Domenet som får tilgang til nettverket ditt er kanskje ikke som det ser ut til. Domenefronting lar en angriper snike seg inn fra det som ser ut til å være en legitim kilde.
De sier at alt er rettferdig i krig. Nettkriminelle går alt for å vinne nettkrigen ved å implementere alle mulige midler for å angripe intetanende ofre for dataene deres. De distribuerer de største bedragene for å maskere identiteten deres og overraske deg med teknikker som domene-fronting-angrep.
Det tilsynelatende legitime domenet som får tilgang til nettverket ditt er kanskje ikke legitimt likevel. For alt du vet, kan en angriper fronte den for å sette deg i et trangt hjørne. Dette er det som er kjent som et domenefrontangrep. Er det noe du kan gjøre med det?
Hva er et domenefrontangrep?
Som en del av reguleringen av internett begrenser noen land borgere fra å få tilgang til spesifikt nettinnhold og nettsteder ved å blokkere trafikk fra brukere innenfor deres territorium. Ute av stand til å få lovlig tilgang til disse svartelistede nettstedene, søker noen mennesker uautorisert tilgang.
Domenefronting er en prosess der en bruker skjuler domenet sitt for å få tilgang til et nettsted de har forbud mot å få tilgang til der de befinner seg. Et domenefronting-angrep er derimot en prosess for å fronte et legitimt domene med teknikkene for domenefronting, for å angripe et nettverk.
Opprinnelig var ikke domenefronting et cyberangrepsmiddel. Ikke-ondsinnede brukere kan bruke den til å omgå sensur mot visse domener på deres plassering. For eksempel, i fastlands-Kina hvor YouTube er forbudt, kan en bruker bruke domenefronting for å få tilgang til YouTube for harmløse underholdningsformål uten å kompromittere noens konto. Men da nettkriminelle så at det var en praktisk måte å slå sikkerhetskontrollene på, kapret det for sine egoistiske gevinster, derav angrepsfaktoren.
Hvordan fungerer et domenefrontangrep?
For å slå sensuren på bakken, tar en domenefrontende aktør på seg identiteten til en legitim internettbruker, vanligvis en som er fra et annet geografisk sted. Content Delivery Network (CDN), et oppbevaringssted for proxy-servere over hele verden, spiller en viktig rolle i et domenefronting-angrep.
Når du vil ha tilgang til et nettsted, utløser du følgende forespørsler:
- DNS: Internett-tilkoblingsenheten din har en IP-adresse. Denne adressen er unik og eksklusiv for enheten din. Når du prøver å få tilgang til et nettsted, vil du starte en forespørsel om domenenavnsystem (DNS). som konverterer domenenavnet ditt til en IP-adresse.
- HTTP: Hypertext Transfer Protocol (HTTP)-forespørselen kobler tilgangsforespørselen din til hypertekster på World Wide Web (WWW).
- TLS: Transportlagssikkerhetsforespørselen (TLS) konverterer HTTP-kommandoene dine til HTTPS via kryptering og sikrer inndata mellom nettlesere og servere.
I utgangspunktet konverterer en DNS domenenavnet ditt til en IP-adresse, og IP-adressen kjører på en HTTP- eller HTTPS-tilkobling. Konverteringen av domenenavnet ditt til en IP-adresse endrer ikke domenet ditt; det forblir det samme. Men i domenefronting, mens domenet ditt forblir det samme i DNS og TLS, endres det i HTTPS. DNS-postene viser det legitime domenet, men HTTPS omdirigerer til et forbudt.
Du bor for eksempel i et land der example.com er blokkert, men du vil ha tilgang til det likevel. Målet ditt er å få tilgang til example.com ved å bruke et legitimt nettsted som makeuseof.com. Forespørslene til DNS og TLS vil peke til makeuseof.com, men HTTPS-tilkoblingen vil peke til example.com.
Domenefronting utnytter avansert sikkerhet for HTTPS å være suksessfull. Siden HTTPS er kryptert, kan det omgå sikkerhetsprotokoller uten deteksjon.
Nettkriminelle utnytter scenariet ovenfor for å starte domeneangrep. I stedet for å fronte et legitimt domene for å få tilgang til nettsteder de er begrenset fra på grunn av sensur, fronter de et legitimt domene for å stjele data og utføre tilhørende skadelige oppgaver.
Hvordan forhindre domenefrontangrep
Når de lanserer angrep mot domenefronten, fronter nettkriminelle ikke bare noen legitime domener, men høyt rangerte domener. Og det er fordi slike domener har et rykte for å være autentiske. Du vil naturligvis ikke ha noen grunn til mistanke når du oppdager et legitimt domene på nettverket ditt.
Du kan forhindre domeneangrep på følgende måter.
Installer en proxy-server
EN proxy-serveren er en mellommann eller mellommann mellom deg (din enhet) og internett. Det er et sikkerhetssystem som hindrer brukere i å få tilgang til internett direkte, spesielt ettersom brukertrafikk kan være skadelig. Med andre ord filtrerer den trafikk for å se etter trusselvektorer før den tillater en nettapplikasjon.
For å forhindre domenefronting, konfigurer proxy-serveren til å avskjære all TLS-kommunikasjon og sørge for at HTTP-vertsoverskriften er den samme som HTTPS omdirigerer. Basert på innstillingene dine, vil systemet nekte tilgang hvis det oppdager uoverensstemmelse.
Unngå dinglende DNS-oppføringer
Alle oppføringer i DNS-en din skal lede trafikkinndata til angitte kanaler. Når du gjør en oppføring som DNS ikke kan behandle på grunn av fravær av ressursen, har du en dinglende DNS-post.
En DNS-post dingler når den enten er feilkonfigurert eller utdatert og ikke er nyttig for DNS-kommandoene. Dette skaper rom for domene-frontende angrep ettersom trusselaktører bruker oppføringene for sine ondsinnede aktiviteter.
For å forhindre at domenefrontangrep dingler DNS-oppføringer, må du alltid holde DNS-postene dine rene. Gjennomfør regelmessig hygiene for å se etter gamle og utdaterte oppføringer og slette dem. Du kan bruke et DNS-overvåkingsverktøy for å automatisere prosessen. Den genererer en liste over alle dine aktive ressurser i DNS-postene og skiller ut de ikke-aktive.
Vedta kodesignering
Kodesignering er signering av programvare med digitale signaturer som offentlig nøkkelinfrastruktur (PKI) for å vise brukere at programvaren er intakt uten noen endring. Hovedmålet med kodesignering er å forsikre brukerne om at applikasjonen de laster ned er autentisk.
Kodesignering lar deg signere domenet ditt og andre ressurser i DNS-postene dine for å vise deres integritet og etablere en tillitskjede blant dem. Systemet vil ikke validere eller behandle noen ressurs eller kommando som ikke har den autoriserte signaturen påtrykt.
Implementer Zero Security Trust for å forhindre domenefrontangrep
Domene-fronting-angrep setter søkelyset på farene forbundet med domenetrafikk. Hvis hackere kan fronte legitime autoritetsplattformer for å penetrere systemet ditt, viser det at du ikke kan stole på noen plattform.
Implementering av null-tillit-sikkerhet er veien å gå. Sørg for at all trafikk til nettverket ditt gjennomgår standard sikkerhetssjekker for å bekrefte integriteten.