व्यक्तिगत डोमेन की सुरक्षा अभ्यास

यह लेख व्यक्तिगत डोमेन उपयोग की प्रक्रिया में सुरक्षा अभ्यास का अनुभव साझा करता है, जिसमें स्कैनिंग हमले का विश्लेषण, डोमेन सुरक्षा रणनीतियाँ, सामान्य हमले के साधन और एज सुरक्षा सेवाओं का चयन शामिल है।
Tags:
Categories:

प्रस्तावना

इंटरनेट युग में, साइबर हमले एक सामान्य बात हो गए हैं। हर दिन अनगिनत स्वचालित उपकरण इंटरनेट के हर कोने को स्कैन कर रहे हैं, संभावित कमजोरियों की तलाश में। कई लोगों को लगता है कि केवल बड़ी कंपनियां ही हमले का लक्ष्य बनती हैं, लेकिन वास्तव में, हमले की लागत में कमी और उपकरणों की पहुंच के कारण, इंटरनेट पर उजागर कोई भी सेवा हमले का शिकार हो सकती है।

वास्तविक मामले का विश्लेषण

स्कैनिंग हमले का उदाहरण

मैंने Cloudflare पर एक छोटी प्रदर्शन वेबसाइट तैनात की है, जिसमें केवल दो मान्य URL हैं:

लेकिन फिर भी यह लगातार स्कैनिंग हमलों का शिकार हो रही है।

शुरू में अन्य सभी URL 404 लौटाते थे, लेकिन लॉन्च के दिन ही हांगकांग के होस्ट स्कैन करना शुरू कर दिया, सोर्स IP हर दिन बदलता रहता है, लेकिन अधिकतर हांगकांग के ही होते हैं। चूंकि कुछ उपयोगकर्ता हांगकांग IP से एक्सेस करते हैं, इसलिए सीधे तौर पर क्षेत्र (region) को ब्लॉक भी नहीं किया जा सकता।

उपरोक्त सभी URL विभिन्न उद्देश्यों के साथ किए गए प्रयास हैं, मेरा worker केवल / और /logs-collector को संभालता है, ये लगातार किए जाने वाले प्रयास मूल रूप से कमजोरियों की तलाश के लिए हैं।

लेकिन इस तरह स्कैन करने से CF के मुफ्त अनुरोधों (requests) की खपत होती है, और यह मेरे लॉग को प्रदूषित करता है, जो अच्छी बात नहीं है।

बाद में मैंने सभी अन्य अनुरोधों को 200 वापस करने लगा, इसके साथ Host on Cloudflare Worker, don't waste your time जोड़ दिया।

इससे स्कैनिंग थोड़ी कम हो गई, हालांकि मुझे यकीन नहीं है कि इसका कोई कारण और परिणाम संबंध है या नहीं।

अगर किसी अपने होस्ट पर चल रही सेवा है, और हर दिन इस तरह स्कैन किया जाता है, और सेवा में समय-समय पर सुरक्षा अपडेट नहीं किए जाते, तो जल्द या बाद में दिन आएगा जब कोई कमजोरी स्कैन कर ली जाएगी।

हमलावरों के लिए, यह बस हर दिन समय पर बिना रुके प्रयास करना है, एक को हैक कर सकें, यह बुनियादी रूप से स्वचालित है, उपकरण और समय की लागत भी कम नहीं है।

सुरक्षा खतरों का विश्लेषण

हमलावरों की विशेषताएँ

  • सीमा पार अपराध आम है, जिससे जिम्मेदारी तय करने की संभावना कम हो जाती है
  • Nmap, Masscan जैसे पोर्ट स्कैनिंग टूल सहित स्वचालित उपकरणों का व्यापक रूप से उपयोग
  • लगातार हमले, कम लागत
  • बॉटनेट संसाधन पर्याप्त, IP पते बार-बार बदलते हैं
  • हमले का समय आमतौर पर देर रात या छुट्टियों के दौरान चुना जाता है

सामान्य हमले के तरीके

  1. पोर्ट स्कैनिंग
    • खुले पोर्ट्स का बैच स्कैन
    • सामान्य सेवाओं की पहचान (SSH, RDP, MySQL आदि)
  2. कमजोरियों की स्कैनिंग
    • ज्ञात कमजोरियों वाले पुराने सॉफ़्टवेयर को स्कैन करना
    • पथ विशेषताओं और फ़ाइल नाम विशेषताओं के माध्यम से पहचानना
  3. स्वयं निर्मित इनपुट, इनपुट सत्यापन कमजोरियों के माध्यम से

