Beveiligingspraktijken voor persoonlijke domeinen

Inleiding

In het internettijdperk zijn cyberaanvallen de norm geworden. Elke dag scannen talloze geautomatiseerde tools elk hoekje van het internet op zoek naar mogelijke kwetsbaarheden. Veel mensen denken dat alleen grote bedrijven het doelwit worden van aanvallen, maar in feite kan elke dienst die op het internet wordt blootgesteld, een doelwit worden, gezien de lagere aanvalskosten en de wijdverspreide beschikbaarheid van tools.

Analyse van echte gevallen

Voorbeeld van een scan-aanval

Ik heb een kleine demo-website geïmplementeerd op Cloudflare, hoewel deze slechts twee geldige URL’s heeft:

• https://weread-challenge.techfetch.dev/
• https://weread-challenge.techfetch.dev/logs-collector

Maar deze blijft toch lastigvallen door scan-aanvallen.

In het begin gaven alle andere URL’s 404 terug. Op de dag van lancering begonnen hosts uit Hong Kong al te scannen; het bron-IP veranderde dagelijks, maar het meeste kwam uit Hong Kong. Aangezien sommige gebruikers toegang hebben via een Hong Kong IP, kan ik de regio niet direct blokkeren.

Al deze bovenstaande URL’s zijn pogingen met verschillende doelen. Mijn worker verwerkt alleen / en /logs-collector; deze volhardende pogingen zijn in principe bedoeld om kwetsbaarheden te vinden.

Maar dit scannen verbruikt het aantal gratis verzoeken van CF en vervuilt mijn logboeken, wat ook niet gunstig is.

Later heb ik alle andere verzoeken 200 laten teruggeven, met de toevoeging Host on Cloudflare Worker, don't waste your time

Hierdoor werd er iets minder gescand, hoewel ik niet weet of er een oorzakelijk verband is.

Als het een service is die op uw eigen host draait en elke dag op deze manier wordt gescand zonder beveiligingsupdates, is het onvermijdelijk dat er op een dag een kwetsbaarheid wordt gevonden.

Voor de aanvaller is het een kwestie van elke dag onophoudelijk proberen; als er één te breken valt, is dat winst. Het is meestal geautomatiseerd, met lage kosten voor apparatuur en tijd.

Analyse van beveiligingsbedreigingen

Kenmerken van aanvallers

• Grensoverschrijdende misdaad is wijdverspreid, wat de kans op vervolging verkleint
• Wijdverbreid gebruik van geautomatiseerde tools, waaronder poortscantools zoals Nmap en Masscan
• Aanhoudende aanvallen tegen lage kosten
• Ruime beschikbaarheid van zombie-resources (bots), IP-adressen veranderen frequent
• Aanvalstijden worden meestal gekozen in de late nacht of tijdens feestdagen

Veelvoorkomende aanvalsmethoden

1. Poortscannen
   • Batchgewijs scannen van open poorten
   • Identificeren van veelgebruikte diensten (SSH, RDP, MySQL, enz.)
2. Kwetsbaarheidsscannen
   • Scannen op verouderde software met bekende kwetsbaarheden
   • Identificeren aan de hand van padkenmerken en bestandsnaamkenmerken
3. Zelf input construeren om invoervalidatiekwetsbaarheden te misbruiken

Beveiligingspraktijken

Gebruik VPN in plaats van reverse proxy

De meeste mensen updaten hun software niet tijdig. Het is het beste om uw eigen domein niet bloot te stellen. Scannen kan zowel postfix als prefix construeren; allerlei subdomeinen worden uitgeprobeerd.

Bijvoorbeeld subdomeinen die vaak het doelwit zijn:

• nas.example.com
• home.example.com
• dev.example.com
• test.example.com
• blog.example.com
• work.example.com
• webdav.example.com
• frp.example.com
• proxy.example.com
• …

Dit zijn zomaar wat voorbeelden; voor geautomatiseerde aanvallen wordt zeker een subdomeinwoordenboek gebruikt voor geautomatiseerd testen.

U kunt een LAN DNS-server opzetten, zoals AdguardHome, en domeinresolutie configureren, zodat apparaten op het intranet toegang hebben via een vast IP.

DDNS kan ook worden geïmplementeerd met de API van AdguardHome. Omdat het een lokaal netwerk is, kunt u de domeinnaam naar eigen inzicht kiezen.

Edge-beveiligingsdiensten gebruiken

Over de “Cyber Boeddha” Cloudflare valt niet veel meer te zeggen; zolang individuele hobbyisten nog geen echt commercieel waardevol project hebben gevonden, blijft het zeker gratis.

In China is er Alibaba Cloud ESA. Ik gebruik allebei. Alibaba Cloud is 3 maanden gratis; normaal is het 10 yuan per maand voor een hoofddomein met een limiet van 50G verkeer. In het licht van het feit dat CF volledig gratis is, zal ik er niet te veel over vertellen.

Beveiligingsdiensten zijn over het algemeen vrij duur. Zonder bescherming is het verlies bij een aanval groot, maar als u betaalt voor bescherming, kijkt u elke dag naar een direct “verlies”.

Edge-beveiligingsdiensten zijn eigenlijk een soort verzekering: zeer goedkoop, beveiligingsdiensten met een uitstekende prijs-kwaliteitverhouding, typisch het laten doen van specialistisch werk door professionals.

Het hoofddoel van edge-beveiliging is het verbergen van uw echte IP. Gebruikers hebben toegang tot de edge-node; de edge-node berekent en beslist of er teruggaat naar de bron om toegang te krijgen tot het echte IP.

In essentie is het een vooraf geplaatste reverse proxy die functies zoals caching, WAF, CDN en DDoS-bescherming integreert. Omdat er een derde partij tussen de gebruiker en de service wordt geplaatst, is er een kans dat de gebruikerservaring afneemt.

Ik gebruik zowel CF als ESA. Samengevat: de gebruikerservaring van het deel dat de beste ervaring had, neemt iets af, maar de ervaring van gebruikers in meer regio’s verbetert. Al met al is het nog steeds zeer de moeite waard.

Conclusie

Als de service alleen voor eigen gebruik is, gebruik dan bij voorkeur VPN. tailscale of zerotier zijn beide goede keuzes. Als u een DNS-service nodig heeft, kunt u AdGuardHome op het intranet opzetten; voor het openbare netwerk kunt u AdGuardPrivate gebruiken.

Als het een openbare dienst is die toegankelijk is voor het grote publiek, is het het beste om Cloudflare ervoor te zetten. Als u zich zorgen maakt over de toegangssnelheid vanuit het Chinese vasteland, gebruik dan Alibaba ESA.

Deze beveiligingspraktijken zijn slechts ter referentie; suggesties van de experts op V Station zijn zeer welkom.

• ←Vorige
• Volgende→