Prácticas de Seguridad de Dominios Personales: Desde Ataques de Escaneo hasta Estrategias de Protección

Análisis en profundidad de las amenazas de ataques de escaneo que enfrentan los dominios personales, comparte estrategias de protección de dominios, incluyendo consejos prácticos como usar VPN en lugar de proxy inverso y desplegar servicios de seguridad en el edge, ayudando a los desarrolladores individuales a establecer un sistema completo de protección de seguridad de dominios.
Tags:
Categories:

Prefacio

En la era de Internet, la seguridad de los dominios se ha convertido en un problema que todo usuario de Internet debe prestar atención. Cada día, innumerables herramientas automatizadas escanean cada rincón de Internet, buscando posibles vulnerabilidades. Mucha gente piensa que solo las grandes empresas se convierten en objetivos de ataque, pero en realidad, debido a la reducción de los costos de ataque y la popularización de las herramientas, cualquier servicio expuesto a Internet puede convertirse en un objetivo. La seguridad de los dominios no solo se trata de la privacidad personal y la protección de datos, sino también de la base para mantener el funcionamiento estable de los servicios de red. A medida que las amenazas de ciberseguridad continúan evolucionando, establecer un sistema completo de protección de seguridad de dominios se vuelve cada vez más importante, y esta es también la razón por la que continuamos centrándonos y compartiendo experiencias prácticas de seguridad.

Análisis de Casos Reales

Ejemplo de Ataque de Escaneo

Desplegué un pequeño sitio web de exhibición en Cloudflare, aunque solo tiene dos URLs válidas:

Logs de Acceso al Sitio Web

Pero aún así sufre continuamente ataques de escaneo.

Cuando el sitio web se puso en línea por primera vez, todas las demás URLs devolvían 404, y el mismo día, un host de Hong Kong comenzó a escanear, con la IP de origen cambiando diariamente, pero en su mayoría desde Hong Kong. Dado que algunos usuarios provienen de IPs de Hong Kong, es imposible bloquear directamente esa región. Este caso ilustra las características automatizadas y continuas de los ciberataques, y también nos recuerda que necesitamos establecer una estrategia sistemática de protección de seguridad de dominios.

Logs de Ataque de Escaneo

Todas estas URLs son intentos con varios propósitos; mi worker solo maneja / y /logs-collector, y estos intentos persistentes son básicamente todos para buscar vulnerabilidades. Estos intentos de ataque no solo consumen la cuota de solicitudes gratuitas de Cloudflare, sino que también contaminan los datos de registro, causando interferencia en el monitoreo del sistema. Pero que este escaneo consuma las solicitudes gratuitas de CF y contamine mis registros tampoco es algo bueno.

Más tarde, hice que todas las demás solicitudes devolvieran 200, y añadí un mensaje Host on Cloudflare Worker, don't waste your time.

Respuesta Modificada

Después de la modificación, el volumen de escaneo disminuyó un poco. Aunque no se puede confirmar la causalidad, este enfoque efectivamente transmite una señal clara.

Si fuera un servicio ejecutándose en mi propio host, siendo escaneado así todos los días, y el servicio no actualizando la seguridad de manera oportuna, eventualmente sería escaneado en busca de vulnerabilidades e invadido. Esta es la razón por la que enfatizamos la importancia de la seguridad de los dominios; no se trata solo de si un solo ataque tiene éxito, sino también de la postura de seguridad a largo plazo del sistema.

Para los atacantes, este tipo de ataque es simplemente intentar sin parar todos los días a una hora programada; romper uno es una ganancia, básicamente todo automatizado, con bajos costos de equipo y tiempo. Esto también explica por qué los ciberataques son tan prevalentes, porque para los atacantes, es una actividad de bajo costo y alto retorno.

