Praktyka bezpieczeństwa osobistych domen

Ten artykuł dzieli się praktykami bezpieczeństwa dotyczącymi korzystania z osobistych domen, w tym analizą ataków skanujących, strategiami ochrony domen, typowymi metodami ataków oraz wyborem usług bezpieczeństwa na obrzeżach.
Tags:
Categories:

Wstęp

W erze internetu ataki sieciowe stały się normą. Codziennie bezludne automatyczne narzędzia skanują każdy zakątek internetu w poszukiwaniu możliwych luk. Wiele osób uważa, że celem ataków są tylko duże przedsiębiorstwa, jednak ze względu na obniżające się koszty ataków i powszechność narzędzi, każdym usługom wystawionym w internecie może grozić atak.

Analiza rzeczywistych przypadków

Przykład ataku skanującego

Mała witryna demonstracyjna, którą wdrożyłem na Cloudflare, mimo że ma tylko dwa prawidłowe adresy URL:

Nadal stale doświadcza ataków skanujących.

Na początku wszystkie inne adresy URL zwracały 404, tego samego dnia, w którym strona została uruchomiona, zaczęły się skanowania z serwerów z Hongkongu. Źródłowy adres IP zmienia się codziennie, ale większość pochodzi z Hongkongu. Ponieważ niektórzy użytkownicy odwiedzają stronę z adresów IP z Hongkongu, nie można bezpośrednio blokować regionów.

Wszystkie te adresy URL to nieustające próby mające na celu znalezienie luk. Mój worker obsługuje tylko / i /logs-collector, te uporczywe próby mają zazwyczaj na celu znalezienie luk.

Takie skanowanie zużywa darmowe żądania CF i zanieczyszcza moje dzienniki, co również nie jest pożądane.

Później wszystkie pozostałe żądania zwracały 200 z dopiskiem Host on Cloudflare Worker, don't waste your time.

W ten sposób skanowanie zmniejszyło się nieco, oczywiście nie wiem, czy istnieje związek przyczynowo-skutkowy.

W przypadku usług działających na własnych serwerach, codzienne skanowanie i brak aktualizacji bezpieczeństwa usługi mogą w końcu doprowadzić do znalezienia luki.

Dla atakującego chodzi o to, aby codziennie i regularnie próbować, przełamać choćby jeden system. Większość działa automatycznie, a koszty sprzętu i czasu są niskie.

Analiza zagrożeń bezpieczeństwa

Cechy atakujących

  • Powszechność czynności transgranicznych, zmniejszająca możliwość odpowiedzialności
  • Szerokie wykorzystanie automatycznych narzędzi, w tym narzędzi do skanowania portów takich jak Nmap, Masscan itp.
  • Ciągłe ataki, niskie koszty
  • Obfitość zasobów botnetowych, adresy IP często zmieniające się
  • Ataki zwykle odbywają się późną nocą lub w dniach wolnych

Typowe metody ataków

  1. Skanowanie portów
    • Masowe skanowanie otwartych portów
    • Identyfikacja popularnych usług (SSH, RDP, MySQL itp.)
  2. Skanowanie luk
    • Skanowanie starych programów znanymi lukami
    • Identyfikacja poprzez cechy ścieżki i nazwy pliku
  3. Konstruowanie własnych danych wejściowych, wykorzystanie luk w walidacji wejścia

Praktyka bezpieczeństwa

Używanie VPN zamiast reverse proxy

Większość ludzi nie aktualizuje oprogramowania na bieżąco, więc najlepiej nie ujawniać własnej domeny. Skanowanie może tworzyć zarówno suffixy, jak i prefiksy, testując różne subdomeny.

Na przykład w obszarach o dużej liczbie subdomen:

  • nas.example.com
  • home.example.com
  • dev.example.com
  • test.example.com
  • blog.example.com
  • work.example.com
  • webdav.example.com
  • frp.example.com
  • proxy.example.com

To tylko przykłady, automatyzacja ataków oczywiście polega na użyciu słownika subdomen i automatycznym testowaniu.

Można zbudować serwer DNS w sieci LAN, na przykład AdguardHome, skonfigurować rozwiązywanie nazw domen na nim, a urządzenia w sieci wewnętrznej uzyskiwać dostęp za pomocą stałego adresu IP.

DDNS również można zrealizować za pomocą API AdguardHome. Ponieważ jest to sieć LAN, nazwy domen można dowolnie dobierać.

Korzystanie z usług bezpieczeństwa brzegowego

Cyberbudda Cloudflare nie wymaga wielu słów, zanim osoby rozwijające się w środowisku amatorskim znajdą naprawdę komercyjnie wartościowy projekt, z pewnością będzie to zawsze darmowe.

W Chinach jest to Ali ESA, którego używam zarówno za darmo przez 3 miesiące, normalnie to 10 yuanów miesięcznie za domenę główną i limit 50 GB ruchu. W obliczu całkowicie darmowego CF nie będę się więcej przedstawiał.

Usługi bezpieczeństwa są generalnie drogie, brak ochrony oznacza duże straty w przypadku ataku, a płatna ochrona oznacza codzienny widok bezpośrednich “strat”.

Usługi bezpieczeństwa brzegowego to rodzaj ubezpieczenia, bardzo tanie, usługi bezpieczeństwa o bardzo wysokiej relacji jakości do ceny, typowy przykład powierzenia specjalistów wykonywanie specjalistycznych zadań.

Głównym celem bezpieczeństwa brzegowego jest ukrycie prawdziwego adresu IP, użytkownicy odwiedzają węzły brzegowe, które podejmują decyzje o przekierowaniu żądań do rzeczywistego adresu IP.

Ich istota to odwrócony proxy umieszczony na wstępie, zintegrowany z funkcjami cache, WAF, CDN, ochroną przed DDoS. Ponieważ między użytkownikiem a serwerem wstawiono pośrednika, istnieje pewne prawdopodobieństwo pogorszenia doświadczenia użytkownika.

Używam zarówno CF, jak i ESA, podsumowując, można powiedzieć, że pozwala to części użytkowników o najwyższym doświadczeniu na nieznaczne obniżenie jakości, ale znacznie poprawia doświadczenie użytkowników z innych regionów. Ogólnie rzecz biorąc, wciąż jest to bardzo warte.

Podsumowanie

W przypadku usług przeznaczonych wyłącznie do użytku wewnętrznego, preferowane jest korzystanie z VPN, tailscale lub zerotier są dobrymi wybarami. W przypadku potrzeby usługi DNS można zbudować AdGuardHome w sieci wewnętrznej, a w sieci publicznej użyć AdGuardPrivate.

W przypadku publicznych usług przeznaczonych dla szerokiej publiczności, najlepiej opakować je za pomocą Cloudflare, a jeśli zależy Ci na szybkości dostępu z kontynentu, użyj Ali ESA.

Te praktyki bezpieczeństwa są jedynie sugestią, serdecznie witamy ekspertów z V Station z prośbą o wskazówki.