11 de abril de 2022
Por Jeff Ebeling - CISSP, CCSP Especialista en Tecnología Avanzada, Skyhigh Security
El uso de la "edad del dominio" es una característica que promueven varios proveedores de cortafuegos y seguridad web como método para proteger a los usuarios y sistemas del acceso a destinos de Internet maliciosos. El concepto consiste en utilizar la edad del dominio como parámetro genérico de filtrado del tráfico. La idea es que los hosts asociados a dominios recién registrados deben bloquearse por completo, aislarse o tratarse con alta sospecha. Este blog describirá qué es la edad del dominio, cómo se crean y registran los dominios, el valor de la edad del dominio y cómo se puede utilizar la edad del dominio de forma más eficaz como complemento de otras herramientas de seguridad web.
Dominio Edad Característica Definición
Los sitios y dominios de Internet cambian y evolucionan constantemente. Hasta el tercer trimestre de 2021 se registró una media de más de 40.000 nuevos dominios .net y .com al día, según Verisign. https://www.verisign.com/en_US/domain-names/dnib/index.xhtml Si se conoce el dominio de un host de destino, ese dominio tiene una fecha de registro disponible para su búsqueda en diversas fuentes. La antigüedad del dominio es un simple cálculo del tiempo transcurrido entre el registro inicial del dominio y la fecha actual.
La función de edad de dominio está diseñada para su uso en el control de políticas, donde un administrador puede establecer una edad mínima de dominio que debería ser necesaria para permitir el acceso a un determinado destino de Internet. La idea es que, dado que los dominios son tan fáciles y baratos de establecer, los nuevos dominios deberían tratarse con mucho cuidado, si no bloquearse directamente. Por desgracia, con la mayoría de protocolos e implementaciones, la selección de la política de edad de los dominios es una decisión binaria de permitir o bloquear. Esto no es muy útil cuando los destinos finales son hosts, subdominios y direcciones de destino que pueden activarse, cambiarse y desactivarse rápidamente sin cambiar nunca la edad del dominio. Como resultado, las decisiones de seguridad binarias basadas únicamente en el nombre de dominio o la antigüedad del dominio darán lugar de forma natural a falsos positivos y falsos negativos que van en detrimento de la seguridad, la experiencia del usuario y la productividad.
Registro de dominios
IANA (Internet Assigned Numbers Authority) es el departamento de ICANN (Internet Corporation for Assigned Names and Numbers) responsable de gestionar los registros de, parámetros de protocolo, nombres de dominio, direcciones IP y Números de Sistema Autónomo. IANA gestiona la zona raíz del DNS (Sistema de Nombres de Dominio) y los TLD (dominios de nivel superior como .com, .org, .edu, etc.) y los registradores son los responsables de trabajar con el Registro de Internet e IANA para registrar subdominios individuales dentro de los dominios de nivel superior.
Los detalles del proceso de registro y las definiciones pueden encontrarse en el sitio de la IANA (iana.org). Puede encontrar detalles adicionales aquí: https://whois.icann.org/en/domain-name-registration-process Esta ubicación incluye la siguiente declaración:
"En algunos casos, una persona u organización que no desee que su información figure en WHOIS puede contratar a un proveedor de servicios proxy para que registre nombres de dominio en su nombre. En este caso, el proveedor de servicios es quien registra el nombre de dominio, no el cliente final".
Esto significa que los proveedores de servicios y los clientes finales son libres de registrar un dominio una vez y reutilizarlo, reasignarlo o venderlo sin cambiar la fecha de registro ni modificar ninguna otra información de registro. Los registradores pueden subastar direcciones, y de hecho lo hacen, creando un vasto mercado para los "okupas y trolls" de dominios. Un atacante puede comprar a bajo precio un dominio establecido de una empresa desaparecida o registrar un dominio completamente nuevo que suene legítimo y dejarlo sin utilizar durante semanas, meses o años. Por ejemplo, en el momento de escribir estas líneas airnigeria.com está a la venta en godaddy.com por sólo 65 USD. El dominio airnigeria.com se registró originalmente en 2003. IANA y los registradores no tienen ninguna responsabilidad ni control sobre el uso de los dominios.
Determinar la edad del dominio
La edad del dominio se determina a partir del registro del dominio en el Registro de Internet gestionado por el operador del registro para un TLD. En última instancia, el registrador es responsable del establecimiento del registro de un dominio y de la actualización de los datos relacionados. El registro en el registro tendrá una fecha de creación original, pero esa fecha no cambia a menos que el registro de un dominio específico expire y el nombre de dominio se vuelva a registrar. Debido a esto, la antigüedad de un dominio es una medida extremadamente inexacta de cuándo se activó un destino individual.
