هناك العديد من التقنيات والإعدادات التي من المُمكن استخدامها لتحسين خصوصية البيانات عبر الإنترنت. حيث تُعد تقنية مواجهة نطاق الإنترنت (Domain Fronting) واحدة من أكثر التكنوقراط تقديراً.
ولكن ما هي مواجهة نطاق الإنترنت؟ وعندما يتعلق الأمر بالأمن عبر الإنترنت ، فهل تُعتبر هي خيار أفضل من استخدام شبكة افتراضية خاصة (VPN)؟ هذه المقالة سوف تُجيب على كلا السؤالين.
كيف تعمل مواجهة نطاق الإنترنت
مواجهة نطاق الإنترنت هي تقنية تُستخدم من أجل التهرب من الرقابة على الإنترنت. إنها تعمل من خلال الاستفادة من تكوينات المنصة كخدمة (PaaS) على الشبكات التي تقدم هذا النوع من التخصيص ، وعادةً ما تكون إحدى الخدمات السحابية الرئيسية.
يُسمح بالتشويش على اتصال الإنترنت من خلال معالجة بروتوكول نقل النص التشعبي (HTTP) وإعادة توجيه حركة المرور. حيث أنَّ هذه تجعل الأمر يبدو كما لو أن المستخدم يقوم بالوصول إلى موقع ويب غير ضار بينما يتم تسجيل دخوله فعليًا إلى موقع مختلف ، وربما يكون محظورًا.
أصبح التغيير ممكنًا من خلال استخدام بروتوكول HTTPS بدلاً من رأس HTTP. هذا لأن بروتوكولات HTTPS مُشفرة. يعمل الإعداد عادةً على شبكات توصيل المحتوى (CDNs).
خذ على سبيل المثال نطاقين يتم استضافتهما ضمن نفس شبكة CDN. تم حظر أحدهما من قبل السلطات ، بينما الآخر ليس كذلك. في مواجهة نطاق الإنترنت ، يتم وضع نطاق HTTPS المعتمد في رأس “إشارة اسم الخادم” (SNI). من ناحية أخرى ، يتم تضمين العنصر المحظور في رأس HTTP.
عادةً ما تُواجه الأنظمة والمؤسسات التي تتطلع إلى منع هذه التقنية المُراوِغة وقتًا عصيبًا في محاولة مواجهتها بسبب عدم وجود تغيير قابل للاكتشاف في الشبكة الوسيطة. قد يؤدي حظر معظم مواقع الويب إلى القيام بالحيلة ، لكن الأضرار الجانبية ستكون هائلة. هذا يجعل مواجهة نطاق الإنترنت واحدة من أكثر التقنيات المُميزة للأشخاص الذين يتطلعون إلى التحايل على قيود الويب.
ومع ذلك ، قد تواجه عيبًا كبيرًا. أغلقت معظم الشركات التي قدمت هذه الخدمة في البداية ، مثل Google و Amazon و Microsoft ، بسبب إساءة استخدام هذه الميزة بشكل صارخ لأغراض ضارة.
باختصار ، تحتوي حزمة HTTPs على مجموعتين من الرؤوس: الأول ، TLS ، موجود في الجزء المفتوح من الحزمة ، والثاني HTTP – يشير إلى الجزء المشفر من الحزمة. بالإضافة إلى ذلك ، يحتوي كل رأس على حقل خاص به لتحديد عنوان IP الوجهة. إن جوهر “Domain Fronting” هو الاستخدام المتعمد لأسماء النطاقات المختلفة في حقل “SNI” لرأس TLS وحقل “Host” في رأس HTTP. وبالتالي ، تتم الإشارة إلى عنوان الوجهة المسموح به في حقل “SNI” ، ويشار إلى عنوان وجهة التسليم في حقل “المضيف”. إذا كان كلا العنوانين ينتمي إلى نفس شبكات CDN ، فعند استلام هذه الحزمة ، يُمكن لعقدة التوجيه نقل الطلب إلى عنوان الوجهة.
هناك تباين آخر لهذه التقنية يُسمى الواجهة الأمامية. في هذه الحالة ، يتم ترك حقل “SNI” (رأس TLS) فارغًا عن قصد ، مما يسمح للحزمة بتحقيق هدفها حتى لو تحقق CDN في مصادفة حقلي “SNI” و “HOST” (إذا تم تجاهل حقول SNI الفارغة).