सुरक्षा अभ्यास

रिवर्स प्रॉक्सी के बजाय VPN का उपयोग करें

अधिकांश लोग समय पर सॉफ़्टवेयर अपडेट नहीं करते हैं, सबसे अच्छा है कि अपना डोमेन उजागर न करें, स्कैनिंग पोस्टफिक्स बना सकती है, प्रिफिक्स भी बना सकती है, तरह-तरह के सबडोमेन कोशिश करते हैं।

उदाहरण के लिए सबडोमेन के प्रमुख निशाने:

  • nas.example.com
  • home.example.com
  • dev.example.com
  • test.example.com
  • blog.example.com
  • work.example.com
  • webdav.example.com
  • frp.example.com
  • proxy.example.com

ये बस यूं ही लिखे गए हैं, स्वचालित हमलों के लिए जरूर एक सबडोमेन डिक्शनरी बनाई जाएगी, जिसके साथ स्वचालित टेस्टिंग की जाएगी।

एक LAN DNS सर्वर स्थापित किया जा सकता है, जैसे AdguardHome, उस पर डोमेन रिज़ॉल्यूशन कॉन्फ़िगर करें, आंतरिक नेटवर्क के डिवाइस सभी फिक्स्ड IP से एक्सेस करते हैं।

DDNS को भी AdguardHome के API से लागू किया जा सकता है। चूंकि यह LAN है, डोमेन आप अपनी मर्जी से चुन सकते हैं।

एज सुरक्षा सेवाओं का उपयोग करें

‘साइबर बुद्ध’ Cloudflare के बारे में ज्यादा कुछ नहीं कहना, व्यक्तिगत टिंकरर्स के लिए जब तक वे वास्तव में वाणिज्यिक मूल्य वाली परियोजनाएं नहीं खोज लेते, यह निश्चित रूप से मुफ्त रहेगा।

घरेलू (चीनी) में अलीबाबा क्लाउड ESA है, दोनों मैं उपयोग कर रहा हूं, अलीबाबा क्लाउड का 3 महीने मुफ्त है, सामान्य तौर पर एक रूट डोमेन 10 युआन प्रति माह 50G ट्रैफिक तक सीमित है, CF के पूर्ण मुफ्त होने के सामने मैं ज्यादा परिचय नहीं दूंगा।

सुरक्षा सेवाएं आम तौर पर काफी महंगी होती हैं, अगर सुरक्षा नहीं की गई तो हमले होने पर नुकसान बहुत बड़ा होता है, और अगर भुगतान करके सुरक्षा करते हैं तो हर दिन सीधे “नुकसान” देखने को मिलता है।

एज सुरक्षा सेवा एक तरह का बीमा है, बहुत सस्ता, कीमत और प्रदर्शन के हिसाब से बेहद उच्च सुरक्षा सेवा, यह विशेष रूप से पेशेवर लोगों से पेशेवर काम कराने जैसा है।

एज सुरक्षा का मुख्य उद्देश्य अपना वास्तविक IP छुपाना है, उपयोगकर्ता एज नोड्स तक पहुंचते हैं, एज नोड्स गणना करते हैं और फैसला करते हैं कि वास्तविक IP पर वापस जाना है या नहीं।

इसका सार एक फ्रंट-एंड रिवर्स प्रॉक्सी है, जिसमें कैशिंग, WAF, CDN, DDoS सुरक्षा आदि कार्य एकीकृत हैं। चूंकि उपयोगकर्ता और सर्वर के बीच एक तीसरा पक्ष आता है, इसलिए इसके कारण उपयोगकर्ता अनुभव में कुछ गिरावट आने की संभावना है।

CF और ESA दोनों मैं उपयोग कर रहा हूं, सारांश यह है कि जिनका अनुभव सबसे अच्छा था, उनका अनुभव थोड़ा कम हो जाता है, लेकिन अधिक क्षेत्रों के उपयोगकर्ताओं का अनुभव सुधर जाता है। कुल मिलाकर, यह अभी भी बहुत लायक है।

निष्कर्ष

अगर केवल व्यक्तिगत उपयोग के लिए सेवा है तो प्राथमिकता VPN को दें, tailscale या zerotier दोनों अच्छे विकल्प हैं, DNS सेवा की आवश्यकता हो तो आंतरिक नेटवर्क में AdGuardHome लगा सकते हैं, सार्वजनिक नेटवर्क के लिए AdGuardPrivate का उपयोग कर सकते हैं।

अगर सार्वजनिक है, जनता के लिए उपलब्ध सेवा है, तो सबसे अच्छा है Cloudflare लगाएं, चीनी मुख्य भूमि में एक्सेस स्पीड की परवाह है तो अलीबाबा ESA का उपयोग करें।

यह सुरक्षा अभ्यास केवल संदर्भ के लिए है, V स्टेशन के दिग्गजों से सुझाव देने का स्वागत है।