملهم المهني.

الهدف الرئيسي من الأمان عند الحافة هو إخفاء عنوان IP الحقيقي الخاص بك، حيث يصل المستخدم إلى عقدة الحافة، وتقرر عقدة الحافة ما إذا كان سيتم الوصول إلى IP الحقيقي أم لا.

جوهرها هو وكيل عكسي أمامي، يدمج وظائف مثل التخزين المؤقت، و WAF، و CDN، و DDoS Protection. ونظرًا لإدراج طرف ثالث بين المستخدم والخدمة، فهناك احتمال معين لتدهور تجربة المستخدم.

أنا أستخدم كلا من CF و ESA، وباختصار، فإنه يقلل تجربة المستخدمين الذين لديهم أفضل تجربة قليلاً، لكنه يحسن تجربة المستخدمين في مناطق أكثر. بشكل عام، لا يزال الأمر يستحق العناء للغاية.

الخاتمة

إذا كانت مجرد خدمات للاستخدام الشخصي، فالأفضل هو استخدام VPN، فإن tailscale أو zerotier كلاهما خيارات جيدة، وإذا كنت بحاجة إلى خدمة DNS، يمكنك إنشاء AdGuardHome على الشبكة الداخلية، ويمكنك استخدام AdGuardPrivate للإنترنت العام.

إذا كانت خدمة عامة ومتاحة للجمهور، فمن الأفضل استخدام Cloudflare، وإذا كنت تهتم بسرعة الوصول في البر الرئيسي للصين، فاستخدم Aliyun ESA.

هذه الممارسات الأمنية للمرجع فقط، ونرحب جداً بتقديم الاقتراحات من خبراء محطة V.