Het domein dat toegang heeft tot uw netwerk is misschien niet wat het lijkt. Domain fronting stelt een aanvaller in staat om binnen te sluipen vanuit wat een legitieme bron lijkt te zijn.

Ze zeggen dat alles eerlijk is in oorlog. Cybercriminelen doen er alles aan om de cyberoorlog te winnen door alle mogelijke middelen in te zetten om nietsvermoedende slachtoffers aan te vallen voor hun gegevens. Ze passen de grootste misleidingen toe om hun identiteit te maskeren en u te verrassen met technieken zoals domein-fronting-aanvallen.

Dat ogenschijnlijk legitieme domein dat toegang heeft tot uw netwerk, is misschien toch niet legitiem. Voor zover je weet, kan een aanvaller ervoor staan ​​om je in het nauw te drijven. Dit is wat bekend staat als een domeinfrontaanval. Kun je er iets aan doen?

Wat is een aanval op een domeinfront?

Als onderdeel van het reguleren van het internet, beperken sommige landen burgers de toegang tot specifieke online-inhoud en websites door verkeer van gebruikers binnen hun grondgebied te blokkeren. Omdat ze geen legitieme toegang hebben tot deze websites op de zwarte lijst, zoeken sommige mensen naar ongeautoriseerde toegangsmiddelen.

instagram viewer

Domain fronting is een proces waarbij een gebruiker zijn domein vermomt om toegang te krijgen tot een website waartoe hij op zijn locatie geen toegang heeft. Een domain fronting-aanval daarentegen is een proces van fronting van een legitiem domein met de technieken van domain fronting om een ​​netwerk aan te vallen.

Oorspronkelijk was domeinfronting geen middel voor cyberaanvallen. Niet-kwaadwillende gebruikers kunnen het gebruiken om censuur tegen bepaalde domeinen op hun locatie te omzeilen. Op het vasteland van China, waar YouTube verboden is, kan een gebruiker bijvoorbeeld domeinfronting gebruiken om toegang te krijgen tot YouTube voor onschuldige amusementsdoeleinden zonder iemands account in gevaar te brengen. Maar aangezien het een handige manier was om veiligheidscontroles te omzeilen, kapten cybercriminelen het voor hun egoïstische gewin, vandaar de aanvalsfactor.

Hoe werkt een aanval op een domeinfront?

Om de censuur op het terrein te verslaan, neemt een domein-fronterende actor de identiteit aan van een legitieme internetgebruiker, meestal een die afkomstig is uit een andere geografische locatie. Content Delivery Network (CDN), een opslagplaats van proxyservers over de hele wereld, speelt een belangrijke rol bij een aanval op een domein.

Wanneer u toegang wilt tot een website, activeert u de volgende verzoeken:

  1. DNS: Uw apparaat met internetverbinding heeft een IP-adres. Dit adres is uniek en exclusief voor uw apparaat. Wanneer u probeert toegang te krijgen tot een website, u start een DNS-verzoek (Domain Name System). die uw domeinnaam omzet in een IP-adres.
  2. HTTP: Het HTTP-verzoek (HyperText Transfer Protocol) verbindt uw toegangsverzoek met hyperteksten binnen het World Wide Web (WWW).
  3. TLS: Het TLS-verzoek (Transport Layer Security) zet uw HTTP-opdrachten om in HTTPS via versleuteling en beveiligt de invoer tussen uw webbrowsers en servers.

Kortom, een DNS zet uw domeinnaam om in een IP-adres en het IP-adres loopt op een HTTP- of HTTPS-verbinding. De conversie van uw domeinnaam naar een IP-adres verandert uw domein niet; het blijft hetzelfde. Maar bij domein fronting, terwijl uw domein hetzelfde blijft in de DNS en TLS, verandert het in de HTTPS. De DNS-records tonen het legitieme domein, maar de HTTPS verwijst door naar een verboden domein.

U woont bijvoorbeeld in een land waar example.com is geblokkeerd, maar u wilt er toch toegang toe krijgen. Uw doel is om toegang te krijgen tot example.com via een legitieme website zoals makeuseof.com. De verzoeken aan uw DNS en TLS verwijzen naar makeuseof.com, maar uw HTTPS-verbinding verwijst naar example.com.

