Ağınıza erişen etki alanı göründüğü gibi olmayabilir. Etki alanı önü, bir saldırganın meşru gibi görünen bir kaynaktan içeri sızmasına olanak tanır.

Savaşta her şey mübahtır derler. Siber suçlular, verileri için hiçbir şeyden şüphelenmeyen kurbanlara saldırmak için mümkün olan her yolu uygulayarak siber savaşı kazanmak için ellerinden geleni yapıyorlar. Kimliklerini gizlemek için en büyük aldatmacaları kullanıyorlar ve etki alanı ön saldırıları gibi tekniklerle sizi şaşırtıyorlar.

Ağınıza erişen meşru gibi görünen etki alanı, sonuçta meşru olmayabilir. Tüm bildiğiniz gibi, bir saldırgan sizi köşeye sıkıştırmak için onun önüne geçiyor olabilir. Bu, etki alanı ön saldırısı olarak bilinen şeydir. Bu konuda yapabileceğiniz bir şey var mı?

Domain Fronting Saldırısı Nedir?

İnterneti düzenlemenin bir parçası olarak bazı ülkeler, kendi bölgelerindeki kullanıcıların trafiğini engelleyerek vatandaşların belirli çevrimiçi içeriklere ve web sitelerine erişimini kısıtlar. Kara listeye alınan bu web sitelerine yasal olarak erişemeyen bazı kişiler, yetkisiz erişim yolları arar.

instagram viewer

Etki alanı önbelleği, bir kullanıcının kendi konumlarında erişmeleri yasak olan bir web sitesine erişmek için alan adlarını gizlediği bir süreçtir. Öte yandan, bir etki alanı ön saldırısı, bir ağa saldırmak için meşru bir etki alanını etki alanı önlendirme teknikleriyle yönlendirme işlemidir.

Başlangıçta, etki alanı cephesi bir siber saldırı aracı değildi. Kötü niyetli olmayan kullanıcılar, konumlarındaki belirli alanlara yönelik sansürü atlamak için kullanabilir. Örneğin, YouTube'un yasak olduğu anakara Çin'de bir kullanıcı, kimsenin hesabından ödün vermeden zararsız eğlence amacıyla YouTube'a erişmek için alan önünü kullanabilir. Ancak bunun güvenlik kontrollerini geçmenin uygun bir yolu olduğunu gören siber suçlular, bencil çıkarları ve dolayısıyla saldırı faktörü için onu ele geçirdiler.

Etki Alanı Önleme Saldırısı Nasıl Çalışır?

Sahadaki sansürü yenmek için, etki alanı öncüsü bir aktör, genellikle farklı bir coğrafi konumdan olan meşru bir internet kullanıcısının kimliğini alır. Dünya çapında bir proxy sunucu deposu olan içerik dağıtım ağı (CDN), etki alanı ön saldırısında önemli bir rol oynar.

Bir web sitesine erişmek istediğinizde, aşağıdaki istekleri tetiklersiniz:

  1. DNS: İnternete bağlanan cihazınızın bir IP adresi vardır. Bu adres benzersizdir ve cihazınıza özeldir. Bir web sitesine erişmeye çalıştığınızda, bir etki alanı adı sistemi (DNS) isteği başlatmak alan adınızı bir IP adresine dönüştürür.
  2. HTTP: Köprü metni aktarım protokolü (HTTP) isteği, erişim isteğinizi dünya çapındaki ağ (WWW) içindeki köprü metinlerine bağlar.
  3. TLS: Aktarım katmanı güvenliği (TLS) isteği, HTTP komutlarınızı şifreleme yoluyla HTTPS'ye dönüştürür ve web tarayıcılarınız ile sunucularınız arasındaki girişi güvence altına alır.

Temel olarak bir DNS, alan adınızı bir IP adresine dönüştürür ve IP adresi bir HTTP veya HTTPS bağlantısı üzerinde çalışır. Alan adınızın bir IP adresine dönüştürülmesi alan adınızı değiştirmez; aynı kalır. Ancak domain fronting'de domaininiz DNS ve TLS'de aynı kalırken HTTPS'de değişir. DNS kayıtları, meşru etki alanını gösterir, ancak HTTPS, yasaklanmış bir etki alanına yönlendirir.

Örneğin, example.com'un engellendiği bir ülkede yaşıyorsunuz, ancak buna yine de erişmek istiyorsunuz. Amacınız, makeuseof.com gibi meşru bir web sitesini kullanarak example.com'a erişmektir. DNS ve TLS'nize yapılan istekler makeuseof.com'u gösterecek, ancak HTTPS bağlantınız example.com'u gösterecektir.

