El dominio que accede a su red puede no ser lo que parece. La fachada de dominio permite que un atacante se cuele desde lo que parece ser una fuente legítima.

Dicen que todo vale en la guerra. Los ciberdelincuentes están haciendo todo lo posible para ganar la guerra cibernética implementando cualquier medio posible para atacar a las víctimas desprevenidas por sus datos. Despliega los engaños más grandes para enmascarar su identidad y te sorprenden con técnicas como los ataques de fachada de dominio.

Ese dominio aparentemente legítimo que accede a su red puede no serlo después de todo. Por lo que sabe, un atacante podría estar al frente para ponerlo en una esquina cerrada. Esto es lo que se conoce como un ataque frontal de dominio. ¿Hay algo que puedas hacer al respecto?

¿Qué es un ataque de fronting de dominio?

Como parte de la regulación de Internet, algunos países restringen el acceso de los ciudadanos a sitios web y contenidos en línea específicos al bloquear el tráfico de los usuarios dentro de su territorio. Al no poder acceder legítimamente a estos sitios web incluidos en la lista negra, algunas personas buscan medios de acceso no autorizados.

instagram viewer

La fachada de dominio es un proceso en el que un usuario disfraza su dominio para acceder a un sitio web al que tiene prohibido acceder en su ubicación. Un ataque de fronting de dominio, por otro lado, es un proceso de fronting de un dominio legítimo con las técnicas de fronting de dominio, para atacar una red.

Originalmente, el fronting de dominio no era un medio de ciberataque. Los usuarios no maliciosos podrían usarlo para eludir la censura contra ciertos dominios en su ubicación. Por ejemplo, en China continental, donde YouTube está prohibido, un usuario podría usar el dominio para acceder a YouTube con fines de entretenimiento inofensivos sin comprometer la cuenta de nadie. Pero al ver que era una forma conveniente de superar los controles de seguridad, los ciberdelincuentes lo secuestraron para sus ganancias egoístas, de ahí el factor de ataque.

¿Cómo funciona un ataque de fronting de dominio?

Para vencer la censura en el terreno, un actor de dominio asume la identidad de un usuario de Internet legítimo, generalmente uno que es de una ubicación geográfica diferente. La red de entrega de contenido (CDN), un repositorio de servidores proxy en todo el mundo, juega un papel importante en un ataque de fronting de dominio.

Cuando desea acceder a un sitio web, desencadena las siguientes solicitudes:

  1. DNS: Su dispositivo de conexión a Internet tiene una dirección IP. Esta dirección es única y exclusiva para su dispositivo. Cuando intenta acceder a un sitio web, iniciar una solicitud de sistema de nombres de dominio (DNS) que convierte su nombre de dominio en una dirección IP.
  2. HTTP: La solicitud del protocolo de transferencia de hipertexto (HTTP) conecta su solicitud de acceso a hipertextos dentro de la red mundial (WWW).
  3. TLS: La solicitud de seguridad de la capa de transporte (TLS) convierte sus comandos HTTP en HTTPS a través del cifrado y asegura la entrada entre sus navegadores web y servidores.

Básicamente, un DNS convierte su nombre de dominio en una dirección IP, y la dirección IP se ejecuta en una conexión HTTP o HTTPS. La conversión de su nombre de dominio en una dirección IP no cambia su dominio; sigue siendo el mismo. Pero en el fronting de dominios, mientras que su dominio sigue siendo el mismo en DNS y TLS, cambia en HTTPS. Los registros DNS muestran el dominio legítimo pero el HTTPS redirige a uno prohibido.

Por ejemplo, vives en un país donde example.com está bloqueado pero quieres acceder a él de todos modos. Su objetivo es acceder a example.com usando un sitio web legítimo como makeuseof.com. Las solicitudes a su DNS y TLS apuntarán a makeuseof.com, pero su conexión HTTPS apuntará a example.com.

El fronting de dominio aprovecha la seguridad avanzada de HTTPS para tener éxito. Dado que HTTPS está encriptado, puede eludir los protocolos de seguridad sin ser detectado.

Los ciberdelincuentes aprovechan el escenario anterior para lanzar ataques frontales de dominio. En lugar de usar un dominio legítimo para acceder a sitios web que están restringidos debido a la censura, usan un dominio legítimo para robar datos y realizar tareas dañinas asociadas.

Cómo prevenir ataques de fronting de dominio

Al lanzar ataques de fachada de dominio, los ciberdelincuentes se enfrentan no solo a dominios legítimos, sino también a dominios de alto rango. Y eso es porque tales dominios tienen reputación de ser auténticos. Naturalmente, no tendría motivos para sospechar cuando detecte un dominio legítimo en su red.

Puede evitar los ataques frontales de dominio de las siguientes maneras.

Instalar un servidor proxy

A servidor proxy es un intermediario o intermediario entre usted (su dispositivo) e Internet. Es un sistema de seguridad que evita que los usuarios accedan a Internet directamente, especialmente porque el tráfico de usuarios puede ser dañino. En otras palabras, filtra el tráfico para comprobar si hay vectores de amenazas antes de permitir que entre en una aplicación web.

Para evitar la confrontación de dominios, configure su servidor proxy para interceptar todas las comunicaciones TLS y asegúrese de que el encabezado del host HTTP sea el mismo que el HTTPS redirige. Según su configuración, el sistema denegará el acceso si nota una discrepancia.

Evite las entradas DNS colgantes

Se supone que todas las entradas en su DNS dirigen la entrada de tráfico a los canales designados. Cuando realiza una entrada que el DNS no puede procesar debido a la ausencia del recurso, tiene un registro de DNS pendiente.

Un registro de DNS está colgando cuando está mal configurado o desactualizado y no es útil para los comandos de DNS. Esto crea espacio para ataques frontales de dominio, ya que los actores de amenazas utilizan las entradas para sus actividades maliciosas.

Para evitar que los ataques frontales de dominio bloqueen las entradas de DNS, siempre debe mantener limpios sus registros de DNS. Realice un saneamiento regular para comprobar si hay entradas antiguas y desactualizadas y elimínelas. Puede usar una herramienta de monitoreo de DNS para automatizar el proceso. Genera una lista de todos sus recursos activos en los registros DNS y destaca los no activos.

Adoptar firma de código

La firma de código es la firma de software con firmas digitales como infraestructura de clave pública (PKI) para mostrar a los usuarios que el software está intacto sin ninguna alteración. El objetivo principal de la firma de código es asegurar a los usuarios que la aplicación que están descargando es auténtica.

La firma de código le permite firmar su dominio y otros recursos en sus registros DNS para mostrar su integridad y establecer una cadena de confianza entre ellos. El sistema no validará ni procesará ningún recurso o comando que no tenga impresa la firma autorizada.

Implemente Zero Security Trust para prevenir ataques de dominio frontal

Los ataques de fachada de dominio destacan los peligros asociados con el tráfico de dominio. Si los piratas informáticos pueden enfrentar plataformas de autoridad legítima para penetrar en su sistema, muestra que no puede confiar en ninguna plataforma.

Implementar seguridad de confianza cero es el camino a seguir. Asegúrese de que cada tráfico a su red se someta a controles de seguridad estándar para verificar su integridad.