Qu'est-ce qu'une attaque de façade de domaine et comment pouvez-vous l'empêcher ?

On dit toujours que tout est juste à la guerre. Les cybercriminels font de leur mieux pour gagner la cyberguerre en mettant en œuvre tous les moyens possibles pour attaquer des victimes sans méfiance afin de voler leurs données. Ils publient souvent les plus grosses escroqueries pour cacher leur identité et vous surprendre avec des techniques comme les attaques de Domain Fronting.

Ce domaine apparemment fiable pour permettre l'accès à votre réseau n'est peut-être pas légitime après tout. Pour autant que vous sachiez, un attaquant peut être à l'avant pour vous mettre dans un coin serré. C'est ce qu'on appelle une attaque de façade de domaine. Y a-t-il quelque chose que vous pouvez faire à ce sujet ? Vérifier Qu'est-ce que le front de domaine ?

Qu'est-ce qu'une attaque de façade de domaine et comment pouvez-vous l'empêcher ? - protection

Qu'est-ce qu'une attaque de façade de domaine ?

Dans le cadre de la réglementation d'Internet, certains pays limitent l'accès des citoyens à certains contenus et sites Web en ligne en bloquant le trafic de données des utilisateurs sur leur territoire. Lorsque vous n'êtes plus en mesure d'accéder à ces sites Web normalement sur liste noire, certaines personnes recherchent des moyens d'accès non autorisés.

La façade de domaine est un processus dans lequel un utilisateur cache son domaine afin d'accéder à un site Web auquel il est interdit d'accéder dans sa région. D'autre part, l'attaque Domain Fronting est le processus de lutte contre un domaine légitime avec des techniques de Domain Fronting, pour attaquer un réseau spécifié.

À l'origine, la technologie Domain Fronting n'était pas une cyberattaque. Les utilisateurs inoffensifs peuvent l'utiliser pour contourner la censure sur certains domaines où ils se trouvent. Par exemple, en Chine continentale où YouTube est interdit, un utilisateur peut utiliser Domain Fronting pour accéder à YouTube à des fins de divertissement inoffensives sans compromettre le compte de quiconque. Mais comme c'était un moyen pratique de contourner les contrôles de sécurité, les cybercriminels l'ont détourné à des fins égoïstes, d'où le facteur d'attaque. Vérifier Qu'est-ce qu'une attaque de salami ? Vous pouvez être une victime et vous ne savez pas.

Comment fonctionne une attaque de Domain Fronting ?

Qu'est-ce qu'une attaque de façade de domaine et comment pouvez-vous l'empêcher ? - protection

Pour contourner la censure et la géo-restriction, un représentant frontal de domaine prend l'identité d'un utilisateur Internet légitime, généralement à partir d'un emplacement géographique différent. Le Content Delivery Network (CDN), un référentiel de serveurs proxy dans le monde entier, joue un rôle majeur dans l'attaque Domain Fronting.

Lorsque vous souhaitez accéder à un site Web, vous exécutez les requêtes suivantes :

  • DNS: Le périphérique de connexion Internet contient une adresse IP. Cette adresse est unique et exclusive à votre appareil. Lorsque vous essayez d'accéder à un site Web, vous lancez une requête DNS (Domain Name System) qui convertit votre nom de sperme en une adresse IP.
  • HTTP: Une requête HTTP associe votre demande d'accès à un hypertexte au sein du World Wide Web (WWW).
  • TLS : Une requête Transport Layer Security (TLS) convertit les commandes HTTP en HTTPS via le cryptage et sécurise les entrées entre les navigateurs Web et les serveurs.

Fondamentalement, DNS convertit un nom de domaine en une adresse IP, et l'adresse IP fonctionne sur une connexion HTTP ou HTTPS. Convertir votre nom de domaine en adresse IP ne change pas votre domaine ; Il reste le même. Mais dans Domain Fronting, alors que votre domaine reste le même dans DNS et TLS, il change dans HTTPS. Les enregistrements DNS affichent le domaine légitime mais HTTPS redirige vers un domaine bloqué.

Par exemple, vous vivez dans un pays où example.com est bloqué mais vous souhaitez quand même y accéder. Votre objectif est d'accéder à example.com en utilisant un site Web légitime tel que dz-techs.com. Les requêtes vers DNS et TLS pointeront vers dz-techs.com mais votre connexion HTTPS pointera vers example.com.