Domain fronting, HTTPS'nin gelişmiş güvenliği başarılı olması için. HTTPS şifreli olduğundan, güvenlik protokollerini algılamadan atlayabilir.

Siber suçlular, etki alanı ön saldırıları başlatmak için yukarıdaki senaryodan yararlanır. Sansür nedeniyle yasaklandıkları web sitelerine erişmek için meşru bir alan adı kullanmak yerine, verileri çalmak ve ilgili zararlı görevleri gerçekleştirmek için yasal bir alan adı kullanırlar.

Etki Alanı Önleme Saldırıları Nasıl Önlenir?

Siber suçlular, etki alanı ön saldırılarını başlatırken, yalnızca herhangi bir meşru etki alanını değil, yüksek dereceli alanları da ön plana çıkarır. Bunun nedeni, bu tür alan adlarının orijinal olmalarıyla ilgili bir üne sahip olmasıdır. Ağınızda yasal bir alan adı gördüğünüzde doğal olarak şüphelenmek için hiçbir nedeniniz olmaz.

Etki alanı ön saldırılarını aşağıdaki yollarla önleyebilirsiniz.

Bir Proxy Sunucusu Kurun

A proxy sunucusu bir aracı veya aracıdır siz (cihazınız) ve internet arasında. Özellikle kullanıcı trafiği zararlı olabileceğinden, kullanıcıların internete doğrudan erişmesini engelleyen bir güvenlik sistemidir. Başka bir deyişle, bir web uygulamasına girmesine izin vermeden önce tehdit vektörlerini kontrol etmek için trafiği filtreler.

Etki alanı önbelleğini önlemek için proxy sunucunuzu tüm TLS iletişimlerini engelleyecek şekilde yapılandırın ve HTTP ana bilgisayar başlığının HTTPS'nin yeniden yönlendirdiği başlık ile aynı olduğundan emin olun. Ayarlarınıza bağlı olarak, sistem bir uyumsuzluk fark ederse erişimi reddeder.

Sarkan DNS Girişlerinden Kaçının

DNS'nizdeki tüm girişlerin, trafik girişini belirlenmiş kanallara yönlendirmesi gerekir. Kaynağın olmaması nedeniyle DNS'nin işleyemediği bir giriş yaptığınızda, sarkan bir DNS kaydınız olur.

Bir DNS kaydı, yanlış yapılandırılmışsa veya güncelliğini yitirmişse ve DNS komutları için kullanışlı değilse sarkıyor demektir. Bu, tehdit aktörleri girişleri kötü amaçlı etkinlikleri için kullandıklarından etki alanı ön saldırılarına yer açar.

DNS girişlerini sallayan etki alanı ön saldırılarını önlemek için, DNS kayıtlarınızı her zaman temiz tutmalısınız. Eski ve güncel olmayan girişleri kontrol etmek ve silmek için düzenli temizlik yapın. İşlemi otomatikleştirmek için bir DNS izleme aracı kullanabilirsiniz. DNS kayıtlarındaki tüm aktif kaynaklarınızın bir listesini oluşturur ve aktif olmayanları seçer.

Kod İmzalamayı Benimseyin

Kod imzalama, kullanıcılara yazılımın herhangi bir değişiklik yapılmadan bozulmamış olduğunu göstermek için ortak anahtar altyapısı (PKI) gibi dijital imzalarla yazılımın imzalanmasıdır. Kod imzalamanın temel amacı, kullanıcılara indirdikleri uygulamanın gerçek olduğundan emin olmaktır.

Kod imzalama, DNS kayıtlarınızdaki etki alanınızı ve diğer kaynakları, bütünlüklerini sergilemek ve aralarında bir güven zinciri oluşturmak için imzalamanıza olanak tanır. Sistem, üzerinde yetkili imza bulunmayan hiçbir kaynağı veya komutu doğrulamaz veya işlemez.

Etki Alanı Önleme Saldırılarını Önlemek için Sıfır Güvenlik Güvenini Uygulayın

Etki alanı ön saldırıları, etki alanı trafiğiyle ilişkili tehlikelere ışık tutar. Bilgisayar korsanları, sisteminize sızmak için meşru otorite platformlarının önüne geçebilirse, bu hiçbir platforma güvenemeyeceğinizi gösterir.

Sıfır güven güvenliğini uygulamak, gidilecek yoldur. Ağınıza giden her trafiğin, bütünlüğünü doğrulamak için standart güvenlik kontrollerinden geçtiğinden emin olun.