Pratiques de sécurité pour les noms de domaine personnels
Categories:
Introduction
À l’ère d’Internet, les cyberattaques sont devenues monnaie courante. Chaque jour, d’innombrables outils automatisés parcourent chaque recoin d’Internet à la recherche de vulnérabilités possibles. Beaucoup pensent que seules les grandes entreprises sont ciblées, mais en réalité, en raison de la baisse des coûts d’attaque et de la démocratisation des outils, tout service exposé sur Internet peut devenir une cible.
Analyse de cas réels
Exemple d’attaque par balayage
J’ai un petit site vitrine déployé sur Cloudflare, bien qu’il n’y ait que deux URL valides :
Mais il subit toujours des attaques par balayage continues.
Au début, toutes les autres URL renvoyaient un 404. Le jour de la mise en ligne, des hôtes de Hong Kong ont commencé à scanner. L’IP source change tous les jours, mais la plupart proviennent de Hong Kong. Comme certains utilisateurs accèdent au site via des IP de Hong Kong, je ne peux pas bannir directement la région.
Toutes ces URL ci-dessus sont des tentatives avec divers objectifs. Mon worker ne traite que / et /logs-collector. Ces tentatives persistantes visent essentiellement à trouver des vulnérabilités.
Cependant, ce genre de balayage consomme le nombre de requêtes gratuites de CF, pollue mes journaux et n’est pas une bonne chose.
Par la suite, j’ai configuré toutes les autres requêtes pour renvoyer un 200, avec le message Host on Cloudflare Worker, don't waste your time.
Ainsi, le balayage a un peu diminué, bien que je ne sache pas s’il y a un lien de causalité.
S’il s’agit d’un service fonctionnant sur votre propre hôte, scanné quotidiennement de cette manière, et que le service ne reçoit pas de mises à jour de sécurité, tôt ou tard une vulnérabilité sera trouvée.
Pour les attaquants, il s’agit simplement de tentatives incessantes et programmées chaque jour ; s’ils peuvent en compromettre un, c’est tant mieux. C’est majoritairement automatisé, avec des coûts d’équipement et de temps très faibles.
Analyse des menaces de sécurité
Caractéristiques des attaquants
- Les attaques transfrontalières sont courantes, réduisant la possibilité de poursuites.
- Utilisation généralisée d’outils automatisés, y compris des outils de scan de ports comme Nmap, Masscan, etc.
- Attaques continues, à faible coût.
- Abondance de ressources zombies (botnets), changement fréquent des adresses IP.
- Les heures d’attaque sont généralement choisies tard la nuit ou pendant les jours fériés.
Méthodes d’attaque courantes
- Scan de ports
- Scan en masse des ports ouverts
- Identification des services courants (SSH, RDP, MySQL, etc.)
- Scan de vulnérabilités
- Scan de logiciels obsolètes ayant des vulnérabilités connues
- Identification par les caractéristiques des chemins et des noms de fichiers
- Construction d’entrées arbitraires pour exploiter les failles de validation des entrées
Pratiques de sécurité
Utiliser un VPN plutôt qu’un proxy inverse
La plupart des gens ne mettent pas à jour leurs logiciels à temps. Il est préférable de ne pas exposer son nom de domaine. Le balayage peut construire à la fois des postfixes et des préfixes, en testant divers sous-domaines.
Par exemple, les zones les plus touchées pour les sous-domaines :
nas.example.comhome.example.comdev.example.comtest.example.comblog.example.comwork.example.comwebdav.example.comfrp.example.comproxy.example.com- …
Ceux-ci sont écrits à la main, mais pour une attaque automatisée, il s’agit sûrement d’utiliser un dictionnaire de sous-domaines pour tester automatiquement.
Vous pouvez configurer un serveur DNS local, comme AdGuardHome, et configurer la résolution de domaine dessus. Les appareils du réseau interne accèdent via des IP fixes.
Le DDNS peut également être implémenté via l’API d’AdGuardHome. Comme il s’agit d’un réseau local, vous pouvez choisir le domaine comme bon vous semble.
Utiliser des services de sécurité de périmètre
Inutile de présenter “Cyber Buddha” Cloudflare. Pour les passionnés qui n’ont pas encore trouvé de projets à vraie valeur commerciale, il restera probablement gratuit.
En Chine, il y a l’ESA d’Alibaba Cloud. J’utilise les deux. L’ESA d’Alibaba Cloud est gratuite pendant 3 mois, normalement c’est 10 yuans par mois pour un domaine racine limité à 50G de trafic. Face à la gratuité totale de CF, je n’en dirai pas plus.
Les services de sécurité sont généralement assez chers. Sans protection, les pertes en cas d’attaque sont énormes ; si l’on paie pour la protection, on regarde chaque jour cette “perte” directe.
Les services de sécurité de périmètre sont une forme d’assurance, très peu coûteux, un service de sécurité avec un rapport qualité-prix imbattable, typiquement le cas où les professionnels font le travail des professionnels.
L’objectif principal de la sécurité de périmètre est de masquer sa vraie IP. Les utilisateurs accèdent aux nœuds de périphérie, et les nœuds de périphérie calculent et décident s’ils doivent revenir à la source pour accéder à la vraie IP.
Son essence est un proxy inverse frontal, intégrant des fonctionnalités telles que le cache, le WAF, le CDN et la protection DDoS. Comme un tiers est inséré entre l’utilisateur et le service, il y a une certaine probabilité que l’expérience utilisateur en soit dégradée.
J’utilise à la fois CF et ESA. En résumé, cela fait légèrement baisser l’expérience pour une partie des utilisateurs ayant la meilleure expérience, mais améliore l’expérience pour les utilisateurs de plus nombreuses régions. Dans l’ensemble, cela en vaut vraiment la peine.
Conclusion
Si c’est pour un service personnel uniquement, privilégiez l’utilisation d’un VPN, tailscale ou zerotier sont d’excellents choix. Si vous avez besoin d’un service DNS, vous pouvez installer AdGuardHome sur le réseau local, ou utiliser AdGuardPrivate pour le réseau public.
Si c’est un service public, accessible au grand public, il est préférable de passer par Cloudflare. Si vous vous souciez de la vitesse d’accès depuis la Chine continentale, utilisez l’ESA d’Alibaba
Ces pratiques de sécurité ne sont données qu’à titre indicatif, les suggestions des experts de V Station sont les bienvenues.