Pratiques de sécurité des domaines personnels : des attaques par scan aux stratégies de protection

Analyse approfondie des menaces d’attaques par scan sur les domaines personnels, partage des stratégies de protection des domaines, y compris des conseils pratiques comme l’utilisation d’un VPN à la place d’un reverse proxy, le déploiement de services de sécurité edge, pour aider les développeurs individuels à établir un système complet de protection de la sécurité des domaines.
Tags:
Categories:

Préface

À l’ère d’Internet, la sécurité des domaines est devenue une préoccupation que chaque utilisateur d’Internet doit surveiller. Chaque jour, d’innombrables outils automatisés scannent chaque recoin d’Internet à la recherche de vulnérabilités potentielles. Beaucoup pensent que seules les grandes entreprises deviennent des cibles d’attaque, mais en réalité, en raison de la réduction des coûts d’attaque et de la popularisation des outils, tout service exposé sur Internet peut devenir une cible. La sécurité des domaines ne concerne pas seulement la vie privée et la protection des données, mais constitue également la base du fonctionnement stable des services réseau. Avec l’évolution constante des menaces de cybersécurité, l’établissement d’un système complet de protection de la sécurité des domaines devient de plus en plus important, et c’est aussi la raison pour laquelle nous continuons à nous intéresser et à partager nos expériences pratiques en matière de sécurité.

Analyse de cas réels

Exemple d’attaque par scan

J’ai déployé un petit site de démonstration sur Cloudflare, bien qu’il n’ait que deux URL valides :

Journaux d’accès du site

mais il continue de subir des attaques par scan.

Lorsque le site a été mis en ligne pour la première fois, toutes les autres URL renvoyaient 404. Dès le premier jour, des hôtes de Hong Kong ont commencé à scanner, les IP sources changeaient quotidiennement, mais la plupart provenaient de Hong Kong. Comme certains utilisateurs viennent d’adresses IP de Hong Kong, il n’est pas possible de bloquer directement cette région. Ce cas illustre les caractéristiques d’automatisation et de persistance des attaques réseau, et nous rappelle la nécessité d’établir une stratégie systématique de protection de la sécurité des domaines.

Journaux d’attaque par scan

Toutes ces URL sont des tentatives avec divers objectifs. Mon worker ne traite que / et /logs-collector. Ces tentatives persévérantes visent essentiellement à trouver des vulnérabilités. Ces tentatives d’attaque non seulement consomment le quota de requêtes gratuites de Cloudflare, mais polluent également les données de journalisation et perturbent la surveillance du système.

Mais ce scan occupe les requêtes gratuites de CF et pollue mes journaux, ce n’est pas une bonne chose.

Plus tard, j’ai fait en sorte que toutes les autres requêtes renvoient 200 avec le message Host on Cloudflare Worker, don't waste your time.

Réponse modifiée

Après la modification, le volume de scans a légèrement diminué. Bien que la relation de cause à effet ne puisse être confirmée, cette approche transmet effectivement un signal clair.

Si le service s’exécute sur son propre serveur et est scanné quotidiennement sans mises à jour de sécurité opportunes, il finira par être vulnérable et sera compromis. C’est pourquoi nous soulignons l’importance de la sécurité des domaines : elle ne concerne pas seulement le succès d’une attaque isolée, mais aussi la posture de sécurité à long terme du système.

Pour les attaquants, ce type d’attaque consiste en des tentatives automatisées et continues. Chaque compromission est un gain, et les coûts en équipement et en temps sont minimes. Cela explique également pourquoi les attaques réseau sont si répandues : pour les attaquants, c’est une activité à faible coût et à haut rendement.

