April 11, 2022
Von Jeff Ebeling - CISSP, CCSP Advanced Technology Specialist, Skyhigh Security
Die Verwendung des "Domain-Alters" ist eine Funktion, die von verschiedenen Firewall- und Web-Sicherheitsanbietern als Methode zum Schutz von Benutzern und Systemen vor dem Zugriff auf bösartige Internet-Ziele beworben wird. Das Konzept besteht darin, das Domainalter als allgemeinen Parameter zur Filterung des Datenverkehrs zu verwenden. Der Gedanke dahinter ist, dass Hosts, die mit neu registrierten Domains verbunden sind, entweder vollständig blockiert, isoliert oder mit großem Misstrauen behandelt werden sollten. In diesem Blog wird beschrieben, was das Domainalter ist, wie Domains erstellt und registriert werden, welchen Wert das Domainalter hat und wie das Domainalter am effektivsten als Ergänzung zu anderen Web-Sicherheitstools eingesetzt werden kann.
Domain Alter Merkmal Definition
Die Websites und Domains im Internet verändern und entwickeln sich ständig weiter. Im dritten Quartal 2021 wurden laut Verisign durchschnittlich über 40.000 neue .net- und .com-Domains pro Tag registriert. https://www.verisign.com/en_US/domain-names/dnib/index.xhtml Wenn die Domain eines Zielhosts bekannt ist, kann das Registrierungsdatum dieser Domain aus verschiedenen Quellen abgerufen werden. Das Domainalter ist eine einfache Berechnung der Zeit zwischen der ersten Domainregistrierung und dem aktuellen Datum.
Eine Funktion zur Festlegung des Domänenalters ist für die Richtlinienkontrolle gedacht, bei der ein Administrator ein Mindestalter für Domänen festlegen kann, das für den Zugriff auf ein bestimmtes Internet-Ziel erforderlich ist. Der Gedanke dahinter ist, dass neue Domains, die so einfach und billig einzurichten sind, mit großer Vorsicht behandelt, wenn nicht sogar komplett blockiert werden sollten. Leider ist die Auswahl des Domainalters bei den meisten Protokollen und Implementierungen eine binäre Entscheidung zwischen Zulassen und Sperren. Dies ist nicht sehr sinnvoll, wenn die endgültigen Ziele Hosts, Subdomänen und Zieladressen sind, die schnell aktiviert, geändert und deaktiviert werden können, ohne dass sich das Domänenalter ändert. Folglich führen binäre Sicherheitsentscheidungen, die ausschließlich auf dem Domänennamen oder dem Domänenalter basieren, natürlich sowohl zu falsch positiven als auch zu falsch negativen Ergebnissen, die der Sicherheit, der Benutzerfreundlichkeit und der Produktivität abträglich sind.
Domain-Registrierung
IANA (Internet Assigned Numbers Authority) ist die Abteilung der ICANN (Internet Corporation for Assigned Names and Numbers), die für die Verwaltung der Register, Protokollparameter, Domänennamen, IP-Adressen und Autonomous System Numbers zuständig ist. Die IANA verwaltet die DNS (Domain Name System)-Root-Zone und die TLDs (Top Level Domains wie .com, .org, .edu usw.). Die Registrierstellen sind für die Zusammenarbeit mit der Internetregistrierungsstelle und der IANA zuständig, um einzelne Subdomains innerhalb der Top-Level-Domains zu registrieren.
Einzelheiten zum Registrierungsprozess und zu den Definitionen finden Sie auf der IANA-Website (iana.org). Weitere Einzelheiten finden Sie hier: https://whois.icann.org/en/domain-name-registration-process Diese Seite enthält die folgende Erklärung:
"In einigen Fällen kann eine Person oder Organisation, die nicht möchte, dass ihre Daten im WHOIS aufgeführt werden, einen Vertrag mit einem Proxy-Dienstleister abschließen, der in ihrem Namen Domainnamen registriert. In diesem Fall ist der Dienstleister der Domain-Namen-Registrant, nicht der Endkunde."
