أبريل 11, 2022
بقلم جيف إبلينج - CISSP ، أخصائي التكنولوجيا المتقدمة CCSP ، Skyhigh Security
يعد استخدام "عمر المجال" ميزة يتم الترويج لها من قبل العديد من بائعي جدار الحماية وأمن الويب كطريقة لحماية المستخدمين والأنظمة من الوصول إلى وجهات الإنترنت الضارة. المفهوم هو استخدام عمر المجال كمعلمة عامة لتصفية حركة المرور. الفكرة هي أن المضيفين المرتبطين بالنطاقات المسجلة حديثا يجب إما حظرهم تماما أو عزلهم أو معاملتهم بشك كبير. ستصف هذه المدونة ما هو عمر المجال ، وكيف يتم إنشاء النطاقات وتسجيلها ، وقيمة عمر المجال ، وكيف يمكن استخدام عمر المجال بشكل أكثر فعالية كمجاملة لأدوات أمان الويب الأخرى.
تعريف ميزة عمر المجال
تتغير مواقع ومجالات الإنترنت وتتطور باستمرار. خلال الربع الثالث من عام 2021 ، تم تسجيل أكثر من 40,000 نطاق .net و .com جديد يوميا وفقا ل Verisign. https://www.verisign.com/en_US/domain-names/dnib/index.xhtml إذا كان مجال المضيف الهدف معروفا ، فإن هذا المجال له تاريخ تسجيل متاح للبحث من مصادر مختلفة. عمر النطاق هو حساب بسيط للوقت بين تسجيل النطاق الأولي والتاريخ الحالي.
تم تصميم ميزة عمر المجال للاستخدام في التحكم في السياسة ، حيث يمكن للمسؤول تعيين حد أدنى لعمر المجال الذي يجب أن يكون ضروريا للسماح بالوصول إلى وجهة إنترنت معينة. الفكرة هي أنه نظرا لأن النطاقات سهلة للغاية ورخيصة في الإنشاء ، يجب التعامل مع النطاقات الجديدة بعناية فائقة ، إن لم يتم حظرها تماما. لسوء الحظ ، مع معظم البروتوكولات والتطبيقات ، يعد اختيار سياسة عمر المجال قرارا ثنائيا للسماح أو الحظر. هذا ليس مفيدا جدا عندما تكون الوجهات النهائية هي المضيفين والنطاقات الفرعية وعناوين الوجهة التي يمكن تنشيطها وتغييرها وإلغاء تنشيطها بسرعة دون تغيير عمر المجال. ونتيجة لذلك ، فإن قرارات الأمان الثنائية التي تستند فقط إلى اسم المجال أو عمر المجال ستؤدي بطبيعة الحال إلى كل من الإيجابيات الخاطئة والسلبيات الخاطئة التي تضر بالأمان وتجربة المستخدم والإنتاجية.
تسجيل النطاق
IANA (هيئة أرقام الإنترنت المخصصة) هي قسم ICANN (مؤسسة الإنترنت للأسماء والأرقام المخصصة) المسؤولة عن إدارة السجلات ومعلمات البروتوكول وأسماء النطاقات وعناوين IP وأرقام الأنظمة المستقلة. تدير IANA منطقة جذر DNS (نظام اسم النطاق) ونطاقات TLD (نطاقات المستوى الأعلى مثل .com و .org و .edu وما إلى ذلك) وأمناء السجلات مسؤولون عن العمل مع سجل الإنترنت و IANA لتسجيل النطاقات الفرعية الفردية ضمن نطاقات المستوى الأعلى.
يمكن العثور على تفاصيل عملية التسجيل والتعاريف على موقع IANA (iana.org). يمكن العثور على تفاصيل إضافية هنا: https://whois.icann.org/en/domain-name-registration-process يتضمن هذا الموقع البيان التالي:
"في بعض الحالات، قد يتعاقد شخص أو مؤسسة لا ترغب في إدراج معلوماتها في WHOIS مع مزود خدمة وكيل لتسجيل أسماء النطاقات نيابة عنهم. في هذه الحالة ، يكون مزود الخدمة هو مسجل اسم النطاق ، وليس العميل النهائي ".
