• Artmedia
  •  / 
  • Новости
  •  / 
  • Возраст домена как критерий при фильтрации в Интернете

Возраст домена как критерий при фильтрации в Интернете

1 июня 2021

Разработка сайта АлматыОпределение возраста домена — функция, которая продвигается различными разработчиками брандмауэров и решений по интернет-безопасности в качестве способа защиты пользователей и систем от доступа к вредоносным интернет-ресурсам. Возраст домена используется в качестве общего параметра фильтрации трафика. Суть метода заключается в том, что хосты, связанные с недавно зарегистрированными доменами, полностью блокируются, изолируются или классифицируются как очень подозрительные. Мы расскажем о том, что такое возраст домена, как домены создаются и регистрируются, в чем заключается ценность параметра «возраст домена» и как его эффективно применять в качестве дополнительного инструмента интернет-безопасности.

Функция «Определение возраста домена»

Сайты и домены в сети Интернет постоянно развиваются и меняются. В первом квартале 2020 г. в среднем регистрировалось более 40 000 доменов ежедневно. Если домен хоста назначения известен, дату его регистрации можно легко проверить в различных источниках. Возраст домена — срок, который прошел с момента его регистрации по настоящее время.

Функция «Определение возраста домена» используется в управлении политиками — администратор может задать минимальный возраст домена для предоставления доступа к интернет-ресурсу. Смысл заключается в том, что поскольку сегодня можно приобрести домен легко и недорого, новые домены требуют особой осторожности, и в некоторых случаях их лучше заблокировать. К сожалению, в большинстве протоколов и решений политика, связанная с возрастом домена, — это простой выбор из двух альтернатив — разрешить или запретить. Это не очень эффективно, когда конечным пунктом назначения является хост, поддомен или адрес, которые можно быстро подключить, изменить и отключить, не меняя возраст домена. В результате альтернативные решения по безопасности, основанные только на имени или возрасте домена, создают риски ложноположительных и ложноотрицательных срабатываний, которые снижают эффективность защиты и производительность, а также ухудшают пользовательский опыт.

Регистрация доменов

IANA (Internet Assigned Numbers Authority, Администрация адресного пространства Интернета) — это подразделение ICANN (Internet Corporation for Assigned Names and Numbers, Корпорация по управлению доменными именами и IP-адресами). В его ведении находятся реестры параметров протоколов, доменных имен, IP-адресов и номеров в автономной системе (ASN).

IANA управляет корневой зоной DNS и доменами высшего уровня (например, .com, .org, .edu, etc.). Регистраторы обязаны вести интернет-реестр и сотрудничать с IANA по вопросам регистрации отдельных поддоменов для доменов высшего уровня.

Подробное описание процесса регистрации и определения представлено на сайте IANA. Там, в частности, говорится: «В некоторых случаях физическое лицо или организация, не желающие размещать свои данные на WHOIS, могут заключить соглашение с поставщиком прокси-услуг для регистрации доменных имен по их поручению. В этой ситуации владельцем регистрации домена будет поставщик услуг, а не конечный заказчик»

Иными словами, поставщики услуг и конечные пользователи могут зарегистрировать домен один раз и затем использовать его для других целей, переназначить или продать, не меняя даты его регистрации или другой связанной с ним информации. Регистраторы проводят аукционы доменных имен, что приводит к появлению большого рынка «сквоттеров и троллей» (сквоттинг — акт самовольного заселения покинутого или незанятого места). Киберпреступник может за низкую стоимость приобрести известный домен обанкротившейся компании или зарегистрировать совершенно новый домен с не вызывающим сомнений именем и не использовать его несколько недель, месяцев или даже лет. Например, на момент выхода этой публикации домен airnigeria.com продавался на сервисе godaddy.com всего за 65 долл. Первоначально он был зарегистрирован в 2003 г.

IANA и регистраторы не несут ответственности и никак не контролируют использование доменов.

