Практика безопасности личного домена

В этой статье делятся практическими рекомендациями по обеспечению безопасности личного домена, включая анализ атак сканирования, стратегии защиты домена, распространенные методы атак и выбор периферийных служб безопасности.
Tags:
Categories:

Предисловие

В эпоху Интернета кибератаки стали нормой. Каждый день бесчисленные автоматизированные инструменты сканируют каждый уголок Интернета в поисках возможных уязвимостей. Многие считают, что целями атак становятся только крупные предприятия, но на самом деле из-за снижения стоимости атак и широкого распространения инструментов любая служба, выставленная в Интернет, может стать целью атаки.

Анализ реальных случаев

Пример атаки сканирования

Я развернул небольшой демонстрационный сайт на Cloudflare, у которого было всего два действительных URL:

Но он все равно продолжает подвергаться атакам сканирования.

Сначала все остальные URL возвращали 404, и в день запуска с Hong Kong началось сканирование, исходный IP менялся каждый день, но большинство - из Hong Kong. Так как некоторые пользователи посещают с IP из Hong Kong, нельзя напрямую заблокировать регион.

Все эти URL - это попытки с различными целями, мой worker обрабатывает только / и /logs-collector, все эти упорные попытки в основном ищут уязвимости.

Но такое сканирование занимает бесплатные запросы CF и загрязняет мои логи, это тоже нехорошо.

Позже все другие запросы возвращали 200, добавляя Host on Cloudflare Worker, don't waste your time

Таким образом, сканирование немного уменьшилось, конечно, я не знаю, есть ли причинно-следственная связь.

Если служба работает на собственном хосте, и если ее постоянно сканируют, и служба не обновляется вовремя, рано или поздно найдут уязвимость.

Для злоумышленников это просто ежедневные регулярные попытки, которые могут взломать один или два, в основном все автоматизировано, и стоимость оборудования и времени невысока.

Анализ угроз безопасности

Характеристики злоумышленников

  • Часто совершаются трансграничные преступления, снижая возможность привлечения к ответственности
  • Широкое использование автоматизированных инструментов, включая инструменты сканирования портов, такие как Nmap, Masscan и т.д.
  • Постоянные атаки с низкой стоимостью
  • Достаточно ресурсов ботнетов, IP-адреса часто меняются
  • Атаки обычно происходят поздно ночью или в праздничные дни

Распространенные методы атак

  1. Сканирование портов
    • Массовое сканирование открытых портов
    • Идентификация распространенных служб (SSH, RDP, MySQL и т.д.)
  2. Сканирование уязвимостей
    • Сканирование устаревшего программного обеспечения с известными уязвимостями
    • Идентификация по характеристикам путей и имен файлов
  3. Самостоятельное конструирование ввода, через уязвимости проверки ввода

Практика безопасности

Использование VPN вместо обратного прокси

Большинство людей не обновляют программное обеспечение вовремя, лучше не раскрывать свой домен, сканирование может как конструировать postfix, так и prefix, пробовать все субдомены.

Например, районы субдоменов:

  • nas.example.com
  • home.example.com
  • dev.example.com
  • test.example.com
  • blog.example.com
  • work.example.com
  • webdav.example.com
  • frp.example.com
  • proxy.example.com

Это просто написано наугад, для автоматизированной атаки, конечно, будет использоваться словарь субдоменов для автоматизированного тестирования.

Можно построить локальный DNS-сервер, например AdguardHome, настроить разрешение доменных имен, и все внутренние устройства обращаются по фиксированному IP.

DDNS также может быть реализован с помощью API AdguardHome. Так как это локальная сеть, доменное имя можно выбирать произвольно.

Использование периферийных служб безопасности

赛博佛祖 Cloudflare не нуждается в подробном описании, пока личные энтузиасты не найдут по-настоящему коммерчески ценные проекты, он, конечно, будет бесплатным.

В Китае это ESA от Alibaba Cloud, которую я использую, бесплатный период 3 месяца, обычно 10 юаней в месяц за корневой домен с ограничением в 50 Гб трафика, в сравнении с бесплатностью CF я не буду подробно рассказывать.

Службы безопасности обычно дорогие, если не защитить, убытки от атаки будут большими, если платить за защиту, каждый день смотришь на прямые “потери”.

Периферийные службы безопасности - это своего рода страхование, очень дешевое, высокая производительность и цена служб безопасности, типичный пример, когда профессионалы делают профессиональные дела.

Основная цель периферийной безопасности - скрыть свой реальный IP, пользователи обращаются к периферийным узлам, периферийные узлы вычисляют решение о том, следует ли обращаться к реальному IP.

По сути, это предварительный обратный прокси, интегрированный с функциями кэширования, WAF, CDN, защиты от DDoS и т.д. Поскольку между пользователем и службой вставлен третий, он с определенной вероятностью может привести к ухудшению пользовательского опыта.

Я использую как CF, так и ESA, в целом можно сказать, что это незначительное снижение пользовательского опыта для части пользователей с наилучшим опытом, но улучшает пользовательский опыт для большего количества регионов. В целом это все еще очень стоит.

Заключение

Если это только для личного использования, приоритетно использовать VPN, tailscale или zerotier - хорошие варианты, для DNS-службы можно построить AdGuardHome во внутренней сети, а для публичной сети можно использовать AdGuardPrivate.

Если это публичная служба, доступная для массового доступа, лучше обернуть ее в Cloudflare, для скорости доступа из материкового Китая используйте Ali ESA

Эта практика безопасности приводится только для справки, очень приветствуются предложения от мастеров V Station.