Práticas de Segurança para Domínios Pessoais

Este artigo compartilha práticas de segurança no uso de domínios pessoais, incluindo análise de ataques de varredura, estratégias de proteção de domínio, métodos de ataque comuns e a escolha de serviços de segurança perimetral.
Tags:
Categories:

Introdução

Na era da internet, ataques cibernéticos se tornaram a norma. Diariamente, inúmeras ferramentas automatizadas varrem cada canto da internet em busca de possíveis vulnerabilidades. Muitos acreditam que apenas grandes empresas são alvos de ataques, mas na realidade, devido à redução dos custos de ataque e à popularização das ferramentas, qualquer serviço exposto na internet pode se tornar um alvo.

Análise de Casos Reais

Exemplo de Ataque de Varredura

Implementei um pequeno site de demonstração na Cloudflare que, apesar de ter apenas duas URLs válidas:

Ainda assim continua sofrendo ataques de varredura.

Inicialmente, todas as outras URLs retornavam 404, e no dia do lançamento já havia um host de Hong Kong varrendo. O IP de origem mudava diariamente, mas a maioria era de Hong Kong. Como alguns usuários acessam com IP de Hong Kong, não é possível bloquear diretamente a região.

Todas essas URLs são tentativas com diversos propósitos. O meu worker só processa / e /logs-collector, e essas tentativas persistentes são basicamente para procurar vulnerabilidades.

Mas isso consome o número gratuito de solicitações do CF e polui meus logs, o que não é nada bom.

Depois, mudei todas as outras solicitações para retornar 200, adicionando Host on Cloudflare Worker, don't waste your time.

Assim, a varredura diminuiu um pouco, embora eu não saiba se há relação causal.

Se o serviço estiver rodando em um servidor próprio, ser varrido diariamente sem fazer atualizações de segurança no serviço, eventualmente será encontrado uma vulnerabilidade.

Para os atacantes, é apenas tentar continuamente, dia após dia, conseguir invadir um por um. Basicamente tudo é automatizado, com custos de equipamento e tempo muito baixos.

Análise de Ameaças de Segurança

Características dos Atacantes

  • Atos transfronteiriços são comuns, reduzindo a possibilidade de responsabilização
  • Uso generalizado de ferramentas automatizadas, incluindo ferramentas de varredura de portas como Nmap e Masscan
  • Ataques persistentes com custos baixos
  • Recursos de máquinas zumbis abundantes, endereços IP mudando frequentemente
  • Ataques geralmente ocorrem à noite ou em feriados

Métodos de Ataque Comuns

  1. Varredura de Portas
    • Varredura em lote de portas abertas
    • Identificação de serviços comuns (SSH, RDP, MySQL, etc.)
  2. Varredura de Vulnerabilidades
    • Varredura de softwares antigos com vulnerabilidades conhecidas
    • Identificação por características de caminho e nome de arquivo
  3. Construção própria de entradas, explorando vulnerabilidades de validação de entrada

Práticas de Segurança

Uso de VPN ao Invés de Proxy Reverso

A maioria das pessoas não atualiza seus softwares imediatamente, é melhor não expor o próprio domínio. Varreduras podem tanto construir prefixos quanto sufixos, testando vários subdomínios.

Por exemplo, subdomínios que são alvos frequentes:

  • nas.example.com
  • home.example.com
  • dev.example.com
  • test.example.com
  • blog.example.com
  • work.example.com
  • webdav.example.com
  • frp.example.com
  • proxy.example.com

Esses são apenas exemplos rápidos. Para ataques automatizados, certamente se usa um dicionário de subdomínios para testes automatizados.

É possível montar um servidor DNS local, como o AdguardHome, configurar a resolução de domínio e fazer com que os dispositivos internos acessem com IP fixo.

O DDNS também pode ser implementado usando a API do AdguardHome. Como é uma rede local, o domínio pode ser escolhido livremente.

Uso de Serviços de Segurança de Borda

O “Buda Cibernético” Cloudflare não precisa de muitas palavras, antes que os entusiastas encontrem projetos realmente valiosos comercialmente, ele certamente permanecerá gratuito.

No mercado doméstico, temos o ESA da Alibaba Cloud. Estou usando ambos. O serviço gratuito da Alibaba Cloud dura 3 meses, normalmente custa 10 yuan por mês por domínio raiz com limite de 50G de tráfego. Diante do preço totalmente gratuito do CF, não vou me aprofundar muito na introdução.

Os serviços de segurança são geralmente caros. Não se proteger pode causar grandes perdas em caso de ataque, e pagar por proteção significa observar perdas diárias diretas.

Os serviços de segurança de borda são como um seguro, um serviço de segurança muito barato e com alta relação custo-benefício, um exemplo típico de deixar profissionais fazerem o trabalho profissional.

A principal finalidade da segurança de borda é ocultar o IP real. Os usuários acessam os nós de borda, que calculam e decidem se devem ou não acessar o IP real.

Essencialmente, é um proxy reverso prévio, integrado com cache, WAF, CDN e proteção contra DDoS. Como um terceiro é inserido entre o usuário e o serviço, há alguma probabilidade de causar degradação na experiência do usuário.

Estou usando tanto CF quanto ESA. Em resumo, isso faz com que parte dos usuários com melhor experiência tenha uma leve degradação, mas melhora a experiência de usuários em mais regiões. No geral, ainda é muito valioso.

Conclusão

Para serviços de uso próprio, use优先 VPN, tailscale ou zerotier são boas escolhas. Para serviços DNS, pode-se montar um AdGuardHome em rede local ou usar AdGuardPrivate na internet.

Para serviços públicos, abertos ao público em geral, é melhor usar Cloudflare. Para quem se preocupa com a velocidade de acesso na China continental, use Alibaba ESA

Essas práticas de segurança são apenas para referência e espero ansiosamente sugestões dos mestres do V2EX.