Analyse des menaces de sécurité

Caractéristiques des attaquants

Les attaques transnationales sont une caractéristique courante des cyberattaques. Les attaquants déploient des infrastructures d’attaque dans différentes régions pour réduire les risques de responsabilisation. L’utilisation généralisée d’outils automatisés réduit considérablement les coûts d’attaque. Des outils de scan de ports comme Nmap et Masscan sont devenus des équipements standard pour les attaquants. Les attaques sont généralement persistantes et extrêmement peu coûteuses. Les attaquants disposent de ressources suffisantes de machines compromises (botnets) pour changer fréquemment d’adresses IP et contourner les blocages. Les attaques ont souvent lieu tard dans la nuit ou pendant les jours fériés, lorsque la surveillance et la réponse peuvent être plus faibles.

Méthodes d’attaque courantes

Le scan de ports est la première étape des attaquants. Ils scannent en masse les ports ouverts pour identifier les services courants comme SSH, RDP, MySQL, etc. Le scan de vulnérabilités consiste à détecter les logiciels anciens avec des vulnérabilités connues, en identifiant les surfaces d’attaque potentielles via les caractéristiques de chemin et de nom de fichier. De plus, les attaquants construisent divers inputs pour tenter d’obtenir des privilèges système via des vulnérabilités de validation d’entrée.

Pratiques de sécurité

La protection de la sécurité des domaines nécessite différentes stratégies selon le type de service. Pour les services personnels et les services publics, des schémas de protection complètement différents doivent être adoptés.

flowchart TD
    A[Déploiement du service de domaine] e1@--> B{Évaluation du type de service}
    B e2@-->|Service personnel| C[Choisir une solution VPN]
    B e3@-->|Service public| D[Choisir un service de sécurité edge]

    C e4@--> E[Mettre en place un DNS interne]
    C e5@--> F[Déployer Tailscale ou ZeroTier]
    C e6@--> G[Configurer l'accès par IP fixe interne]

    D e7@--> H[Choisir Cloudflare]
    D e8@--> I[Choisir Alibaba Cloud ESA]
    D e9@--> J[Configurer la protection WAF et DDoS]

    E e10@--> K[Service complètement caché]
    F e11@--> K
    G e12@--> K

    H e13@--> L[IP réelle cachée]
    I e14@--> L
    J e15@--> L

    classDef start fill:#E3F2FD,stroke:#1565C0,stroke-width:1px,color:#0D47A1;
    classDef decision fill:#FFF8E1,stroke:#EF6C00,stroke-width:1px,color:#E65100;
    classDef action fill:#E8F5E9,stroke:#2E7D32,stroke-width:1px,color:#1B5E20;
    classDef result fill:#F3E5F5,stroke:#6A1B9A,stroke-width:1px,color:#4A148C;
    classDef animate stroke:#EF6C00,stroke-width:2px,stroke-dasharray: 9\,5,stroke-dashoffset: 900,animation: dash 25s linear infinite;
    class A start;
    class B decision;
    class e1,e2,e3,e4,e5,e6,e7,e8,e9,e10,e11,e12,e13,e14,e15 animate;
    class C,D,E,F,G,H,I,J action;
    class K,L result;

Utiliser un VPN plutôt qu’un reverse proxy

La plupart des gens ne mettent pas à jour leurs logiciels à temps. La meilleure stratégie est de ne pas exposer son propre domaine. Les attaques par scan peuvent générer à la fois des préfixes et des suffixes, et toutes sortes de sous-domaines seront tentés. Les zones de scan intensif des sous-domaines incluent nas, home, dev, test, blog, work, webdav, frp, proxy, etc. Pour réaliser des attaques automatisées, les attaquants préparent un dictionnaire de sous-domaines et effectuent des tests automatisés. Ces noms courants sont scannés en priorité, donc éviter d’utiliser ces noms de sous-domaines évidents est une mesure de protection de base.