¿Y si sólo se conoce la dirección IP de destino en el momento de tomar la decisión de filtrado? Este podría ser el caso para filtrar el primer paquete enviado a un destino específico (TCP SYN o primer paquete UDP de algún otro protocolo a nivel de red o transporte). Una forma de obtener el dominio para el destino sería una búsqueda DNS inversa, pero el dominio para el host puede no coincidir con el dominio que se envió originalmente para su resolución, así que ¿qué valor tiene la edad del dominio ahí?
Por ejemplo, www.skyhighsecurity.com puede resolver actualmente a 34.111.16.149 que resuelve inversamente a 149.16.111.34.bc.googleusercontent.com. Mientras que el dominio skyhighsecurity.com se registró el 2018-12-14, googleusercontent.com se registró el 2010-09-14. Ambos son dominios establecidos desde hace tiempo. Aunque este destino se encuentra en el bien establecido dominio skyhighsecurity.com, y está alojado en el bien establecido dominio googleusercontent.com, esto no proporciona ninguna indicación de cuándo se activó el destino www.skyhighsecurity.com, o 34.111.16.149, o el riesgo de comunicarse con esa dirección IP. La antigüedad del dominio resulta aún menos útil cuando consideramos los destinos alojados en la nube pública (IaaS y SaaS) que utilizan los dominios de los proveedores.
La obtención de un dominio erróneo y, por tanto, de una edad de dominio errónea a partir de la búsqueda inversa podría mitigarse en cierta medida rastreando las consultas DNS del cliente e intentando mapear esos dominios de vuelta a la IP de destino solicitada. Sin embargo, hacer esto también dependería de tener una visibilidad completa de todas las peticiones DNS del cliente, y asume que la dirección IP de destino fue determinada usando DNS estándar o por el sistema que proporciona el filtrado de edad de dominio.
Retos de la utilización de la edad del dominio como criterio genérico de filtrado
Incluso si se puede establecer el dominio correcto para la transmisión, y se puede recuperar con precisión la edad del dominio, todavía hay cuestiones que deben tenerse en cuenta.
Los registradores son libres de mantener, cambiar y reasignar dominios establecidos a cualquier cliente, y los revendedores pueden hacer lo mismo. Esto disminuye en gran medida la utilidad de la antigüedad del dominio como parámetro de filtrado independiente, ya que un actor malicioso puede adquirir fácilmente un dominio existente bien establecido con una reputación neutral o incluso positiva. Un actor malicioso también puede registrar un nuevo dominio mucho antes de que se ponga en uso como dominio de comando y control o de ataque.
Constantemente se registran y establecen sitios legítimos y perfectamente seguros, en muchos casos a los pocos días o incluso horas de su puesta en funcionamiento. Cuando se utiliza la antigüedad del dominio como criterio de filtrado, siempre habrá un equilibrio entre los altos índices de falsos positivos y los altos índices de falsos negativos.
También hay que señalar que la antigüedad del dominio aporta poco valor en relación con el momento en que se creó un registro de nombre de host individual dentro de un dominio. Los dominios establecidos pueden tener un número casi infinito de subdominios y hosts individuales dentro de esos dominios, y no hay forma de determinar con precisión la antigüedad del nombre de host o incluso cuándo se asoció el nombre a una IP activa. Lo único que podría determinarse es que el nombre de host de destino forma parte de un dominio que se registró en alguna fecha anterior.
La conclusión es que la edad del dominio no es lo suficientemente granular o sustantiva como para tomar una decisión de filtrado útil por sí sola. Sin embargo, la edad del dominio podría proporcionar cierto valor de seguridad limitado en ausencia total de criterios más específicos, siempre que se pueda tolerar la tasa de falsos positivos y de falsos negativos asociada al umbral de recencia seleccionado. La edad del dominio puede proporcionar un valor suplementario cuando se combina con otros criterios de filtrado más definitivos, por ejemplo, el protocolo, el tipo de contenido, la categoría del anfitrión, la reputación del anfitrión, el anfitrión visto por primera vez, la frecuencia de acceso al anfitrión, los atributos del servicio web y otros.