وهذا يعني أن مقدمي الخدمات والعملاء النهائيين أحرار في تسجيل نطاق مرة واحدة وإعادة استخدام هذا النطاق أو إعادة تعيينه أو بيعه دون تغيير تاريخ التسجيل أو تغيير أي معلومات تسجيل أخرى. يمكن للمسجلين القيام بعناوين المزاد وإنشاء سوق واسعة ل "واضعي اليد والمتصيدين" في المجال. يمكن للمهاجم شراء نطاق راسخ لشركة بائدة بثمن بخس أو تسجيل نطاق سبر شرعي جديد تماما وتركه غير مستخدم لأسابيع أو شهور أو سنوات. على سبيل المثال ، حتى كتابة هذه السطور ، airnigeria.com معروض للبيع على godaddy.com مقابل 65 دولارا أمريكيا فقط. تم تسجيل airnigeria.com النطاق في الأصل في عام 2003. لا تتحمل IANA وأمناء السجلات أي مسؤولية أو سيطرة على استخدام النطاقات.
تحديد عمر المجال
يتم تحديد عمر النطاق من سجل النطاق في سجل الإنترنت الذي يديره مشغل السجل لنطاق TLD. في نهاية المطاف ، يكون المسجل مسؤولا عن إنشاء تسجيل النطاق وتحديث البيانات ذات الصلة. سيكون للسجل في السجل تاريخ إنشاء أصلي ولكن هذا التاريخ لا يتغير إلا إذا انتهت صلاحية التسجيل لمجال معين ، وتمت إعادة تسجيل اسم المجال. لهذا السبب ، يعد عمر المجال مقياسا غير دقيق للغاية للوقت الذي أصبحت فيه الوجهة الفردية نشطة.
وماذا لو كان عنوان IP الوجهة فقط معروفا في وقت قرار التصفية؟ قد يكون هذا هو الحال بالنسبة لتصفية الحزمة الأولى المرسلة إلى وجهة معينة (TCP SYN أو حزمة UDP الأولى لبعض الشبكات الأخرى أو بروتوكول مستوى النقل). تتمثل إحدى طرق الحصول على المجال للوجهة في إجراء بحث عكسي لنظام أسماء النطاقات ، ولكن قد لا يتطابق نطاق المضيف مع المجال الذي تم إرساله في الأصل للحل ، فما قيمة عمر المجال هناك؟
على سبيل المثال ، يمكن حل www.skyhighsecurity.com حاليا إلى 34.111.16.149 والذي يتم حله عكسيا إلى 149.16.111.34.bc.googleusercontent.com. بينما تم تسجيل نطاق skyhighsecurity.com في 2018-12-14 ، تم تسجيل googleusercontent.com في 2010-09-14. كلاهما مجالات راسخة. على الرغم من أن هذه الوجهة موجودة في نطاق skyhighsecurity.com الراسخ ، ويتم استضافتها على نطاق googlecontent.com الراسخ ، إلا أن هذا لا يوفر أي إشارة إلى متى أصبحت وجهة www.skyhighsecurity.com أو 34.111.16.149 نشطة ، أو خطر الاتصال بعنوان IP هذا. يصبح عمر النطاق أقل فائدة عندما نفكر في الوجهات المستضافة في السحابة العامة (IaaS و SaaS) باستخدام نطاقات الموفرين.
يمكن التخفيف إلى حد ما من الحصول على المجال الخاطئ وبالتالي عمر المجال الخاطئ من البحث العكسي عن طريق تتبع استعلامات DNS للعميل ومحاولة تعيين هذه المجالات مرة أخرى إلى عنوان IP الوجهة المطلوب. ومع ذلك ، فإن القيام بذلك يعتمد أيضا على وجود رؤية كاملة لجميع طلبات DNS من العميل ، ويفترض أن عنوان IP الوجهة قد تم تحديده باستخدام DNS القياسي أو بواسطة النظام الذي يوفر تصفية عمر المجال.
تحديات استخدام عمر المجال كمعيار تصفية عام
حتى إذا كان من الممكن تحديد المجال الصحيح للإرسال ، ويمكن استرداد عمر المجال بدقة ، فلا تزال هناك مشكلات يجب مراعاتها.