La technologie Domain Fronting tire parti de la sécurité avancée de HTTPS pour réussir. Comme HTTPS est crypté, il peut contourner les protocoles de sécurité sans être détecté.

Les cybercriminels profitent du scénario ci-dessus pour lancer des attaques de Domain Fronting. Au lieu de faire face à un domaine légitime pour accéder à des sites Web qui leur sont bloqués par la censure, ils font face à un domaine légitime pour voler des données et effectuer des tâches malveillantes qui y sont associées.

Comment prévenir les attaques de Domain Fronting

Qu'est-ce qu'une attaque de façade de domaine et comment pouvez-vous l'empêcher ? - protection

En lançant des attaques de Domain Fronting, les cybercriminels ne se contentent pas d'aller de l'avant avec n'importe quel domaine légitime, mais optent également pour des domaines de rang supérieur. En effet, ces domaines ont la réputation d'être authentiques. Naturellement, vous n'aurez aucune raison de vous méfier lorsque vous découvrirez un domaine légitime sur votre réseau.

Vous pouvez empêcher les attaques de Domain Fronting des manières suivantes.

Installer le serveur proxy

Un serveur proxy est un intermédiaire entre vous (votre appareil) et Internet. C'est un système de sécurité qui empêche les utilisateurs d'accéder directement à Internet, d'autant plus que le trafic des utilisateurs peut être malveillant. En d'autres termes, il filtre le trafic pour vérifier les vecteurs de menace avant de les autoriser dans une application Web.

Pour empêcher la façade de domaine, configurez le serveur proxy pour intercepter toutes les connexions TLS et assurez-vous que l'en-tête d'hôte HTTP est le même que le transfert HTTPS. En fonction de vos paramètres, le système refusera l'accès s'il constate une incohérence.

Évitez les entrées DNS pendantes

Toutes les entrées de votre DNS sont censées diriger les entrées de trafic vers les canaux spécifiés. Lorsque vous créez une entrée que le DNS ne peut pas traiter car la ressource est absente, vous avez un enregistrement DNS en suspens.

L'enregistrement DNS se bloque lorsqu'il est mal configuré ou obsolète et n'est pas utile pour les commandes DNS. Cela crée de l'espace pour les attaques de façade de domaine, car les attaquants utilisent les entrées pour leurs activités malveillantes.

Pour empêcher les attaques de Domain Fronting de suspendre les entrées DNS, vous devez toujours garder vos enregistrements DNS propres. Effectuez un nettoyage régulier pour vérifier les entrées anciennes et obsolètes et supprimez-les. Vous pouvez utiliser l'outil DNS Monitor pour automatiser le processus. Il crée une liste de toutes vos ressources actives dans les enregistrements DNS et distingue les ressources inactives. Vérifier Comment votre serveur peut être piraté : voici comment.

Approbation de signature de code

La signature de code est la signature de logiciels avec des signatures numériques telles qu'une infrastructure à clé publique (PKI) afin de montrer aux utilisateurs que l'application est intacte. L'objectif principal de la signature de code est de garantir aux utilisateurs que l'application qu'ils téléchargent est authentique.

La signature de code vous permet de signer le nom de domaine et d'autres ressources dans vos enregistrements DNS pour montrer leur intégrité et créer une chaîne de confiance entre eux. Le système ne validera ni ne traitera aucune ressource ou commande sur laquelle une signature autorisée n'est pas imprimée. Vérifier Qu'est-ce que la défense contre les risques mobiles ? Comment protéger votre smartphone.

Implémenter un modèle de sécurité Zero-Trust pour empêcher les attaques de Domain Fronting

Les attaques de Domain Fronting mettent en évidence les risques associés au trafic des noms de domaine. Si un pirate peut utiliser la gamme de plates-formes légitimes pour pirater votre système, cela montre que vous ne pouvez faire confiance à aucune plate-forme.

La mise en œuvre de la sécurité Zero Trust est la voie à suivre. Assurez-vous que tout le trafic vers votre réseau est soumis à des contrôles de sécurité standard pour vérifier son intégrité. Vous pouvez voir maintenant Comment le pirate attaque-t-il les serveurs FTP et que pouvez-vous faire pour l'empêcher ?

source
Aller au bouton supérieur