Das bedeutet, dass es Dienstanbietern und Endkunden freisteht, eine Domain einmal zu registrieren und sie dann wiederzuverwenden, neu zuzuweisen oder zu verkaufen, ohne das Registrierungsdatum oder andere Registrierungsinformationen zu ändern. Registrierstellen können Adressen versteigern und tun dies auch, wodurch ein riesiger Markt für Domainbesetzer und Trolle entsteht. Ein Angreifer kann billig eine etablierte Domain eines nicht mehr existierenden Unternehmens kaufen oder eine völlig neue, legitim klingende Domain registrieren und sie für Wochen, Monate oder Jahre ungenutzt lassen. Zum Beispiel steht airnigeria.com derzeit bei godaddy.com für nur 65 USD zum Verkauf. Die Domain airnigeria.com wurde ursprünglich im Jahr 2003 registriert. Die IANA und die Registrierungsstellen haben keine Verantwortung oder Kontrolle über die Nutzung von Domains.
Domainalter bestimmen
Das Domänenalter wird anhand des Domäneneintrags im Internet-Register ermittelt, das vom Registerbetreiber für eine TLD verwaltet wird. Letztlich ist die Registrierungsstelle für die Einrichtung einer Domainregistrierung und die Aktualisierung der zugehörigen Daten verantwortlich. Der Eintrag im Register hat ein ursprüngliches Erstellungsdatum, aber dieses Datum ändert sich nicht, es sei denn, die Registrierung für eine bestimmte Domain läuft ab und der Domainname wird neu registriert. Aus diesem Grund ist das Domainalter ein äußerst ungenaues Maß dafür, wann ein einzelnes Ziel aktiv wurde.
Und was, wenn zum Zeitpunkt der Filterentscheidung nur die Ziel-IP-Adresse bekannt ist? Dies könnte der Fall sein, wenn das erste Paket gefiltert werden soll, das an ein bestimmtes Ziel gesendet wird (TCP SYN oder erstes UDP-Paket eines anderen Netzwerk- oder Transportprotokolls). Eine Möglichkeit, die Domäne des Ziels herauszufinden, wäre ein Reverse-DNS-Lookup, aber die Domäne des Hosts stimmt möglicherweise nicht mit der Domäne überein, die ursprünglich zur Auflösung eingereicht wurde, also welchen Wert hat das Domänenalter?
Zum Beispiel kann www.skyhighsecurity.com derzeit zu 34.111.16.149 aufgelöst werden, was wiederum zu 149.16.111.34.bc.googleusercontent.com führt. Während die Domain skyhighsecurity.com am 14.12.2018 registriert wurde, wurde googleusercontent.com am 14.09.2010 registriert. Beides sind seit langem etablierte Domains. Dieses Ziel befindet sich zwar in der etablierten Domäne skyhighsecurity.com und wird auf der etablierten Domäne googlecontent.com gehostet, aber das gibt keinen Aufschluss darüber, wann das Ziel www.skyhighsecurity.com oder 34.111.16.149 aktiv wurde, oder über das Risiko, mit dieser IP-Adresse zu kommunizieren. Das Alter der Domäne ist noch weniger nützlich, wenn wir Ziele betrachten, die in der öffentlichen Cloud (IaaS und SaaS) unter Verwendung der Domänen der Anbieter gehostet werden.
Die Ermittlung der falschen Domäne und damit des falschen Domänenalters durch Reverse-Lookup könnte etwas abgemildert werden, indem man die DNS-Anfragen des Clients verfolgt und versucht, diese Domänen der angeforderten Ziel-IP-Adresse zuzuordnen. Dies würde jedoch auch voraussetzen, dass alle DNS-Anfragen des Clients vollständig einsehbar sind und dass die Ziel-IP-Adresse mit Hilfe von Standard-DNS oder durch das System, das die Filterung des Domänenalters vornimmt, ermittelt wurde.
Herausforderungen bei der Verwendung des Domainalters als allgemeines Filterkriterium
Selbst wenn die richtige Domäne für die Übertragung ermittelt werden kann und das Alter der Domäne genau abgerufen werden kann, gibt es immer noch Probleme, die berücksichtigt werden sollten.