Pour les services personnels, il est recommandé d’utiliser la technologie VPN à la place du reverse proxy, ce qui permet de cacher complètement le service dans le réseau interne. Vous pouvez mettre en place un serveur DNS local, comme AdGuard Home, configurer la résolution de noms de domaine dessus, et faire en sorte que les appareils du réseau interne accèdent via une IP fixe. AdGuard Home fournit non seulement des services DNS, mais offre également des fonctionnalités de blocage des publicités et de contrôle parental, ce qui en fait un choix idéal pour les environnements réseau domestiques. Le DDNS peut également être implémenté via l’API d’AdGuard Home. Comme il s’agit d’un environnement de réseau local, les noms de domaine peuvent être choisis librement, sans être soumis aux règles des noms de domaine publics. L’avantage de cette approche est que le service n’est pas du tout exposé sur Internet, évitant ainsi naturellement les risques d’attaques par scan.

Utiliser des services de sécurité edge

Pour les services nécessitant un accès public, les services de sécurité edge sont le meilleur choix. Cloudflare offre des services de sécurité edge de premier plan à l’échelle mondiale. Sa version gratuite est tout à fait suffisante jusqu’à ce que les développeurs individuels trouvent un projet ayant une véritable valeur commerciale. Alibaba Cloud ESA est également un bon choix en Chine. Les nouveaux utilisateurs peuvent essayer gratuitement pendant 3 mois, et le tarif normal est de 10 RMB par mois pour un domaine racine, avec une limite de 50 Go de trafic. Face aux services entièrement gratuits de Cloudflare, le principal avantage de l’ESA est une vitesse d’accès optimale en Chine continentale.

Les services de sécurité sont généralement coûteux, mais sans protection, les pertes en cas d’attaque peuvent être encore plus importantes. Si l’on paie pour une protection, c’est une dépense fixe directe quotidienne. Les services de sécurité edge agissent comme une assurance, très bon marché et offrant un excellent rapport qualité-prix, un cas typique où l’on confie à des professionnels ce qu’ils font de mieux.

L’objectif principal des services de sécurité edge est de masquer sa véritable adresse IP. L’utilisateur accède à un nœud edge, et ce nœud edge calcule et décide s’il doit retourner à l’IP réelle. Essentiellement, c’est un reverse proxy préalable qui intègre des fonctionnalités de cache, WAF, CDN et protection DDoS. Comme un tiers est inséré entre l’utilisateur et le service, il y a une certaine probabilité que l’expérience utilisateur se dégrade. J’utilise à la fois Cloudflare et l’ESA. En résumé, cela dégrade légèrement l’expérience des utilisateurs les mieux lotis, mais améliore l’expérience des utilisateurs dans davantage de régions. Dans l’ensemble, c’est toujours un investissement très valable.

Conclusion

La sécurité des domaines est un projet d’ingénierie qui nécessite différentes stratégies de protection selon le type de service. Pour les services personnels, privilégiez les solutions VPN. Tailscale et ZeroTier sont des choix matures et fiables. Si vous avez besoin de services DNS, vous pouvez déployer AdGuard Home sur votre réseau interne. Il fournit une solution DNS complète, incluant le blocage des publicités et le contrôle parental. Pour les besoins d’accès public, vous pouvez utiliser AdGuard Private pour fournir un service de résolution DNS crypté.

Pour les services publics destinés à un large public, il est préférable d’ajouter une couche de service de sécurité edge. Cloudflare offre une protection de sécurité gratuite de premier plan à l’échelle mondiale, adaptée à la plupart des développeurs individuels. Si la vitesse d’accès en Chine continentale est une préoccupation particulière, vous pouvez choisir Alibaba Cloud ESA, qui dispose d’une distribution de nœuds plus large en Chine et peut offrir une meilleure expérience localisée.

Quel que soit le schéma choisi, l’essentiel est de prendre conscience de l’importance de la sécurité des domaines, d’adopter des mesures de protection proactives plutôt que d’attendre passivement qu’une attaque se produise. Il n’existe pas de solution miracle en cybersécurité ; la meilleure est celle qui vous convient.