Doména přistupující k vaší síti nemusí být taková, jak se zdá. Fronting domény umožňuje útočníkovi proniknout z toho, co se zdá být legitimním zdrojem.

Říká se, že ve válce je všechno spravedlivé. Kyberzločinci se snaží vyhrát kybernetickou válku tím, že zavedou všechny možné prostředky k útoku na nic netušící oběti kvůli jejich datům. Používají ty největší podvody, aby zamaskovali svou identitu a překvapili vás technikami, jako jsou útoky na frontu domény.

Tato zdánlivě legitimní doména přistupující k vaší síti nemusí být nakonec legitimní. Pokud víte, útočník by mohl stát před ním, aby vás dostal do úzkých. To je to, co je známé jako doménový fronting útok. Dá se s tím něco dělat?

Co je útok na frontu domény?

V rámci regulace internetu některé země omezují občanům přístup ke konkrétnímu online obsahu a webovým stránkám blokováním provozu od uživatelů na jejich území. Někteří lidé, kteří nemají legitimní přístup k těmto webovým stránkám na černé listině, hledají neoprávněné způsoby přístupu.

Domain fronting je proces, kdy uživatel maskuje svou doménu, aby mohl vstoupit na webovou stránku, na kterou má ve své lokalitě zakázán přístup. Na druhé straně útok na fronting domény je proces frontování legitimní domény pomocí technik doménového frontingu k útoku na síť.

Původně nebyl doménový fronting prostředkem kybernetického útoku. Uživatelé, kteří nejsou zlými úmysly, by jej mohli použít k obejití cenzury proti určitým doménám v jejich lokalitě. Například v pevninské Číně, kde je služba YouTube zakázána, by uživatel mohl používat doménové fronty pro přístup na YouTube pro účely neškodné zábavy, aniž by ohrozil něčí účet. Kyberzločinci však viděli, že jde o pohodlný způsob, jak překonat bezpečnostní kontroly, a proto jej unesli pro své sobecké zisky, a proto se staly faktorem útoku.

Jak funguje útok před doménou?

Aby porazil cenzuru na místě, převezme doménový aktér identitu legitimního uživatele internetu, obvykle takového, který pochází z jiné geografické polohy. Síť pro doručování obsahu (CDN), úložiště proxy serverů po celém světě, hraje hlavní roli v útoku na frontu domény.

Když chcete získat přístup na web, spustíte následující požadavky:

  1. DNS: Vaše zařízení pro připojení k internetu má IP adresu. Tato adresa je jedinečná a exkluzivní pro vaše zařízení. Když se pokusíte vstoupit na webovou stránku, vy iniciovat požadavek systému doménových jmen (DNS). který převede název vaší domény na IP adresu.
  2. HTTP: Požadavek protokolu HTTP (hypertext transfer protocol) spojí váš požadavek na přístup k hypertextům v rámci celosvětové sítě (WWW).
  3. TLS: Požadavek zabezpečení transportní vrstvy (TLS) převádí vaše příkazy HTTP na HTTPS pomocí šifrování a zabezpečuje vstup mezi vašimi webovými prohlížeči a servery.

DNS v zásadě převádí název vaší domény na IP adresu a IP adresa běží na připojení HTTP nebo HTTPS. Přeměna názvu vaší domény na IP adresu nezmění vaši doménu; zůstává to stejné. Ale ve frontingu domény, zatímco vaše doména zůstává stejná v DNS a TLS, mění se v HTTPS. DNS záznamy ukazují legitimní doménu, ale HTTPS přesměrovává na zakázanou.

Například žijete v zemi, kde je example.com blokován, ale přesto k němu chcete mít přístup. Vaším cílem je přistupovat na example.com pomocí legitimního webu, jako je makeuseof.com. Požadavky na vaše DNS a TLS budou směřovat na makeuseof.com, ale vaše připojení HTTPS bude ukazovat na example.com.

Fronting domény využívá pokročilé zabezpečení HTTPS být úspěšný. Protože je HTTPS šifrováno, může obejít bezpečnostní protokoly bez detekce.

Kyberzločinci využívají výše uvedený scénář ke spuštění útoků na frontě domény. Namísto toho, aby stáli před legitimní doménou pro přístup k webovým stránkám, ke kterým mají omezený přístup kvůli cenzuře, stojí před legitimní doménou, aby ukradli data a provedli související škodlivé úkoly.

Jak zabránit útokům před doménou

Při zahajování útoků zaměřených na doménu stojí kyberzločinci nejen před jakýmikoli legitimními doménami, ale s vysoce hodnocenými doménami. A to proto, že takové domény mají pověst autentických. Přirozeně nebudete mít důvod k podezření, když ve své síti objevíte legitimní doménu.

Útokům před doménou můžete zabránit následujícími způsoby.

Nainstalujte proxy server

A proxy server je prostředník nebo prostředník mezi vámi (vaším zařízením) a internetem. Je to bezpečnostní systém, který zabraňuje uživatelům v přímém přístupu k internetu, zejména proto, že provoz uživatelů může být škodlivý. Jinými slovy, filtruje provoz, aby zkontroloval vektory hrozeb, než jej povolí do webové aplikace.

Chcete-li zabránit frontingu domény, nakonfigurujte svůj proxy server tak, aby zachycoval veškerou komunikaci TLS a zajistěte, aby hlavička hostitele HTTP byla stejná jako hlavička, kterou HTTPS přesměrovává. Na základě vašeho nastavení systém odmítne přístup, pokud zjistí nesoulad.

Vyhněte se visícím záznamům DNS

Všechny položky ve vašem DNS mají směrovat vstupy provozu na určené kanály. Když uděláte záznam, který DNS nemůže zpracovat kvůli absenci zdroje, máte visící DNS záznam.

Záznam DNS visí, když je nesprávně nakonfigurován nebo zastaralý a není užitečný pro příkazy DNS. To vytváří prostor pro útoky na frontě domény, protože aktéři hrozeb využívají záznamy pro své škodlivé aktivity.

Chcete-li zabránit útokům na fronting domény v zavěšení záznamů DNS, musíte vždy udržovat své záznamy DNS čisté. Provádějte pravidelnou sanitaci, abyste zkontrolovali staré a zastaralé záznamy a smazali je. K automatizaci procesu můžete použít nástroj pro monitorování DNS. Vygeneruje seznam všech vašich aktivních zdrojů v DNS záznamech a vyčlení ty neaktivní.

Přijměte podepisování kódu

Podepisování kódu je podepisování softwaru pomocí digitálních podpisů, jako je infrastruktura veřejných klíčů (PKI), které uživatelům ukazují, že software je neporušený bez jakýchkoli změn. Hlavním cílem podepisování kódu je ujistit uživatele, že aplikace, kterou stahují, je autentická.

Podepisování kódu vám umožňuje podepsat vaši doménu a další zdroje ve vašich záznamech DNS, abyste ukázali jejich integritu a vytvořili mezi nimi řetězec důvěry. Systém neověří ani nezpracuje žádný zdroj nebo příkaz, který nemá vytištěný autorizovaný podpis.

Implementujte nulovou důvěru v zabezpečení, abyste zabránili útokům bránícím doménám

Domain-fronting útoky upozorňují na nebezpečí spojená s doménovým provozem. Pokud se hackeři mohou postavit legitimním autoritním platformám, aby pronikly do vašeho systému, ukazuje to, že nemůžete důvěřovat žádné platformě.

Implementace zabezpečení s nulovou důvěrou je cesta. Zajistěte, aby každý provoz do vaší sítě prošel standardními bezpečnostními kontrolami k ověření jeho integrity.