11 avril 2022
Par Jeff Ebeling - CISSP, CCSP Advanced Technology Specialist, Skyhigh Security
L'utilisation de "l'âge du domaine" est une fonction promue par divers vendeurs de pare-feu et de sécurité web comme méthode pour protéger les utilisateurs et les systèmes contre l'accès à des destinations internet malveillantes. Le concept consiste à utiliser l'âge du domaine comme paramètre générique de filtrage du trafic. L'idée est que les hôtes associés à des domaines nouvellement enregistrés doivent être soit complètement bloqués, soit isolés, soit traités avec une grande méfiance. Ce blog décrit ce qu'est l'âge du domaine, comment les domaines sont créés et enregistrés, la valeur de l'âge du domaine et comment l'âge du domaine peut être utilisé le plus efficacement possible en complément d'autres outils de sécurité web.
Âge du domaine Définition de la caractéristique
Les sites et les domaines de l'internet changent et évoluent constamment. Au cours du troisième trimestre 2021, plus de 40 000 nouveaux domaines .net et .com ont été enregistrés en moyenne par jour, selon Verisign. https://www.verisign.com/en_US/domain-names/dnib/index.xhtml Si le domaine d'un hôte cible est connu, sa date d'enregistrement peut être consultée à partir de diverses sources. L'âge du domaine est un simple calcul du temps écoulé entre l'enregistrement initial du domaine et la date actuelle.
La fonction d'âge du domaine est conçue pour être utilisée dans le cadre du contrôle de la politique, où un administrateur peut fixer un âge minimum pour le domaine qui devrait être nécessaire pour autoriser l'accès à une destination Internet donnée. L'idée est qu'étant donné que les domaines sont si faciles et si peu coûteux à créer, les nouveaux domaines devraient être traités avec beaucoup de précaution, voire carrément bloqués. Malheureusement, dans la plupart des protocoles et des mises en œuvre, la sélection de la politique relative à l'âge du domaine est une décision binaire d'autorisation ou de blocage. Cela n'est pas très utile lorsque les destinations finales sont des hôtes, des sous-domaines et des adresses de destination qui peuvent être rapidement activés, modifiés et désactivés sans jamais changer l'âge du domaine. Par conséquent, les décisions de sécurité binaires basées uniquement sur le nom de domaine ou l'âge du domaine entraîneront naturellement des faux positifs et des faux négatifs qui sont préjudiciables à la sécurité, à l'expérience de l'utilisateur et à la productivité.
Enregistrement de domaine
L'IANA (Internet Assigned Numbers Authority) est le département de l'ICANN (Internet Corporation for Assigned Names and Numbers) chargé de gérer les registres des paramètres de protocole, des noms de domaine, des adresses IP et des numéros de systèmes autonomes. L'IANA gère la zone racine du DNS (Domain Name System) et les TLD (Top Level Domains comme .com, .org, .edu, etc.) et les bureaux d'enregistrement sont chargés de travailler avec le Registre Internet et l'IANA pour enregistrer les sous-domaines individuels au sein des domaines de premier niveau.
Les détails de la procédure d'enregistrement et les définitions sont disponibles sur le site de l'IANA (iana.org). Vous trouverez des détails supplémentaires à l'adresse suivante : https://whois.icann.org/en/domain-name-registration-process Ce site contient la déclaration suivante :
"Dans certains cas, une personne ou une organisation qui ne souhaite pas que ses informations figurent dans le WHOIS peut passer un contrat avec un prestataire de services mandataire pour enregistrer des noms de domaine en son nom. Dans ce cas, le prestataire de services est le titulaire du nom de domaine, et non le client final".
Cela signifie que les fournisseurs de services et les clients finaux sont libres d'enregistrer un domaine une fois et de le réutiliser, de le réaffecter ou de le vendre sans modifier la date d'enregistrement ou toute autre information relative à l'enregistrement. Les bureaux d'enregistrement peuvent vendre les adresses aux enchères, ce qu'ils font, créant ainsi un vaste marché pour les "squatteurs" et les "trolls" de domaines. Un pirate peut acheter à peu de frais un domaine établi d'une entreprise disparue ou enregistrer un tout nouveau domaine légitime et le laisser inutilisé pendant des semaines, des mois ou des années. Par exemple, à l'heure où nous écrivons ces lignes, airnigeria.com est en vente sur godaddy.com pour seulement 65 USD. Le domaine airnigeria.com a été enregistré à l'origine en 2003. L'IANA et les bureaux d'enregistrement n'ont aucune responsabilité ni aucun contrôle sur l'utilisation des domaines.
