ممارسات أمان النطاقات الشخصية

تشارك هذه المقالة الخبرات العملية في مجال الأمان أثناء استخدام النطاقات الشخصية، بما في ذلك تحليل هجمات المسح الضوئي واستراتيجيات حماية النطاقات ووسائل الهجوم الشائعة واختيار خدمات الأمان عند الحافة والمحتوى الآخر.
Tags:
Categories:

مقدمة

في عصر الإنترنت، أصبحت الهجمات الإلكترونية أمراً شائعاً. كل يوم، هناك عدد لا يحصى من الأدوات الآلية التي تقوم بمسح كل ركن من أركان الإنترنت بحثاً عن الثغرات المحتملة. يعتقد الكثير من الناس أن الشركات الكبرى فقط هي من يصبحون هدفاً للهجمات، ولكن في الواقع، وبسبب انخفاض تكاليف الهجوم وانتشار الأدوات، فإن أي خدمة مكشوفة على الإنترنت قد تصبح هدفاً للهجوم.

تحليل حالات حقيقية

مثال على هجوم المسح الضوئي

لقد قمت بنشر موقع ويب صغير للعرض على Cloudflare، ورغم أنه يمتلك رابطين صالحين فقط:

إلا أنه لا يزال يعاني من هجمات المسح الضوئي باستمرار.

في البداية، كانت جميع الروابط الأخرى تُرجع 404، وفي اليوم نفسه الذي تم فيه إطلاقه، بدأت مضيفة في هونغ كونغ بالمسح، وعناوين IP المصدر تتغير يومياً، ولكن معظمها من هونغ كونغ. وبما أن بعض المستخدمين يزورون من خلال عناوين IP في هونغ كونغ، فلا يمكنني حظر المنطقة مباشرة.

جميع عناوين URL أعلاه هي محاولات تهدف لأغراض مختلفة، والـ Worker الخاص بي يعالج فقط / و /logs-collector، وهذه المحاولات المستمرة تهدف في الأساس إلى البحث عن الثغرات.

لكن هذا النوع من المسح يستهلك عدد الطلبات المجانية على CF ويُلوث سجلاتي، وهو أمر غير جيد.

لاحقاً، جعلت جميع الطلبات الأخرى تُرجع 200، مع إضافة Host on Cloudflare Worker, don't waste your time.

بهذا قل المسح الضوئي قليلاً، بالطبع أنا لا أعرف ما إذا كانت هناك علاقة سببية.

إذا كانت الخدمة تعمل على مضيفك الخاص، وتتم مسحها يومياً بهذا الشكل، ولم يتم إجراء تحديثات أمنية للخدمة، فستكون هناك ثغرة سيتم اكتشافها عاجلاً أم آجلاً.

بالنسبة للمهاجم، الأمر يتعلق بالمحاولات المستمرة في الوقت المحدد كل يوم، الإختراق الواحد يكفي، ومعظمها آلي وتكاليف المعدات والوقت ليست عالية.

تحليل التهديدات الأمنية

خصائص المهاجمين

  • الجرائم عبر الحدود شائعة، مما يقلل من إمكانية المحاسبة.
  • الاستخدام الواسع للأدوات الآلية، بما في ذلك أدوات مسح المنافذ مثل Nmap و Masscan.
  • هجمات مستمرة بتكلفة منخفضة.
  • وفرة موارد الأجهزة المصابة (Bots)، وتغير متكرر في عناوين IP.
  • عادة ما يتم اختيار وقت الهجوم في وقت متأخر من الليل أو في العطلات الرسمية.

طرق الهجوم الشائعة

  1. مسح المنافذ
    • مسح جماعي للمنافذ المفتوحة.
    • تحديد الخدمات الشائعة (SSH، RDP، MySQL، وما إلى ذلك).
  2. مسح الثغرات
    • مسح البرامج القديمة التي تحتوي على ثغرات معروفة.
    • التحديد من خلال خصائص المسار وخصائص اسم الملف.
  3. إنشاء مدخلات مخصصة لاستغلال ثغرات التحقق من صحة البيانات.