Edad del dominio en el contexto de HTTP/S y filtrado basado en proxy
Siempre se dispone de criterios más específicos cuando se utiliza el protocolo HTTP. El filtrado HTTP y HTTPS se gestiona con mayor eficacia mediante un proxy explícito o transparente. Si se sigue el protocolo (impuesto por el dispositivo o el servicio), no se puede transferir información, y no se puede iniciar un compromiso o un ataque, hasta después del establecimiento de la conexión TCP.
Dado que el tráfico está siendo proxyado, y HTTPS puede ser descifrado, los Nombres de Dominio Completamente Cualificados (FQDN) precisos para el host, la ruta URL y los parámetros URL pueden ser identificados y verificados por el proxy para su uso en las decisiones de filtrado. La capacidad de buscar información sobre el FQDN, la ruta completa de la URL y los parámetros de la URL proporciona información mucho más valiosa relativa al historial, el nivel de riesgo y el uso del sitio, el destino y el servicio específicos, independientemente del dominio o de la fecha de registro del dominio Estos datos contextuales pueden mejorarse aún más cuando el proxy asocia la solicitud con un servicio específico y sus atributos de seguridad de los datos (como el tipo de servicio, la titularidad de la propiedad intelectual, el historial de infracciones, etc.).
Los proveedores de proxy web líderes del sector mantienen amplias y completas bases de datos de los sitios, dominios, aplicaciones, servicios y URL más utilizados. Las bases de datos de Global Threat Intelligence y Cloud Registry utilizadas por Skyhigh Security asocian sitios, dominios y URL con geolocalización, categoría, servicio, atributos de servicio, aplicaciones, reputaciones de riesgo de datos, reputaciones de amenazas y mucho más. Como beneficio secundario, la falta de una entrada en las bases de datos para un host, dominio, servicio o URL específico es una indicación extremadamente fuerte, y mucho más precisa, de que el sitio es de reciente creación o poco utilizado y, por lo tanto, no debe ser intrínsecamente de confianza. Tales sitios deben tratarse con precaución y bloquearse o entrenarse o aislarse (las dos últimas opciones sólo están disponibles con HTTP/S proxy) basándose en esos criterios, independientemente de la antigüedad del dominio.
Skyhigh Security Secure Service Edge (SSE) proporciona toda la funcionalidad anterior e incluye remote browser isolation (RBI) para los sitios no categorizados, no verificados y de cualquier otro modo arriesgados. Esto elimina prácticamente los riesgos de que los navegadores u otras aplicaciones accedan a sitios no categorizados, sin añadir las complicaciones de los falsos positivos y falsos negativos de un filtro de edad de dominio.
Cuando se utiliza HTTP/S, la antigüedad del nombre de host, o incluso la fecha del primer y/o último nombre de host visto podrían proporcionar un valor adicional, pero la antigüedad del dominio es prácticamente inútil cuando se dispone del FQDN y de información más específica relacionada con el sitio o el servicio. La mejor práctica es bloquear, aislar o, como mínimo, entrenar los sitios y servicios no verificados sin tener en cuenta la antigüedad del dominio. Permitir sitios o servicios no verificados basándose en la antigüedad del dominio añade un riesgo significativo de falsos negativos (sitios y servicios de riesgo que se permiten simplemente porque el dominio no se ha registrado recientemente). Bloquear genéricamente sitios y servicios basándose únicamente en la antigüedad del dominio llevaría a bloquear en exceso sitios que han establecido una buena reputación y que no deberían ser bloqueados.
Conclusión
La edad de dominio puede ser algo útil para complementar las decisiones de filtrado en situaciones en las que no se dispone de otra información más precisa y específica sobre el destino de un paquete de red. Cuando se considera el uso de la edad de dominio para el filtrado HTTP/S, es un sustituto extremadamente pobre de una base de datos de inteligencia de amenazas y servicios más completa. Si se toma la decisión de desviarse de las mejores prácticas y permitir conexiones HTTP/S a sitios no verificados, sin aislamiento, entonces la edad del dominio puede proporcionar un valor suplementario limitado al bloquear sitios no verificados que están en dominios recién registrados. Esto se consigue a costa de una falsa sensación de seguridad y de un riesgo mucho mayor de falsos negativos si se compara con la mejor práctica de utilizar una completa inteligencia de amenazas web, realizar un análisis exhaustivo de peticiones y respuestas, y simplemente bloquear, aislar o entrenar los sitios no verificados.
Si desea más información sobre las soluciones integrales y eficaces de Skyhigh Securitypara la protección de sistemas y datos, visite nuestra página de aterrizaje Security Service Edge .
Volver a Blogs