Определение возраста домена

Возраст домена определяется по записи в интернет-реестре, который управляется регистратором доменов высшего уровня (TLD). Конечную ответственность за регистрацию домена и обновление соответствующих данных несет регистратор. В записи реестра указывается дата первоначального создания домена, но она меняется только в случае его повторной регистрации по истечении срока действия. По этой причине возраст домена — чрезвычайно неточный показатель начала активной работы конкретного ресурса.

Еще одной проблемой является то, что в момент принятия решения фильтру может быть известен только IP-адрес хоста назначения. Например, так бывает при фильтрации первого пакета, отправленного в определенное место назначения (TCP SYN или первый UDP-пакет другого протокола сетевого или транспортного уровня). Один из способов узнать домен места назначения — обратный поиск DNS, но домен хоста может не совпадать с доменом, который был направлен для разрешения первоначально. В данном случае возраст домена является бесполезным параметром.

Разработка сайта в Алматы от artmedia.kz

Например, текущее разрешение сайта www.mcafee.com — 172.224.15.98. Обратное разрешение этого IP-адреса — a172-224-15-98.deploy.static.akamaitechnologies.com. Домен mcafee.com был зарегистрирован 05.08.1992 г., а домен akamaitechnologies.com — 18.08.1998 г. Однако тот факт, что хостом давно известного домена mcafee.com является давно известный домен akamaitechnologies.com, не содержит никаких указаний на то, в какой момент адрес назначения www.mcafee.com, или 172.224.15.98 стали активными, а также на наличие рисков обмена данными с этим IP-адресом. Возраст домена становится еще менее полезным показателем, когда мы имеем дело с пунктами назначения, размещенными в публичном облаке (IaaS и SaaS) и использующими домены провайдера.

Ошибки определения домена и его возраста соответственно при обратном поиске можно уменьшить с помощью отслеживания DNS-запросов клиента и установления соответствия между доменами и запрошенным IP-адресом назначения. Однако эффективность этого способа будет зависеть от полной видимости всех DNS-запросов клиента. При этом IP-адрес назначения необходимо определять с помощью стандартного поиска DNS или системы, осуществляющей фильтрацию по возрасту домена.

Трудности использования возраста домена в качестве общего критерия фильтрации

Даже если домен для передачи данных и его возраст были определены правильно, это не исключает ряда проблем, которые необходимо учитывать.

Регистраторы могут свободно распоряжаться давно известными доменами, изменять их и переуступать права другим клиентам. Реселлеры обладают такими же правами. Это значительно снижает эффективность возраста домена в качестве независимого параметра фильтрации, поскольку злоумышленник может без труда приобрести существующий известный домен с нейтральной и даже хорошей репутацией. Преступник также может зарегистрировать новый домен задолго до его применения в кибератаках.

Регистрация и открытие надежных и абсолютно безопасных сайтов за несколько дней или часов до их фактического использования — стандартная практика. Когда возраст домена используется в качестве критерия фильтрации, всегда возникает проблема ложноположительных и ложноотрицательных срабатываний, между которыми необходимо найти баланс.

Также следует отметить, что по сравнению с датой создания отдельной записи имени хоста возраст домена — менее ценный показатель. У давно существующих доменов может быть бесконечное число поддоменов и отдельных хостов внутри этих доменов, а точно определить возраст имени хоста или дату установления связи имени с активным IP-адресом невозможно. Можно лишь установить, что хост назначения является частью домена, который был зарегистрирован в какой-то момент в прошлом.

Основной вывод здесь заключается в том, что сам по себе возраст домена — недостаточно подробный и обоснованный параметр для принятия верного решения о необходимости фильтрации. Однако этот показатель все же имеет в некоторой степени ограниченную ценность с точки зрения безопасности при отсутствии более конкретных критериев. При этом необходимо установить допустимый уровень ложноположительных и ложноотрицательных срабатываний для выбранного порога новизны. Возраст домена также имеет вспомогательную ценность при использовании в сочетании с другими, более показательными критериями фильтрации — например, протоколом, типом содержания, категорией хоста, его репутацией, датой первого обнаружения, частотой обращения к хосту, характеристиками веб-сервиса и т. д.