ممارسات الأمان

استخدام VPN بدلاً من الوكيل العكسي

معظم الناس لا يقومون بتحديث البرامج في الوقت المناسب، لذا من الأفضل عدم كشف نطاقك الخاص، حيث يمكن للمسح الضوئي بناء postfix و prefix، واختبار جميع أنواع النطاقات الفرعية.

على سبيل المثال، المناطق المتأثرة بشدة بالنطاقات الفرعية:

  • nas.example.com
  • home.example.com
  • dev.example.com
  • test.example.com
  • blog.example.com
  • work.example.com
  • webdav.example.com
  • frp.example.com
  • proxy.example.com

هذه مجرد أمثلة مكتوبة بشكل عشوائي، وبدون شك ستعتمد الهجمات الآلية على قاموس للنطاقات الفرعية وإجراء اختبارات آلية.

يمكنك إنشاء خادم DNS للشبكة المحلية، مثل AdguardHome، وتكوين تحليل النطاق عليه، بحيث تصل أجهزة الشبكة الداخلية إلى عناوين IP ثابتة.

يمكن أيضًا تنفيذ DDNS باستخدام API الخاص بـ AdguardHome. وبما أنها شبكة محلية، فيمكنك اختيار النطاق حسب رغبتك.

استخدام خدمات الأمان عند الحافة

لا داعي للحديث كثيراً عن Cloudflare (بودا السيبراني)، فبالنسبة للمتحمسين الأفراد قبل العثور على مشروع ذي قيمة تجارية حقيقية، سيبقى مجانياً بالتأكيد.

محلياً، هناك ESA من Alibaba Cloud، وأنا أستخدم كليهما، وخدمة Alibaba Cloud مجانية لمدة 3 أشهر، والسعر العادي هو 10 يوان شهرياً لكل نطاق جذر مع حد أقصى 50 جيجابايت من حركة المرور، وبالنظر إلى أن CF مجانية تماماً، لن أقدم الكثير من المعلومات عنها.

خدمات الأمان باهظة الثمن بشكل عام، وبدون حماية، ستكون الخسائر كبيرة عند التعرض للهجوم، وإذا دفعت للحماية، فإنك تشاهد “الخسارة” المباشرة كل يوم.

تعتبر خدمات الأمان عند الحافة نوعاً من التأمين، وهي خدمة أمنية رخيصة للغاية وعالية القيمة مقابل السعر، مثال كلاسيكي على ترك المحترفين يقومون بعملهم المهني.

الهدف الرئيسي للأمان عند الحافة هو إخفاء عنوان IP الحقيقي الخاص بك، حيث يصل المستخدم إلى عقدة الحافة، وتقوم عقدة الحافة بالحساب واتخاذ القرار حول ما إذا كان سيتم الوصول إلى IP الحقيقي من المصدر.

جوهرها هو وكيل عكسي أمامي يدمج وظائف مثل التخزين المؤقت و WAF و CDN وحماية DDoS. ونظراً لإدراج طرف ثالث بين المستخدم والخدمة، فمن المحتمل أن يؤدي ذلك إلى انخفاض في تجربة المستخدم بنسبة معينة.

أنا أستخدم CF و ESA، وبالملخص، فإن تجربة المستخدمين الذين كان لديهم أفضل تجربة تنخفض قليلاً، ولكن تجربة المستخدمين في مناطق أكثر تتحسن. بشكل عام، الأمر يستحق العناء.

الخلاصة

إذا كانت الخدمة للاستخدام الشخصي فقط، فمن الأفضل استخدام VPN أولاً، tailscale أو zerotier كلاهما خياران جيدان، وإذا كنت بحاجة إلى خدمة DNS، يمكنك إنشاء AdGuardHome في الشبكة الداخلية، ويمكنك استخدام AdGuardPrivate للشبكة العامة.

إذا كانت خدمة عامة ومتاحة للجمهور، فمن الأفضل استخدام Cloudflare، وإذا كنت تهتم بسرعة الوصول من البر الرئيسي للصين، فاستخدم 阿里 ESA.

هذه الممارسات الأمنية للمرجعية فقط، وترحيب كبير من قادة محطة V لتقديم الاقتراحات.