Análisis de Amenazas de Seguridad

Características de los Atacantes

Las operaciones transfronterizas son una característica común de los ciberataques; los atacantes despliegan instalaciones de ataque en diferentes regiones para reducir la posibilidad de ser responsabilizados. El uso generalizado de herramientas automatizadas ha reducido drásticamente los costos de ataque; herramientas de escaneo de puertos como Nmap y Masscan se han convertido en equipo estándar para los atacantes. Los ataques suelen ser continuos y de costo extremadamente bajo. Los atacantes tienen amplios recursos de máquinas comprometidas (zombies) y pueden cambiar frecuentemente las direcciones IP para eludir los bloqueos. Los tiempos de ataque suelen elegirse durante la noche o los días festivos, cuando el monitoreo y la respuesta pueden ser más débiles.

Métodos de Ataque Comunes

El escaneo de puertos es el primer paso del atacante; escanean en lote los puertos abiertos, identificando servicios comunes como SSH, RDP, MySQL, etc. El escaneo de vulnerabilidades se dirige a vulnerabilidades conocidas en software desactualizado, identificando superficies de ataque potenciales a través de características de rutas y características de nombres de archivo. Además, los atacantes construyen varias entradas por sí mismos, intentando obtener privilegios del sistema a través de vulnerabilidades de validación de entrada.

Prácticas de Seguridad

La protección de seguridad de dominios requiere diferentes estrategias según el tipo de servicio. Para los servicios de uso propio y los servicios públicos, deben adoptarse esquemas de protección completamente diferentes.

flowchart TD
    A[Despliegue de Servicio de Dominio] e1@--> B{Determinación de Tipo de Servicio}
    B e2@-->|Servicio de Uso Propio| C[Seleccionar Solución VPN]
    B e3@-->|Servicio Público| D[Seleccionar Servicio de Seguridad en el Edge]

    C e4@--> E[Configurar DNS Interno]
    C e5@--> F[Desplegar Tailscale o ZeroTier]
    C e6@--> G[Configurar Acceso IP Fijo en Red Interna]

    D e7@--> H[Seleccionar Cloudflare]
    D e8@--> I[Seleccionar Alibaba Cloud ESA]
    D e9@--> J[Configurar Protección WAF y DDoS]

    E e10@--> K[Servicio Completamente Oculto]
    F e11@--> K
    G e12@--> K

    H e13@--> L[IP Real Oculto]
    I e14@--> L
    J e15@--> L

    classDef start fill:#E3F2FD,stroke:#1565C0,stroke-width:1px,color:#0D47A1;
    classDef decision fill:#FFF8E1,stroke:#EF6C00,stroke-width:1px,color:#E65100;
    classDef action fill:#E8F5E9,stroke:#2E7D32,stroke-width:1px,color:#1B5E20;
    classDef result fill:#F3E5F5,stroke:#6A1B9A,stroke-width:1px,color:#4A148C;
    classDef animate stroke:#EF6C00,stroke-width:2px,stroke-dasharray: 9\,5,stroke-dashoffset: 900,animation: dash 25s linear infinite;
    class A start;
    class B decision;
    class e1,e2,e3,e4,e5,e6,e7,e8,e9,e10,e11,e12,e13,e14,e15 animate;
    class C,D,E,F,G,H,I,J action;
    class K,L result;

Usar VPN en lugar de Proxy Inverso

La mayoría de las personas no actualizan el software de manera oportuna; la mejor estrategia es no exponer el dominio. Los ataques de escaneo pueden construir tanto prefijos como sufijos; todo tipo de subdominios serán probados. Las zonas de alto riesgo de escaneo de subdominios incluyen nas, home, dev, test, blog, work, webdav, frp, proxy, etc. Para lograr ataques automatizados, los atacantes prepararán un diccionario de subdominios y realizarán pruebas automatizadas. Estos nombres comunes serán escaneados primero, por lo que evitar el uso de estos nombres de subdominio obvios es una medida de protección básica.

