Előfordulhat, hogy a hálózatához hozzáférő tartomány nem az, aminek látszik. A tartományfront lehetővé teszi a támadó számára, hogy besurranjon egy legitim forrásból.
Azt mondják, háborúban minden igazságos. A kiberbűnözők mindent megtesznek azért, hogy megnyerjék a kiberháborút azáltal, hogy minden lehetséges eszközt bevetnek, hogy megtámadják a gyanútlan áldozatokat adataikért. A legnagyobb megtévesztéseket alkalmazzák, hogy elfedjék személyazonosságukat, és meglepjenek olyan technikákkal, mint a domain-fronting támadások.
Lehetséges, hogy az a látszólag legitim domain, amely hozzáfér a hálózatához, mégsem jogos. Annyit tudhat, hogy egy támadó kivédheti, hogy szűk sarokba szorítson. Ez az úgynevezett domain fronting támadás. Tudsz valamit tenni ellene?
Mi az a Domain Fronting Attack?
Az internet szabályozásának részeként egyes országok korlátozzák az állampolgárok hozzáférését bizonyos online tartalmakhoz és webhelyekhez azáltal, hogy blokkolják a területükön belüli felhasználóktól érkező forgalmat. Néhány ember nem tud jogszerűen hozzáférni ezekhez a feketelistán szereplő webhelyekhez, ezért jogosulatlan hozzáférési módokat keresnek.
A domain fronting olyan folyamat, amelynek során a felhasználó álcázza a domainjét, hogy hozzáférjen egy olyan webhelyhez, amelyhez a tartózkodási helyén tilos hozzáférni. A domain fronting támadás ezzel szemben egy olyan folyamat, amelynek során egy legitim tartományt védenek a domain fronting technikákkal, hogy megtámadják a hálózatot.
A domain fronting eredetileg nem kibertámadási eszköz volt. A nem rosszindulatú felhasználók arra használhatják, hogy megkerüljék a tartózkodási helyükön lévő bizonyos domainek cenzúráját. Például Kínában, ahol a YouTube tilos, a felhasználók a domain fronting használatával hozzáférhetnek a YouTube-hoz ártalmatlan szórakoztatási célokra anélkül, hogy bárki fiókját veszélyeztetnék. De látva, hogy ez egy kényelmes módja a biztonsági ellenőrzések legyőzésének, a kiberbűnözők önző nyereségük miatt eltérítették, így a támadási tényező.
Hogyan működik a Domain Fronting Attack?
A cenzúra leküzdése érdekében egy domain-elöljáró szereplő felveszi egy legitim internetfelhasználó személyazonosságát, általában egy másik földrajzi helyről származót. A tartalomszolgáltató hálózat (CDN), a proxyszerverek tárháza szerte a világon, jelentős szerepet játszik a domain fronting támadásokban.
Amikor hozzá szeretne férni egy webhelyhez, a következő kéréseket kell végrehajtania:
- DNS: Az internethez csatlakozó eszközének IP-címe van. Ez a cím egyedi és kizárólagos az Ön készülékére. Amikor megpróbál hozzáférni egy webhelyhez, akkor domain névrendszer (DNS) kérelmet kezdeményez amely átalakítja a domain nevét IP-címmé.
- HTTP: A hipertext átviteli protokoll (HTTP) kérése összekapcsolja a hozzáférési kérelmet a hipertextekkel a világhálón (WWW).
- TLS: A szállítási réteg biztonsági (TLS) kérése titkosítással konvertálja a HTTP-parancsokat HTTPS-vé, és biztonságos bevitelt biztosít a webböngészők és a szerverek között.
Alapvetően a DNS átalakítja a domain nevét IP-címmé, és az IP-cím HTTP vagy HTTPS kapcsolaton fut. A domain nevének IP-címmé történő átalakítása nem változtatja meg a domainjét; ugyanaz marad. De a tartományi fronton, míg a domain ugyanaz marad a DNS-ben és a TLS-ben, megváltozik a HTTPS-ben. A DNS-rekordok a törvényes tartományt mutatják, de a HTTPS tiltott domainre irányít át.
Például Ön olyan országban él, ahol az example.com le van tiltva, de mégis hozzá szeretne férni. Célja az example.com elérése egy legitim webhelyről, például a makeuseof.com-ról. A DNS-hez és a TLS-hez intézett kérések a makeuseof.com oldalra mutatnak, de a HTTPS-kapcsolata az example.com oldalra mutat.