Registrierstellen können etablierte Domains pflegen, ändern und jedem Kunden neu zuweisen, und Wiederverkäufer können dasselbe tun. Dadurch wird die Nützlichkeit des Domain-Alters als eigenständiger Filterparameter stark eingeschränkt, da ein böswilliger Akteur leicht eine bestehende, gut etablierte Domain mit einem neutralen oder sogar positiven Ruf erwerben kann. Ein böswilliger Akteur kann auch eine neue Domain registrieren, lange bevor sie als Befehls- und Kontroll- oder Angriffsdomain eingesetzt wird.
Legitime und absolut sichere Websites werden ständig registriert und in vielen Fällen innerhalb von Tagen oder sogar Stunden nach ihrer Inbetriebnahme eingerichtet. Wenn Sie das Alter einer Domain als Filterkriterium verwenden, gibt es immer einen Kompromiss zwischen hohen Falsch-Positiv- und hohen Falsch-Negativ-Raten.
Es sollte auch beachtet werden, dass das Alter einer Domäne wenig Aussagekraft darüber hat, wann ein einzelner Hostnameneintrag innerhalb einer Domäne erstellt wurde. Etablierte Domains können eine fast unendliche Anzahl von Subdomains und einzelnen Hosts innerhalb dieser Domains haben, und es gibt keine Möglichkeit, das Alter des Hostnamens genau zu bestimmen oder auch nur, wann der Name mit einer aktiven IP verbunden wurde. Das Einzige, was möglicherweise festgestellt werden kann, ist, dass der Zielhostname Teil einer Domäne ist, die zu einem früheren Zeitpunkt registriert wurde.
Die Quintessenz ist, dass das Domainalter nicht annähernd granular oder aussagekräftig genug ist, um allein eine nützliche Filterentscheidung zu treffen. Allerdings könnte das Domainalter in Ermangelung spezifischerer Kriterien einen begrenzten Sicherheitswert bieten, vorausgesetzt, die Falsch-Positiv- und Falsch-Negativ-Rate, die mit dem gewählten Aktualitätsschwellenwert verbunden ist, kann toleriert werden. Das Domainalter kann einen zusätzlichen Wert darstellen, wenn es mit anderen eindeutigeren Filterkriterien kombiniert wird, z. B. Protokoll, Inhaltstyp, Host-Kategorie, Host-Reputation, Host, der zum ersten Mal gesehen wurde, Häufigkeit des Host-Zugriffs, Web-Service-Attribute und andere.
Domainalter im Kontext von HTTP/S und proxy-basierter Filterung
Spezifischere Kriterien sind immer verfügbar, wenn das HTTP-Protokoll verwendet wird. Die Filterung von HTTP und HTTPS erfolgt am effektivsten über einen expliziten oder transparenten Proxy. Wenn das Protokoll befolgt wird (was durch das Gerät oder den Dienst erzwungen wird), können Informationen erst nach dem Aufbau der TCP-Verbindung übertragen werden und eine Kompromittierung oder ein Angriff kann nicht initiiert werden.
Da der Datenverkehr über einen Proxy abgewickelt wird und HTTPS entschlüsselt werden kann, können genaue Fully Qualified Domain Names (FQDNs) für den Host, den URL-Pfad und die URL-Parameter vom Proxy identifiziert und überprüft werden, um sie bei Filterentscheidungen zu verwenden. Die Möglichkeit, Informationen über den FQDN, den vollständigen URL-Pfad und die URL-Parameter abzurufen, liefert unabhängig von der Domain oder dem Registrierungsdatum der Domain viel wertvollere Informationen über die Historie, den Risikograd und die Nutzung der spezifischen Website, des Ziels und des Dienstes. Diese kontextbezogenen Daten können noch weiter verbessert werden, wenn der Proxy die Anfrage mit einem bestimmten Dienst und seinen Datensicherheitsattributen (z. B. Art des Dienstes, Eigentum an geistigem Eigentum, Geschichte der Sicherheitsverletzungen usw.) in Verbindung bringt.
