Pratiche di sicurezza per i domini personali

Introduzione

Nell’era di Internet, gli attacchi di rete sono diventati la norma. Ogni giorno innumerevoli strumenti automatizzati scansionano ogni angolo di Internet alla ricerca di possibili vulnerabilità. Molti pensano che solo le grandi aziende siano bersagli degli attacchi, ma in realtà, a causa della riduzione dei costi di attacco e della diffusione degli strumenti, qualsiasi servizio esposto su Internet può diventare un bersaglio.

Analisi di un caso reale

Esempio di attacco di scansione

Un piccolo sito dimostrativo che ho distribuito su Cloudflare, che ha solo due URL validi:

• https://weread-challenge.techfetch.dev/
• https://weread-challenge.techfetch.dev/logs-collector

Tuttavia, continua a subire attacchi di scansione.

Inizialmente tutti gli altri URL restituivano 404, ma il giorno stesso del messa in linea host di Hong Kong hanno iniziato a scansionare. L’IP di origine cambia ogni giorno, ma la maggior parte proviene da Hong Kong. Poiché alcuni utenti accedono con IP di Hong Kong, non posso bloccare direttamente la regione.

Tutti questi URL sopra sono tentativi con vari scopi. Il mio worker gestisce solo / e /logs-collector, questi tentativi ostinati sono sostanzialmente finalizzati a trovare vulnerabilità.

Ma questa scansione occupa il numero di richieste gratuite di CF, inquina i miei log e non è una buona cosa.

Successivamente ho fatto sì che tutte le altre richieste restituiscano 200, aggiungendo Host on Cloudflare Worker, don't waste your time.

Così le scansioni sono leggermente diminuite, anche se non so se c’è una relazione di causalità.

Se si tratta di un servizio in esecuzione sul proprio host, scansionato ogni giorno in questo modo, e il servizio non viene mai aggiornato per la sicurezza, prima o poi verrà trovata una vulnerabilità.

Per gli attaccanti, si tratta di tentativi incessanti ogni giorno; se ne riescono a breachare uno, basta. Sono quasi tutti automatizzati, con costi di attrezzatura e tempo molto bassi.

Analisi delle minacce alla sicurezza

Caratteristiche degli attaccanti

• Le operazioni transfrontaliere sono comuni, riducendo la possibilità di attribuire la responsabilità.
• Ampio uso di strumenti automatizzati, inclusi strumenti di scansione delle porte come Nmap e Masscan.
• Attacchi continui a basso costo.
• Abbondanti risorse di botnet (dispositivi zombie), con indirizzi IP che cambiano frequentemente.
• L’orario degli attacchi viene solitamente scelto in piena notte o durante le vacanze.

Modi di attacco comuni

1. Scansione delle porte
   • Scansione in massa delle porte aperte.
   • Identificazione dei servizi comuni (SSH, RDP, MySQL, ecc.).
2. Scansione delle vulnerabilità
   • Scansione di software obsoleto con vulnerabilità note.
   • Identificazione tramite caratteristiche del percorso e del nome del file.
3. Costruzione manuale di input per sfruttare vulnerabilità di convalida dell’input.

Pratiche di sicurezza

Utilizzare VPN invece di reverse proxy

La maggior parte delle persone non aggiorna il software tempestivamente, quindi è meglio non esporre il proprio dominio. La scansione può costruire sia il postfix che il prefix, provando ogni sorta di sottodominio.

Ad esempio aree critiche dei sottodomini:

• nas.example.com
• home.example.com
• dev.example.com
• test.example.com
• blog.example.com
• work.example.com
• webdav.example.com
• frp.example.com
• proxy.example.com
• …

Questi sono scritti a mano; per un attacco automatizzato, si preparerà sicuramente un dizionario di sottodomini e si testerà automaticamente.

Si può impostare un server DNS LAN, come AdguardHome, configurare la risoluzione del dominio sopra, e i dispositivi della rete interna accedono tutti con IP fissi.

Il DDNS può essere implementato anche tramite l’API di AdguardHome. Poiché è una rete locale, il dominio può essere scelto a piacere.

Utilizzare servizi di sicurezza perimetrale

Il “Buddha del cyberspazio” Cloudflare non ha bisogno di molte presentazioni; prima che gli smanettoni personali trovino un progetto con vero valore commerciale, sarà sicuramente sempre gratuito.

Per la Cina c’è ESA di Aliyun, li uso entrambi. Quello di Aliyun è gratuito per 3 mesi, normalmente è di 10 yuan al mese per un dominio radice con limite di 50G di traffico. Dato che CF è completamente gratuito, non mi dilungherò troppo.

I servizi di sicurezza sono generalmente piuttosto costosi. Senza protezione, in caso di attacco le perdite sono ingenti; se si paga per la protezione, si vedono ogni giorno le “perdite” dirette.

I servizi di sicurezza perimetrale sono una sorta di assicurazione, un servizio di sicurezza molto economico e con un rapporto qualità-prezzo eccezionale, il tipico caso di lasciare che i professionisti facciano il loro lavoro.

Lo scopo principale della sicurezza perimetrale è nascondere il proprio IP reale; gli utenti accedono ai nodi perimetrali e i nodi perimetrali calcolano e decidono se recuperare l’IP reale.

La sua essenza è un reverse proxy front-end che integra cache, WAF, CDN, protezione DDoS e altre funzioni. Poiché viene inserita una terza parte tra l’utente e il servizio, c’è una certa probabilità che peggiori l’esperienza dell’utente.

Uso sia CF che ESA e, per riassumere, fanno sì che una piccola parte di utenti con l’esperienza migliore la veda leggermente peggiorare, ma l’esperienza degli utenti in più regioni migliora. Nel complesso, ne vale ancora molto la pena.

Conclusione

Se è solo per uso personale, dare la priorità alle VPN, tailscale o zerotier sono entrambe ottime scelte. Se serve un servizio DNS, si può installare AdGuardHome nella rete interna; per la rete pubblica si può usare AdGuardPrivate.

Se è un pubblico, accessibile alle masse, è meglio usare Cloudflare. Se si tiene alla velocità di accesso dalla Cina continentale, usare Aliyun ESA.

Queste pratiche di sicurezza sono solo per riferimento e sono molto ben accetti suggerimenti dai grandi esperti di V Station.

• ←Precedente
• Successivo→