Domain fronting kihasználja a a HTTPS fejlett biztonsága sikeresnek lenni. Mivel a HTTPS titkosított, észlelés nélkül képes megkerülni a biztonsági protokollokat.
A kiberbűnözők a fenti forgatókönyvet kihasználva indítanak tartományfronti támadásokat. Ahelyett, hogy egy legitim domain előtt állnának a cenzúra miatt korlátozott webhelyekhez való hozzáféréshez, egy legális domain előtt állnak az adatok ellopása és a kapcsolódó káros feladatok elvégzése érdekében.
Hogyan előzhetjük meg a domain fronting támadásait
Domain-fronting támadások indításakor a kiberbûnözõk nem akármilyen legitim domaint, hanem magas rangú domaint is felvesznek. És ez azért van így, mert az ilyen tartományok hitelesek. Természetesen nincs oka a gyanúra, ha legális domaint észlel a hálózatán.
A következő módokon akadályozhatja meg a tartományfrontos támadásokat.
Telepítsen egy proxyszervert
A proxy szerver egy közvetítő vagy közvetítő Ön (eszköze) és az internet között. Ez egy biztonsági rendszer, amely megakadályozza, hogy a felhasználók közvetlenül hozzáférjenek az internethez, különösen mivel a felhasználói forgalom káros lehet. Más szóval, szűri a forgalmat, hogy ellenőrizze a fenyegetés vektorait, mielőtt beengedné a webalkalmazásba.
A tartományfrontok elkerülése érdekében állítsa be a proxyszervert úgy, hogy elfogja az összes TLS-kommunikációt, és győződjön meg arról, hogy a HTTP-gazdafejléc megegyezik azzal, amelyet a HTTPS átirányít. A beállítások alapján a rendszer megtagadja a hozzáférést, ha eltérést észlel.
Kerülje el a lelógó DNS-bejegyzéseket
A DNS-ben lévő összes bejegyzésnek a forgalmi bemenetet a kijelölt csatornákra kell irányítania. Amikor olyan bejegyzést ad meg, amelyet a DNS nem tud feldolgozni az erőforrás hiánya miatt, akkor egy lógó DNS-rekord van.
Egy DNS-rekord lóg, ha rosszul van konfigurálva vagy elavult, és nem hasznos a DNS-parancsok számára. Ez teret ad a tartományon belüli támadásoknak, mivel a fenyegetés szereplői rosszindulatú tevékenységeikhez használják fel a bejegyzéseket.
Annak elkerülése érdekében, hogy a tartományfronti támadások lelógjanak a DNS-bejegyzésekről, mindig tisztán kell tartania DNS-rekordjait. Végezzen rendszeres fertőtlenítést, hogy ellenőrizze a régi és elavult bejegyzéseket, és törölje azokat. A folyamat automatizálásához DNS-megfigyelő eszközt használhat. Létrehoz egy listát az összes aktív erőforrásról a DNS-rekordokban, és kiemeli a nem aktív erőforrásokat.
Kód-aláírás elfogadása
A kódaláírás egy szoftver aláírása digitális aláírással, például nyilvános kulcsú infrastruktúrával (PKI), amely megmutatja a felhasználóknak, hogy a szoftver sértetlen, minden változtatás nélkül. A kódaláírás fő célja, hogy biztosítsa a felhasználókat a letöltött alkalmazás hitelességéről.
A kódaláírás lehetővé teszi a domain és más erőforrások aláírását a DNS-rekordokban, hogy bemutassa integritásukat, és bizalmi láncot alakítson ki közöttük. A rendszer nem érvényesít és nem dolgoz fel olyan erőforrást vagy parancsot, amelyen nem szerepel a jogosult aláírás.
Valósítsa meg a Zero Security Trust-ot a tartományfronti támadások megelőzése érdekében
A tartományfrontos támadások rávilágítanak a tartományforgalommal kapcsolatos veszélyekre. Ha a hackerek törvényes hatósági platformok előtt tudnak behatolni a rendszerébe, az azt mutatja, hogy nem bízhat meg egyetlen platformban sem.
A bizalom nélküli biztonság megvalósítása a járható út. Győződjön meg arról, hogy a hálózatába irányuló minden forgalom szabványos biztonsági ellenőrzésen esik át annak integritásának ellenőrzésére.