يتمتع المسجلون بحرية صيانة المجالات المنشأة وتغييرها وإعادة تعيينها لأي عميل ، ويمكن للبائعين فعل الشيء نفسه. هذا يقلل إلى حد كبير من فائدة عمر المجال كمعلمة تصفية قائمة بذاتها لأن الفاعل الضار يمكنه بسهولة الحصول على مجال راسخ موجود بسمعة محايدة أو حتى إيجابية. يمكن للممثل الضار أيضا تسجيل مجال جديد قبل وقت طويل من استخدامه كمجال قيادة وتحكم أو هجوم.
يتم باستمرار تسجيل وإنشاء مواقع شرعية وآمنة تماما في كثير من الحالات في غضون أيام أو حتى ساعات من استخدامها. عند استخدام عمر المجال كمعايير تصفية ، ستكون هناك دائما مفاضلة بين المعدلات الإيجابية الخاطئة العالية والمعدلات السلبية الخاطئة العالية.
وتجدر الإشارة أيضا إلى أن عمر النطاق لا يوفر قيمة تذكر بالنسبة إلى وقت إنشاء سجل اسم مضيف فردي داخل نطاق. يمكن أن تحتوي المجالات المنشأة على عدد لا حصر له تقريبا من النطاقات الفرعية والمضيفين الفرديين داخل تلك المجالات ، ولا توجد طريقة لتحديد عمر اسم المضيف بدقة أو حتى عندما كان الاسم مرتبطا بعنوان IP نشط. كل ما يمكن تحديده هو أن اسم المضيف الوجهة هو جزء من نطاق تم تسجيله في وقت سابق.
خلاصة القول هي أن عمر المجال ليس دقيقا أو موضوعيا بما يكفي لاتخاذ قرار تصفية مفيد من تلقاء نفسه. ومع ذلك، يمكن أن يوفر عمر المجال بعض القيمة الأمنية المحدودة في غياب تام لمعايير أكثر تحديدا، شريطة أن يتم التسامح مع المعدل الإيجابي الخاطئ والمعدل السلبي الخاطئ المرتبط بعتبة الحداثة المختارة. يمكن أن يوفر عمر النطاق قيمة تكميلية عند دمجه مع معايير تصفية أخرى أكثر تحديدا ، على سبيل المثال البروتوكول ونوع المحتوى وفئة المضيف وسمعة المضيف والمضيف الذي شوهد لأول مرة وتكرار وصول المضيف وسمات خدمة الويب وغيرها.
عمر المجال في سياق HTTP / S والتصفية المستندة إلى الوكيل
تتوفر دائما معايير أكثر تحديدا عندما يكون بروتوكول HTTP قيد الاستخدام. يتم التعامل مع تصفية HTTP و HTTPS بشكل أكثر فاعلية عبر وكيل صريح أو شفاف. إذا تم اتباع البروتوكول (فرضه الجهاز أو الخدمة) ، فلا يمكن نقل المعلومات ، ولا يمكن بدء حل وسط أو هجوم ، إلا بعد إنشاء اتصال TCP.
نظرا لأن حركة المرور يتم تجريلها ، ويمكن فك تشفير HTTPS ، يمكن تحديد أسماء النطاقات المؤهلة بالكامل (FQDNs) الدقيقة للمضيف ومسار URL ومعلمات URL والتحقق منها بواسطة الوكيل لاستخدامها في قرارات التصفية. توفر القدرة على البحث عن معلومات حول FQDN ومسار URL الكامل ومعلمات URL معلومات أكثر قيمة بكثير فيما يتعلق بالتاريخ ومستوى المخاطر واستخدام الموقع والوجهة والخدمة المحددة بغض النظر عن المجال أو تاريخ تسجيل المجال يمكن تحسين هذه البيانات السياقية بشكل أكبر عندما يربط الوكيل الطلب بخدمة معينة وسمات أمان البيانات الخاصة بها (مثل نوع الخدمة ، ملكية الملكية الفكرية ، تاريخ الخرق ، إلخ).