أين تتفوق تقنية مواجهة نطاق الإنترنت على شبكات VPN
يُعد استخدام شبكة VPN لإخفاء النشاط عبر الإنترنت أمرًا شائعًا بين الباحثين عن الخصوصية. هذا لأنَّ الخدمات تقدم الكثير من ميزات الأمان مقابل عشرة سنتات وبأقل تقنية بكثير عند مقارنتها بتقنية “Domain Fronting” التي تتطلب عادة سلسلة من التكوينات المُعقدة.
للعمل ، تخفي VPN حركة المرور باستخدام اتصال وكيل بروتوكول إنترنت (IP) مُشفر. هذا يمنع عادات تصفح المستخدم من أن يتم عرضها من قبل أطراف ثالثة ، بما في ذلك مُزوِّد خدمة الإنترنت (ISP). هذا لأن اتصال الإنترنت يرتبط بمزود خدمة إنترنت مختلف (الذي تستخدمه شركة VPN).
ومع ذلك ، يُمكن لمزود خدمة الإنترنت للمستخدم رؤية الترابط بين الشبكة وعقدة VPN. لكنها لا تستطيع أن تستنتج أكثر من ذلك بكثير. على عكس تقنية “Domain Fronting” ، هناك المزيد من المخاطر المُرتبطة مقارنةً باستخدام VPN. هذا صحيح بشكل خاص إذا كانت العملية غير قانونية في نطاق سلطة المستخدم. في بعض البلدان ، مثل الصين ، يمكن أن يحصل المستخدم على غرامة كبيرة.
قد يؤدي استخدام VPN أيضًا إلى مزيد من التدقيق. عادةً ما تحتفظ وكالات الاستخبارات على مستوى الدولة على بعض التفاصيل حول مُزودي خدمة الإنترنت التي تستخدمها شركات VPN. حيث تُحاول البحث عن حركة البيانات المشؤومة على تلك الشبكات لأنها تُستخدم لأغراض تحريضية.
نظرًا لتقدم تقنيات التحليلات ، يمكن ربط أنماط التصفح من طرف المستخدم بمستخدمين محددين من جانب مزود خدمة الإنترنت لـ VPN.
يمكن أيضًا عرض شبكات VPN وفك تشفيرها بواسطة شركة VPN ضارة ، إذا كانت مواقع الويب التي تمت زيارتها تستخدم HTTP بدلاً من HTTPS. بحيث بالإمكان الوصول إلى بعض المعلومات الحساسة مثل كلمات المرور ومعلومات بطاقة الائتمان. لذلك ، يجب عليك الامتناع عن استخدام خدمات VPN مجانية وغير معروفة نسبيًا.
توصيات الحماية: إذا كان من المُمكن فحص حركة مرور HTTPS ، يُمكن عندئذٍ التقاط الاتصالات المشابهة لتقنية “Domain Fronting” وتحليلها. إذا تم إجراء فحص SSL أو عدم تشفير حركة المرور ، فيُمكن التحقق من حقل “HOST” لمصادفة الحقل “SNI” أو التحقق من وجود عنوان الويب المُحدد في قوائم بيضاء أو سوداء. لتنفيذ Domain Fronting ، قد يحتاج الخصم إلى نشر أدوات إضافية في نظام محفوف بالمخاطر ، يُمكن منع تثبيته عن طريق تثبيت أدوات حماية المضيف المحلية.
تم التعرف على مواجهة نطاق الإنترنت
مع تعطيل شبكات CDN الرئيسية لميزات مواجهة نطاق الإنترنت الخاصة بها ، سعت مجموعات خصوصية البيانات إلى إيجاد وسائل بديلة لتجاوز جدران الحماية وأنظمة الرقابة.
أحدث حل للاقتراب من تقنية مواجهة نطاق الإنترنت الكلاسيكية هو “إخفاء النطاق”. تم تطويره بواسطة خبير الأمن السيبراني إريك هونستاد ، وهو يعتمد على تطبيق يُطلق عليه اسم Noctilucent لتجاوز جدران الحماية. يقوم بذلك عن طريق تراكب بيانات HTTPS المضللة على الحقول غير المشفرة للنص العادي للاتصال.
يحتوي القسم المشفر من الاتصال على معلومات غير مرتبطة تكون موثوقة من خوادم الشبكة ، وبالتالي يتم قبولها.
