Domænet, der får adgang til dit netværk, er muligvis ikke, hvad det ser ud til. Domænefronting giver en angriber mulighed for at snige sig ind fra, hvad der synes at være en legitim kilde.
De siger, at alt er retfærdigt i krig. Cyberkriminelle går alt for at vinde cyberkrigen ved at implementere alle mulige midler til at angribe intetanende ofre for deres data. De implementerer de største bedragerier for at maskere deres identitet og overraske dig med teknikker som domæne-fronting angreb.
Det tilsyneladende legitime domæne, der får adgang til dit netværk, er måske alligevel ikke legitimt. For alt hvad du ved, kan en angriber være foran den for at sætte dig i et snævert hjørne. Dette er det, der er kendt som et domænefrontangreb. Er der noget du kan gøre ved det?
Hvad er et domænefrontangreb?
Som en del af reguleringen af internettet begrænser nogle lande borgere i at få adgang til specifikt onlineindhold og websteder ved at blokere trafik fra brugere inden for deres territorium. Ude af stand til at få lovlig adgang til disse sortlistede websteder, søger nogle mennesker uautoriseret adgang.
Domænefronting er en proces, hvor en bruger skjuler deres domæne for at få adgang til et websted, de har forbud mod at få adgang til på deres placering. Et domænefrontangreb er på den anden side en proces med at fronte et legitimt domæne med teknikkerne til domænefronting for at angribe et netværk.
Oprindeligt var domænefronting ikke et cyberangrebsmiddel. Ikke-ondsindede brugere kan bruge det til at omgå censur mod bestemte domæner på deres placering. For eksempel i det kinesiske fastland, hvor YouTube er forbudt, kan en bruger bruge domænefronting til at få adgang til YouTube til harmløse underholdningsformål uden at kompromittere nogens konto. Men da de så, at det var en bekvem måde at slå sikkerhedskontrollen, kaprede cyberkriminelle det for deres egoistiske gevinster, deraf angrebsfaktoren.
Hvordan fungerer et domænefrontangreb?
For at slå censuren på jorden overtager en domæne-frontende aktør identiteten af en legitim internetbruger, som regel en, der er fra en anden geografisk placering. Indholdsleveringsnetværk (CDN), et lager af proxyservere over hele verden, spiller en stor rolle i et domænefrontangreb.
Når du vil have adgang til et websted, udløser du følgende anmodninger:
- DNS: Din internetforbindelsesenhed har en IP-adresse. Denne adresse er unik og eksklusiv for din enhed. Når du forsøger at få adgang til et websted, vil du igangsætte en anmodning om domænenavnesystem (DNS). der konverterer dit domænenavn til en IP-adresse.
- HTTP: Hypertext Transfer Protocol (HTTP) anmodningen forbinder din adgangsanmodning til hypertekster på World Wide Web (WWW).
- TLS: Transportlagsikkerhedsanmodningen (TLS) konverterer dine HTTP-kommandoer til HTTPS via kryptering og sikrer input mellem dine webbrowsere og servere.
Grundlæggende konverterer en DNS dit domænenavn til en IP-adresse, og IP-adressen kører på en HTTP- eller HTTPS-forbindelse. Konverteringen af dit domænenavn til en IP-adresse ændrer ikke dit domæne; det forbliver det samme. Men i domænefronting, mens dit domæne forbliver det samme i DNS og TLS, ændres det i HTTPS. DNS-posterne viser det legitime domæne, men HTTPS omdirigerer til et forbudt.
For eksempel bor du i et land, hvor example.com er blokeret, men du vil have adgang til det alligevel. Dit mål er at få adgang til example.com ved hjælp af et legitimt websted såsom makeuseof.com. Anmodningerne til din DNS og TLS vil pege på makeuseof.com, men din HTTPS-forbindelse vil pege på example.com.
Domain fronting udnytter avanceret sikkerhed i HTTPS at være succesfuld. Da HTTPS er krypteret, kan det omgå sikkerhedsprotokoller uden registrering.
Cyberkriminelle udnytter ovenstående scenarie til at starte domæne-fronting angreb. I stedet for at fronte et legitimt domæne for at få adgang til websteder, de er begrænset fra på grund af censur, fronter de et legitimt domæne for at stjæle data og udføre tilhørende skadelige opgaver.
Sådan forhindres domænefrontangreb
Når cyberkriminelle lancerer angreb, der retter sig mod domæne, står de ikke blot foran et hvilket som helst legitimt domæne, men højt rangerede domæner. Og det er fordi sådanne domæner har ry for at være autentiske. Du ville naturligvis ikke have nogen grund til mistanke, når du opdager et legitimt domæne på dit netværk.
Du kan forhindre domæne-fronting angreb på følgende måder.
Installer en proxyserver
EN proxyserver er en mellemmand eller mellemmand mellem dig (din enhed) og internettet. Det er et sikkerhedssystem, der forhindrer brugere i at få direkte adgang til internettet, især da brugertrafik kan være skadelig. Med andre ord filtrerer den trafik for at tjekke for trusselsvektorer, før den tillader en webapplikation.
For at forhindre domænefronting skal du konfigurere din proxyserver til at opsnappe al TLS-kommunikation og sikre, at HTTP-værtsheaderen er den samme som den, HTTPS omdirigerer. Baseret på dine indstillinger vil systemet nægte adgang, hvis det bemærker en uoverensstemmelse.
Undgå at dingle DNS-indgange
Alle poster i din DNS formodes at dirigere trafikinput til udpegede kanaler. Når du foretager en indtastning, som DNS'en ikke kan behandle på grund af fraværet af ressourcen, har du en dinglende DNS-record.
En DNS-post dingler, når den enten er forkert konfigureret eller forældet og ikke er nyttig for DNS-kommandoerne. Dette skaber plads til domæne-frontende angreb, da trusselsaktører gør brug af posterne til deres ondsindede aktiviteter.
For at forhindre domænefronting-angreb i at dingle DNS-poster, skal du altid holde dine DNS-poster rene. Udfør regelmæssig sanitet for at tjekke for gamle og forældede poster og slette dem. Du kan bruge et DNS-overvågningsværktøj til at automatisere processen. Det genererer en liste over alle dine aktive ressourcer i DNS-posterne og fremhæver de ikke-aktive.
Vedtag kodesignering
Kodesignering er signering af software med digitale signaturer såsom offentlig nøgleinfrastruktur (PKI) for at vise brugerne, at softwaren er intakt uden nogen ændring. Hovedmålet med kodesignering er at forsikre brugerne om, at den applikation, de downloader, er autentisk.
Kodesignering giver dig mulighed for at signere dit domæne og andre ressourcer i dine DNS-poster for at vise deres integritet og etablere en tillidskæde blandt dem. Systemet vil ikke validere eller behandle nogen ressource eller kommando, der ikke har den autoriserede signatur påtrykt.
Implementer Zero Security Trust for at forhindre domænefrontende angreb
Domæne-fronting-angreb sætter fokus på farerne forbundet med domænetrafik. Hvis hackere kan fronte legitime autoritetsplatforme for at trænge ind i dit system, viser det, at du ikke kan stole på nogen platform.
Implementering af nul-tillid-sikkerhed er vejen at gå. Sørg for, at al trafik til dit netværk gennemgår standardsikkerhedstjek for at verificere dens integritet.