Para los servicios de uso propio, se recomienda utilizar tecnología VPN en lugar de proxy inverso, lo que puede ocultar completamente el servicio dentro de la red interna. Puedes configurar un servidor DNS de red de área local, como AdGuard Home, y configurar la resolución de dominios en él, permitiendo que los dispositivos de la red interna accedan a través de IP fija. AdGuard Home no solo proporciona servicios DNS, sino que también tiene funciones de bloqueo de anuncios y control parental, lo que lo convierte en una opción ideal para entornos de red domésticos. DDNS también se puede implementar usando la API de AdGuard Home; dado que es un entorno de red local, el dominio se puede elegir arbitrariamente, sin estar sujeto a las reglas de nombres de dominio públicos. La ventaja de este enfoque es que el servicio no está expuesto a Internet público en absoluto, evitando naturalmente el riesgo de ataques de escaneo.

Usar Servicios de Seguridad en el Edge

Para servicios que deben ser accesibles públicamente, los servicios de seguridad en el edge son la mejor opción. Cloudflare proporciona servicios de seguridad en el edge líderes a nivel mundial; antes de que los desarrolladores individuales encuentren proyectos verdaderamente comercialmente valiosos, su versión gratuita es más que suficiente. Alibaba Cloud ESA también es una buena opción; los nuevos usuarios pueden probarlo gratis durante 3 meses, y el pago normal es de 10 yuanes por dominio raíz por mes, con un límite de 50GB de tráfico. Frente a los servicios completamente gratuitos de Cloudflare, la principal ventaja de ESA radica en una mejor velocidad de acceso dentro de China continental.

Los servicios de seguridad suelen ser costosos, pero no proteger significa que, una vez atacado, las pérdidas podrían ser mayores. Si pagas por protección, estás viendo gastos fijos directos todos los días. Los servicios de seguridad en el edge son como un seguro; muy baratos y extremadamente rentables, un caso clásico de dejar que los profesionales hagan el trabajo profesional.

El propósito principal de los servicios de seguridad en el edge es ocultar tu IP real; los usuarios acceden a nodos edge, y los nodos edge calculan decisiones sobre si acceder a la IP real. Su esencia es un proxy inverso frontal, integrado con funciones de caché, WAF, CDN, protección DDoS y otras. Dado que se inserta un tercero entre el usuario y el servicio, tiene cierta probabilidad de causar una disminución en la experiencia del usuario. Yo uso tanto Cloudflare como ESA; para resumir, hace que la experiencia de los usuarios de mejor rendimiento sea ligeramente peor, pero mejora la experiencia para más regiones. En general, sigue siendo una inversión muy digna.

Resumen

La seguridad de los dominios es un proyecto sistemático que requiere diferentes estrategias de protección según el tipo de servicio. Para servicios de uso propio, priorizar soluciones VPN; Tailscale y ZeroTier son ambas opciones maduras y confiables. Si se necesitan servicios DNS, puedes configurar AdGuard Home en la red interna; proporciona una solución DNS completa, incluyendo funciones de bloqueo de anuncios y control parental. Para necesidades de acceso público, puedes usar AdGuard Private para proporcionar servicios de resolución DNS encriptados.

Para servicios públicos, servicios que necesitan ser accesados por el público, es mejor envolverlos con una capa de servicio de seguridad en el edge. Cloudflare proporciona protección de seguridad gratuita líder a nivel mundial, adecuada para la mayoría de los desarrolladores individuales. Si te importa particularmente la velocidad de acceso dentro de China continental, puedes elegir Alibaba Cloud ESA; tiene una distribución más amplia de nodos dentro del país y puede proporcionar una mejor experiencia localizada.

Independientemente de qué solución se elija, la clave es establecer conciencia de seguridad de dominios, tomar medidas de protección proactivas, en lugar de esperar pasivamente a que ocurran los ataques. No hay balas de plata en ciberseguridad; lo que te conviene es lo mejor.