Domain fronting maakt gebruik van de geavanceerde beveiliging van HTTPS succesvol zijn. Aangezien HTTPS versleuteld is, kan het beveiligingsprotocollen zonder detectie omzeilen.

Cybercriminelen maken gebruik van het bovenstaande scenario om aanvallen op het domein uit te voeren. In plaats van een legitiem domein te gebruiken om toegang te krijgen tot websites waartoe ze vanwege censuur beperkt zijn, staan ​​ze voor een legitiem domein om gegevens te stelen en bijbehorende schadelijke taken uit te voeren.

Hoe u aanvallen op domeinfronten kunt voorkomen

Bij het lanceren van domein-fronting-aanvallen richten cybercriminelen zich niet zomaar op legitieme domeinen, maar op hooggeplaatste domeinen. En dat komt omdat dergelijke domeinen de reputatie hebben authentiek te zijn. U zou natuurlijk geen reden tot verdenking hebben wanneer u een legitiem domein op uw netwerk ziet.

U kunt domein-fronting-aanvallen op de volgende manieren voorkomen.

Installeer een proxyserver

A proxyserver is een tussenpersoon of tussenpersoon tussen u (uw apparaat) en het internet. Het is een beveiligingssysteem dat voorkomt dat gebruikers rechtstreeks toegang hebben tot internet, vooral omdat gebruikersverkeer schadelijk kan zijn. Met andere woorden, het filtert verkeer om te controleren op bedreigingsvectoren voordat het in een webtoepassing wordt toegelaten.

Om domeinfronting te voorkomen, configureert u uw proxyserver om alle TLS-communicatie te onderscheppen en zorgt u ervoor dat de HTTP-hostheader dezelfde is als die welke door HTTPS wordt omgeleid. Op basis van uw instellingen zal het systeem de toegang weigeren als het een mismatch constateert.

Vermijd bungelende DNS-vermeldingen

Alle vermeldingen in uw DNS worden verondersteld om verkeersinvoer naar aangewezen kanalen te leiden. Wanneer u een invoer maakt die de DNS niet kan verwerken vanwege de afwezigheid van de bron, heeft u een bungelend DNS-record.

Een DNS-record bungelt als het verkeerd is geconfigureerd of verouderd is en niet nuttig is voor de DNS-opdrachten. Dit creëert ruimte voor aanvallen op het domein, aangezien bedreigingsactoren de ingangen gebruiken voor hun kwaadaardige activiteiten.

Om te voorkomen dat domein fronting-aanvallen DNS-vermeldingen bungelen, moet u uw DNS-records altijd schoon houden. Voer regelmatig sanitaire voorzieningen uit om te controleren op oude en achterhaalde vermeldingen en verwijder deze. U kunt een DNS-bewakingstool gebruiken om het proces te automatiseren. Het genereert een lijst met al uw actieve bronnen in de DNS-records en selecteert de niet-actieve bronnen.

Codeondertekening goedkeuren

Codeondertekening is het ondertekenen van software met digitale handtekeningen zoals public key infrastructure (PKI) om gebruikers te laten zien dat de software intact is zonder enige wijziging. Het belangrijkste doel van codeondertekening is om gebruikers te verzekeren dat de applicatie die ze downloaden authentiek is.

Met codeondertekening kunt u uw domein en andere bronnen in uw DNS-records ondertekenen om hun integriteit te demonstreren en een vertrouwensketen tussen hen tot stand te brengen. Het systeem valideert of verwerkt geen enkele bron of opdracht waarop niet de geautoriseerde handtekening is afgedrukt.

Implementeer Zero Security Trust om aanvallen op domeinfronten te voorkomen

Domain-fronting-aanvallen brengen de gevaren van domeinverkeer onder de aandacht. Als hackers legitieme autoriteitsplatforms kunnen omzeilen om uw systeem binnen te dringen, laat dit zien dat u geen enkel platform kunt vertrouwen.

Het implementeren van zero-trust beveiliging is de juiste keuze. Zorg ervoor dat elk verkeer naar uw netwerk standaard beveiligingscontroles ondergaat om de integriteit ervan te verifiëren.