يحتفظ بائعو بروكسي الويب الرائدون في الصناعة بقواعد بيانات شاملة وشاملة للمواقع والمجالات والتطبيقات والخدمات وعناوين URL الأكثر استخداما. استخبارات التهديدات العالمية وقواعد بيانات السجل السحابي المستخدمة من قبل Skyhigh Security اربط المواقع والمجالات وعناوين URL بالموقع الجغرافي والفئة والخدمة وسمات الخدمة والتطبيقات وسمعة مخاطر البيانات وسمعة التهديد والمزيد. كفائدة جانبية ، يعد عدم وجود إدخال في قواعد البيانات لمضيف أو مجال أو خدمة أو عنوان URL معين مؤشرا قويا للغاية وأكثر دقة على أن الموقع تم إنشاؤه حديثا أو قليل الاستخدام وبالتالي لا ينبغي الوثوق به بطبيعته. يجب التعامل مع هذه المواقع بحذر وحظرها أو تدريبها أو عزلها (يتوفر الخياران الأخيران بشكل فريد مع HTTP / S الوكيل) بناء على تلك المعايير ، بغض النظر عن عمر المجال.
Skyhigh Security توفر حافة الخدمة الآمنة (SSE) جميع الوظائف المذكورة أعلاه وتتضمن remote browser isolation (RBI) للمواقع غير المصنفة وغير التي تم التحقق منها والمحفوفة بالمخاطر. هذا يلغي فعليا مخاطر المتصفحات أو التطبيقات الأخرى التي تصل إلى مواقع غير مصنفة ، دون إضافة تعقيدات الإيجابيات الخاطئة والسلبيات الخاطئة من مرشح عمر المجال.
عند استخدام HTTP / S ، يمكن أن يوفر عمر اسم المضيف أو حتى تاريخ مشاهدة اسم المضيف الأول و / أو الأخير قيمة إضافية ، ولكن عمر المجال عديم الفائدة إلى حد كبير عندما يتوفر FQDN ومعلومات أكثر تحديدا متعلقة بالموقع أو الخدمة. أفضل الممارسات هي حظر المواقع والخدمات التي لم يتم التحقق منها أو عزلها أو على الأقل تدريبها بغض النظر عن عمر المجال. يؤدي السماح بالمواقع أو الخدمات التي لم يتم التحقق منها بناء على عمر النطاق إلى إضافة مخاطر كبيرة من السلبيات الخاطئة (يسمح بالمواقع والخدمات الخطرة لمجرد أن النطاق لم يتم تسجيله مؤخرا). إن حجب المواقع والخدمات بشكل عام بناء على عمر النطاق وحده سيؤدي إلى الإفراط في حظر المواقع التي اكتسبت سمعة طيبة ولا ينبغي حظرها.
استنتاج
يمكن أن يكون عمر المجال مفيدا إلى حد ما لاستكمال قرارات التصفية في المواقف التي لا تتوفر فيها معلومات أخرى أكثر دقة وتحديدا حول وجهة حزمة الشبكة. عند التفكير في استخدام عمر المجال لتصفية HTTP / S ، فهو بديل ضعيف للغاية لقاعدة بيانات استخبارات وخدمة أكثر شمولا للتهديدات. إذا تم اتخاذ قرار بالانحراف عن أفضل الممارسات والسماح باتصالات HTTP / S بالمواقع التي لم يتم إثبات ملكيتها ، دون عزل ، فيمكن أن يوفر عمر النطاق قيمة تكميلية محدودة عن طريق حظر المواقع التي لم يتم إثبات ملكيتها والموجودة في نطاقات مسجلة حديثا. يأتي هذا على حساب الشعور الزائف بالأمان وخطر أكبر بكثير من السلبيات الكاذبة عند مقارنته بأفضل الممارسات لاستخدام ذكاء شامل لتهديدات الويب ، وإجراء تحليل شامل للطلب والاستجابة ، وببساطة حظر أو عزل أو تدريب المواقع التي لم يتم التحقق منها.
لمزيد من المعلومات حول Skyhigh Securityحلول شاملة وفعالة لحماية النظام والبيانات ، يرجى زيارة موقعنا Security Service Edge الصفحة المقصودة.
العودة إلى المدونات