Возраст домена в контексте фильтрации HTTP/S и прокси-фильтрации

Использование HTTP-протокола гарантирует доступность более конкретных критериев. Фильтрация HTTP и HTTPS наиболее эффективно осуществляется с помощью явного или прозрачного прокси-сервера. Выполнение протокола (по запросу устройства или службы) исключает передачу данных, проникновение в систему и другие атаки до момента установления TCP-соединения.

Поскольку трафик направляется через прокси-сервер, а HTTPS поддерживает дешифровку, при принятии решений о фильтрации можно опираться на такие критерии, как полностью уточненное имя домена (FQDN, Fully Qualified Domain Name) для хоста, путь и параметры URL. Они определяются и подтверждаются при проксировании. Возможность поиска FQDN, полного пути и параметров URL дает намного более полезную информацию относительно истории, уровня риска и использования конкретного сайта, пункта назначения и сервиса по сравнению с именем домена и датой его регистрации. Ценность этих контекстуальных сведений становится еще выше, когда прокси-сервер соотносит запрос с конкретным сервисом и его характеристиками безопасности данных (например, типом сервиса, владельцем объекта права интеллектуальной собственности, историей проникновения в систему и т. д.).

Ведущие в отрасли поставщики услуг веб-прокси ведут обширные комплексные базы данных наиболее часто используемых сайтов, доменов, приложений, сервисов и ссылок URL. Например, в базах данных McAfee Global Threat Intelligence и Cloud Registry для сайтов, доменов и URL указываются сведения о геолокации, категории, сервисе, характеристиках сервиса, репутации относительно рисков хищения данных и уязвимости к угрозам и др. Дополнительное преимущество заключается в том, что отсутствие в базе данных записи о конкретном хосте, домене или URL — чрезвычайно убедительный и наиболее точный показатель того, что сайт является новым или мало используется, поэтому его не следует считать надежным по умолчанию. К таким сайтам необходимо относиться с осторожностью. Блокировка, проверка или изоляция (две последние опции доступны только при прокси-фильтрации с HTTP/S) допустимы на основе одного этого критерия, независимо от возраста домена.

При использовании HTTP/S возраст имени хоста и даже даты первого/последнего обращения к имени хоста могут иметь дополнительную ценность, но возраст домена — практически бесполезный показатель при наличии FQDN и более конкретных сведений о сайте или сервисе. Рекомендуемая практика — блокировка, изолирование или, как минимум, дополнительная проверка неподтвержденных сайтов и сервисов без учета возраста домена. Разрешение доступа к неподтвержденным сайтам и сервисам на основании возраста домена создает значительный риск ложноотрицательных срабатываний — пользователи могут переходить на опасные ресурсы лишь потому, что домен был зарегистрирован некоторое время назад. И наоборот — общее блокирование сайтов и сервисов только с учетом возраста домена может затруднить доступ к недавно открытым площадкам с хорошей репутацией.

Заключение

Возраст домена может быть ценным вспомогательным показателем при фильтрации в условиях отсутствия более точной и конкретной информации о пункте назначения сетевого пакета. При этом, если используется фильтрация HTTP/S, возраст домена — чрезвычайно неэффективная замена комплексной базы данных об угрозах и сервисах. При отклонении от рекомендуемой практики, когда пользователь разрешает установить HTTP/S-соединение с неподтвержденным сайтом без изоляции, возраст домена обеспечивает дополнительную ограниченную защиту — неподтвержденные сайты на недавно зарегистрированных доменах блокируются. Однако это создает ложное ощущение безопасности и повышает риск ложноотрицательных срабатываний по сравнению с использованием комплексных данных об угрозах, тщательным анализом запросов и откликов и простым блокированием, изолированием или проверкой неподтвержденных сайтов.

Разработка сайта Алматы

Источник: itweek.ru/security