ممارسات الأمان الشخصية للنطاقات

يناقش هذا المقال ممارسات الأمان الشخصية أثناء استخدام النطاقات، بما في ذلك تحليل هجمات الفحص، استراتيجيات حماية النطاقات، أساليب الهجوم الشائعة، واختيار خدمات الأمان الحدية.
Tags:
Categories:

مقدمة

في عصر الإنترنت، أصبحت هجمات الشبكة أمراً روتينياً. يومياً يتم فحص كل ركن من الإنترنت بواسطة أدوات أتمتة لا حصر لها للبحث عن نقاط الضعف المحتملة. يعتقد الكثيرون أن الشركات الكبيرة فقط هي التي تصبح أهدافاً للهجمات، ولكن في الواقع، وبفضل انخفاض تكلفة الهجمات وانتشار الأدوات، فإن أي خدمة مكشوفة على الإنترنت يمكن أن تصبح هدفاً.

تحليل حالات واقعية

مثال على هجوم فحص

أدرتُ موقعاً إلكترونياً صغيراً على Cloudflare، على الرغم من أنه يحتوي على URL صالح فقط:

لكنه لا يزال يتعرض لهجمات فحص مستمرة.

في البداية، كانت جميع URLs الأخرى تعيد 404، وفي اليوم الأول للإطلاق بدأ مضيف من هونغ كونغ بالمسح، ويومياً يتم تغيير IP المصدر، لكن معظمها من هونغ كونغ. وبما أن بعض المستخدمين يزورون من IP هونغ كونغ، لا يمكنني حظر المنطقة مباشرة.

جميع هذه URLs هي محاولات ذات أغراض مختلفة، وعملي فقط في worker يعالج / و /logs-collector، وهذه المحاولات المستمرة عادة ما تكون للبحث عن ثغرات.

ولكن هذا الفحص يستهلك عدد الطلبات المجانية في CF، ويُلوث سجلي، ولا شيء جيد.

لاحقاً، أعدت جميع الطلبات الأخرى بـ 200، مع إضافة Host on Cloudflare Worker, don't waste your time

هذا خفّض قليلاً من حدة الفحص، بالرغم من أنني لا أعرف ما إذا كان هناك علاقة سببية.

إذا كان الخدمة تعمل على جهازك الخاص، والفَحص المستمر لا يتوقف، وعدم تحديث الأمان للخدمة باستمرار، في النهاية سيتم اكتشاف الثغرة.

بالنسبة للهاجم، هو فقط يحاول يومياً بشكل دوري، كلما اخترق خدمة واحدة فهذا نجاح، وكلها أتمتة، وتكلفة المعدات والوقت ليست مرتفعة.

تحليل التهديدات الأمنية

خصائص الهاجمين

  • انتشار الجرائم عبر الحدود، يقلل من إمكانية الملاحقة
  • استخدام واسع لأدوات الأتمتة، بما في ذلك أدوات مسح المنافذ مثل Nmap و Masscan
  • هجمات مستمرة، تكلفة منخفضة
  • موارد “الخنازير” (أجهزة مخترقة) وفيرة، عناوين IP تتغير باستمرار
  • توقيت الهجوم عادة ما يكون في ساعات متأخرة من الليل أو في العطلات

أساليب الهجوم الشائعة

  1. مسح المنافذ
    • مسح منافذ مفتوحة بالجملة
    • التعرف على الخدمات الشائعة (SSH، RDP، MySQL، إلخ)
  2. مسح الثغرات
    • مسح البرمجيات القديمة ذات الثغرات المعروفة
    • التعرف عبر ميزات المسارات وأسماء الملفات
  3. بناء إدخالات يدوياً، والاختراق من خلال ثغرات التحقق من الإدخال

ممارسات الأمان

استخدام VPN بدلاً من عكس البروكسي

معظم الناس لا يقومون بتحديث البرمجيات في الوقت المناسب، لذلك من الأفضل عدم إظهار نطاقك، يمكن للفاحص أن يبني كل من postfix و prefix، ويجرب كل subdomain.

مثل مناطق subdomain المثقلة:

  • nas.example.com
  • home.example.com
  • dev.example.com
  • test.example.com
  • blog.example.com
  • work.example.com
  • webdav.example.com
  • frp.example.com
  • proxy.example.com

هذه أمثلة عشوائية، أما للهجوم الأتمتة فسيتم بالتأكيد استخدام قاموس subdomain للاختبار الأتمتة.

يمكن إعداد خادم DNS للشبكة المحلية، مثل AdguardHome، وتكوين تحليل النطاقات عليه، وتكون أجهزة الشبكة المحلية موصولة بـ IP ثابت.

يمكن تنفيذ DDNS أيضاً باستخدام API AdguardHome. وبما أنها شبكة محلية، يمكن اختيار النطاقات بحرية.

استخدام خدمات الأمان الحدية

赛博佛祖 Cloudflare لا يحتاج إلى مزيد من الحديث، قبل أن يجد المطورون الهواة مشروعًا ذو قيمة تجارية حقيقية، سيكون بالتأكيد مجانيًا دائمًا.

أما في الصين، فهناك ESA من Alibaba Cloud، أستخدمها كلا الطرفين، مدة استخدام ESA المجاني هي 3 أشهر، عادةً ما تكون 10 يوان صيني شهريًا لـ 50G من الحركة لجذر نطاق واحد، ولذلك لا أحتاج إلى تقديم مزيد من التفاصيل أمام CF المجاني بالكامل.

عادةً ما تكون خدمات الأمان باهظة الثمن، وإذا لم يتم الحماية، فإن الخسارة عند التعرض للهجوم كبيرة، وإذا تم الدفع للحماية، فستراقب “الخسارة” اليومية مباشرة.

تُعتبر خدمات الأمان الحدية نوعًا من التأمين، وهي خدمة أمان منخفضة التكلفة وعالية الجودة، نموذجية لجعل المتخصصين يقومون بالمهام المتخصصة.

الهدف الأساسي للأمان الحدي هو إخفاء IP الحقيقي الخاص بك، حيث يقوم المستخدم بالوصول إلى عقدة الحافة، وتقرر عقدة الحافة ما إذا كان سيتم الرجوع إلى IP الحقيقي.

جوهرها هو عكس بروكسي مسبق، مدمج مع التخزين المؤقت، WAF، CDN، وحماية DDoS وغيرها من الميزات. نظرًا لوجود طرف ثالث بين المستخدم والخدمة، هناك احتمال معين بأن يؤدي إلى انخفاض تجربة المستخدم.

أستخدم كلًا من CF و ESA، ويمكن تلخيص ذلك في أن جزءًا صغيرًا من المستخدمين الذين يتمتعون بأفضل تجربة يشهدون انخفاضًا طفيفًا في التجربة، ولكن تجربة المستخدمين في المزيد من المناطق تتحسن. بشكل عام، لا يزال الأمر يستحق ذلك.

خاتمة

إذا كانت الخدمة للإستخدام الخاص، يُفضل استخدام VPN، tailscale أو zerotier خيارات جيدة، وإذا كانت هناك حاجة لخدمة DNS يمكن إعداد AdGuardHome في الشبكة المحلية، واستخدام AdGuardPrivate للشبكة العامة.

أما إذا كانت خدمة عامة للجمهور، فمن الأفضل استخدام Cloudflare، وإذا كان هناك اهتمام بسرعة الوصول من القارة، فيمكن استخدام 阿里 ESA

هذه الممارسات الأمنية仅供参考، ونرحب جداً باقتراحات大佬们 من V-Zhan.