Branchenführende Web-Proxy-Anbieter unterhalten umfangreiche und umfassende Datenbanken mit den am häufigsten genutzten Websites, Domänen, Anwendungen, Diensten und URLs. Die von Skyhigh Security verwendeten Datenbanken Global Threat Intelligence und Cloud Registry verknüpfen Websites, Domänen und URLs mit Geolokalisierung, Kategorie, Service, Service-Attributen, Anwendungen, dem Ruf von Datenrisiken, dem Ruf von Bedrohungen und mehr. Als Nebeneffekt ist das Fehlen eines Eintrags in den Datenbanken für einen bestimmten Host, eine Domäne, einen Dienst oder eine URL ein äußerst deutlicher und sehr viel genauerer Hinweis darauf, dass die Website neu eingerichtet oder wenig genutzt wird und daher nicht von vornherein als vertrauenswürdig angesehen werden sollte. Solche Websites sollten mit Vorsicht behandelt werden und auf der Grundlage dieser Kriterien blockiert, gecoacht oder isoliert werden (die beiden letzteren Optionen sind nur mit Proxy-HTTP/S verfügbar), unabhängig vom Alter der Domain.
Skyhigh Security Secure Service Edge (SSE) bietet alle oben genannten Funktionen und umfasst remote browser isolation (RBI) für nicht kategorisierte, nicht verifizierte und anderweitig riskante Websites. Dadurch werden die Risiken von Browsern oder anderen Anwendungen, die auf nicht kategorisierte Websites zugreifen, praktisch eliminiert, ohne dass die Komplikationen von falsch-positiven und falsch-negativen Ergebnissen durch einen Domain-Altersfilter hinzukommen.
Bei der Verwendung von HTTP/S können das Alter des Hostnamens oder sogar das Datum des ersten und/oder letzten gesehenen Hostnamens zusätzlichen Nutzen bringen, aber das Domainalter ist so gut wie nutzlos, wenn der FQDN und spezifischere Informationen über die Website oder den Dienst verfügbar sind. Die beste Vorgehensweise ist, ungeprüfte Websites und Dienste ohne Rücksicht auf das Domainalter zu blockieren, zu isolieren oder zumindest zu überwachen. Wenn Sie ungeprüfte Websites oder Dienste aufgrund des Alters der Domain zulassen, besteht ein erhebliches Risiko von Falschmeldungen (risikoreiche Websites und Dienste werden zugelassen, nur weil die Domain nicht kürzlich registriert wurde). Die generelle Sperrung von Websites und Diensten allein aufgrund des Domain-Alters würde zu einer Übersperrung von Websites führen, die einen guten Ruf haben und nicht gesperrt werden sollten.
Fazit
Das Domain-Alter kann in Situationen, in denen keine anderen, genaueren und spezifischeren Informationen über das Ziel eines Netzwerkpakets verfügbar sind, als Ergänzung zu Filterentscheidungen nützlich sein. Wenn Sie die Verwendung des Domänenalters für die HTTP/S-Filterung in Betracht ziehen, ist es ein äußerst schlechter Ersatz für eine umfassendere Bedrohungsdatenbank und eine Dienstdatenbank. Wenn die Entscheidung getroffen wird, von der bewährten Praxis abzuweichen und HTTP/S-Verbindungen zu ungeprüften Websites ohne Isolierung zuzulassen, dann kann das Domainalter einen begrenzten zusätzlichen Wert bieten, indem es ungeprüfte Websites blockiert, die sich in neu registrierten Domains befinden. Dies geht auf Kosten eines falschen Sicherheitsgefühls und eines viel größeren Risikos falsch negativer Ergebnisse im Vergleich zu der bewährten Praxis, umfassende Web-Bedrohungsdaten zu verwenden, eine gründliche Analyse von Anfragen und Antworten durchzuführen und nicht verifizierte Websites einfach zu blockieren, zu isolieren oder zu überwachen.
Weitere Informationen zu Skyhigh Security's ganzheitlichen und effektiven Lösungen für System- und Datenschutz finden Sie auf unserer Security Service Edge Landing Page.
Zurück zu Blogs