Sicherheitspraktiken für persönliche Domains

Dieser Artikel teilt Sicherheitspraktiken für den Betrieb persönlicher Domains, einschließlich Analyse von Scan-Angriffen, Domänen-Schutzstrategien, häufige Angriffsarten und Auswahl von Edge-Sicherheitsdiensten.
Tags:
Categories:

Einleitung

Im Internetzeitalter sind Cyberangriffe zur Normalität geworden. Täglich scannen unzählige automatisierte Tools jeden Winkel des Internets nach möglichen Schwachstellen. Viele glauben, nur große Unternehmen wären Angriffsziele, doch durch sinkende Angriffskosten und die Verbreitung von Tools kann jeder im Internet sichtbare Dienst zum Ziel werden.

Echte Fallanalysen

Beispiel für Scan-Angriffe

Eine kleine Showcase-Website, die ich bei Cloudflare betreibe, hat nur zwei gültige URLs:

Trotzdem wird sie weiterhin kontinuierlich von Scan-Angriffen betroffen.

Zunächst lieferten alle anderen URLs 404, am Tag der Inbetriebnahme begannen bereits Hongkonger Hosts zu scannen, die Quell-IPs wechselten täglich, meist aus Hongkong. Da einige Nutzer Hongkonger IPs zum Zugriff verwenden, kann das Land nicht einfach blockiert werden.

Alle diese URLs sind Versuche mit verschiedenen Zielen, mein Worker verarbeitet nur / und /logs-collector. Diese hartnäckigen Versuche zielen größtenteils darauf ab, Schwachstellen zu finden.

Solche Scans verbrauchen jedoch die kostenlosen Anfragen von CF und verschmutzen meine Logs, was ebenfalls kein gutes Zeichen ist.

Später habe ich alle anderen Anfragen mit 200 beantwortet und Host on Cloudflare Worker, don't waste your time hinzugefügt.

Seither wurde etwas weniger gescannt, ob dies jedoch kausal zusammenhängt, weiß ich nicht.

Wenn der Dienst auf einem eigenen Host läuft und täglich so gescannt wird, ohne dass Sicherheitsupdates durchgeführt werden, wird früher oder später eine Schwachstelle gefunden.

Für Angreifer bedeutet es lediglich, täglich automatisierte Versuche zu starten, jeder erfolgreiche Angriff zählt, die Geräte- und Zeitkosten sind gering.

Analyse der Sicherheitsbedrohungen

Merkmale von Angreifern

  • Häufig grenzüberschreitende Tatorte, verringern die Verfolgbarkeit
  • Weit verbreitete Nutzung automatisierter Tools wie Nmap, Masscan für Portscans
  • Kontinuierliche Angriffe mit geringen Kosten
  • Reiche Ressourcen an Botnetz-Hosts, IP-Adressen wechseln häufig
  • Angriffszeiten meist nachts oder an Feiertagen

Häufige Angriffsarten

  1. Portscans
    • Massenweise Scans offener Ports
    • Identifikation üblicher Dienste (SSH, RDP, MySQL usw.)
  2. Schwachstellenscans
    • Scans bekannter Schwachstellen in veralteten Softwareversionen
    • Erkennung durch Pfad- und Dateinamenmerkmale
  3. Selbst konstruierte Eingaben, durch Eingabevalidierungslücken

Sicherheitspraktiken

VPN statt Reverse Proxy verwenden

Die meisten Menschen aktualisieren ihre Software nicht rechtzeitig, daher ist es am besten, die eigene Domain nicht offenzulegen. Scans können Präfixe und Suffixe konstruieren und verschiedene Subdomains testen.

Zum Beispiel Subdomains, die häufig betroffen sind:

  • nas.example.com
  • home.example.com
  • dev.example.com
  • test.example.com
  • blog.example.com
  • work.example.com
  • webdav.example.com
  • frp.example.com
  • proxy.example.com

Diese sind spontan geschrieben, automatisierte Angriffe verwenden natürlich ein Subdomain-Wörterbuch für automatisierte Tests.

Ein lokales Netzwerk-DNS wie AdguardHome kann eingerichtet werden, mit konfigurierter Domänenauflösung, wobei alle internen Geräte feste IPs verwenden.

DDNS kann ebenfalls über die API von AdguardHome realisiert werden. Da es sich um ein lokales Netzwerk handelt, kann die Domain frei gewählt werden.

Edge-Sicherheitsdienste nutzen

Cyberbuddha Cloudflare braucht nicht viel Erklärung, solange Hobbyisten kein kommerziell wertvolles Projekt finden, bleibt es definitiv kostenlos.

Im Inland ist es Ali Cloud ESA, das ich drei Monate kostenlos nutze, normalerweise 10 Yuan pro Monat für eine Root-Domain mit 50G Traffic, im Vergleich zu CFs vollständiger kostenlosen Nutzung spare ich mir weitere Erläuterungen.

Sicherheitsdienste sind im Allgemeinen teuer, ohne Schutz entstehen bei Angriffen große Verluste, bezahlter Schutz bedeutet täglich direkte “Verluste” zu sehen.

Edge-Sicherheitsdienste sind eine Art Versicherung, sehr preiswert und hochwertige Sicherheitsdienste, typisches Beispiel für Spezialisten, die Spezialaufgaben erledigen.

Die Hauptaufgabe von Edge-Sicherheit ist es, die echte IP zu verbergen, Nutzer greifen Edge-Knoten an, Edge-Knoten treffen Entscheidungen, ob die echte IP angefragt wird.

Im Wesentlichen handelt es sich um einen vorgeschalteten Reverse Proxy, integriert mit Cache, WAF, CDN und DDoS-Schutz. Da ein Dritter zwischen Nutzer und Dienst eingefügt wird, kann es zu einer leichten Verschlechterung der Benutzererfahrung kommen.

Ich nutze sowohl CF als auch ESA, zusammenfassend lässt sich sagen, dass ein Teil der besten Nutzer etwas schlechtere Erfahrungen macht, aber mehr Nutzer aus verschiedenen Regionen bessere Erfahrungen haben. Insgesamt ist es dennoch sehr lohnenswert.

Zusammenfassung

Für private Dienste bevorzuge VPNs, tailscale oder zerotier sind gute Optionen, für DNS-Dienste kann AdGuardHome im lokalen Netzwerk eingerichtet werden, im Internet kann AdGuardPrivate genutzt werden.

Für öffentliche Dienste, die von der Allgemeinheit genutzt werden, ist Cloudflare zu empfehlen, für bessere Zugriffsgeschwindigkeiten in China Ali ESA.

Diese Sicherheitspraktiken dienen nur als Referenz, ich freue mich sehr über Vorschläge von V-Station-Experten.