Déterminer l'âge du domaine
L'âge du domaine est déterminé à partir de l'enregistrement du domaine dans le registre Internet géré par l'opérateur du registre pour un TLD. En fin de compte, le bureau d'enregistrement est responsable de l'établissement de l'enregistrement d'un domaine et de la mise à jour des données y afférentes. L'enregistrement dans le registre a une date de création initiale, mais cette date ne change pas, sauf si l'enregistrement d'un domaine spécifique expire et que le nom de domaine est réenregistré. Pour cette raison, l'âge d'un domaine est une mesure extrêmement imprécise de la date à laquelle une destination individuelle est devenue active.
Et que se passe-t-il si seule l'adresse IP de destination est connue au moment de la décision de filtrage ? Cela pourrait être le cas pour le filtrage du premier paquet envoyé à une destination spécifique (TCP SYN ou premier paquet UDP d'un autre protocole de réseau ou de transport). Une façon d'obtenir le domaine de la destination serait une recherche DNS inversée, mais le domaine de l'hôte peut ne pas correspondre au domaine qui a été soumis à l'origine pour la résolution, alors quelle est la valeur de l'âge du domaine ?
Par exemple, www.skyhighsecurity.com peut actuellement se résoudre à 34.111.16.149 qui se résout inversement à 149.16.111.34.bc.googleusercontent.com. Alors que le domaine skyhighsecurity.com a été enregistré le 2018-12-14, googleusercontent.com a été enregistré le 2010-09-14. Il s'agit dans les deux cas de domaines établis de longue date. Bien que cette destination se trouve dans le domaine bien établi skyhighsecurity.com et qu'elle soit hébergée sur le domaine bien établi googlecontent.com, cela ne fournit aucune indication sur la date à laquelle la destination www.skyhighsecurity.com, ou 34.111.16.149, est devenue active, ni sur le risque de communiquer avec cette adresse IP. L'âge du domaine devient encore moins utile lorsque nous considérons les destinations hébergées dans le nuage public (IaaS et SaaS) en utilisant les domaines des fournisseurs.
L'obtention d'un domaine erroné et donc d'un âge de domaine erroné à partir d'une recherche inversée pourrait être quelque peu atténuée en suivant les requêtes DNS du client et en essayant de faire correspondre ces domaines à l'adresse IP de destination demandée. Toutefois, pour ce faire, il faudrait également avoir une visibilité totale de toutes les requêtes DNS du client, et cela suppose que l'adresse IP de destination a été déterminée à l'aide du DNS standard ou par le système fournissant le filtrage de l'âge du domaine.
Difficultés liées à l'utilisation de l'âge du domaine comme critère de filtrage générique
Même si le domaine correct pour la transmission peut être établi, et que l'âge du domaine peut être récupéré avec précision, il y a encore des problèmes à prendre en compte.
Les bureaux d'enregistrement sont libres de maintenir, de modifier et de réattribuer des domaines établis à n'importe quel client, et les revendeurs peuvent faire de même. Cela réduit considérablement l'utilité de l'âge du domaine en tant que paramètre de filtrage autonome, car un acteur malveillant peut facilement acquérir un domaine existant bien établi avec une réputation neutre ou même positive. Un acteur malveillant peut également enregistrer un nouveau domaine bien avant qu'il ne soit utilisé comme domaine de commande et de contrôle ou d'attaque.
Des sites légitimes et parfaitement sûrs sont constamment enregistrés et établis, dans de nombreux cas, quelques jours, voire quelques heures après leur mise en service. Lorsque l'on utilise l'âge du domaine comme critère de filtrage, il y aura toujours un compromis entre des taux élevés de faux positifs et de faux négatifs.
Il convient également de noter que l'âge du domaine n'a que peu de valeur par rapport à la date de création d'un enregistrement de nom d'hôte individuel au sein d'un domaine. Les domaines établis peuvent avoir un nombre presque infini de sous-domaines et d'hôtes individuels à l'intérieur de ces domaines, et il n'y a aucun moyen de déterminer avec précision l'âge du nom d'hôte ou même la date à laquelle le nom a été associé à une IP active. Tout ce qu'il est possible de déterminer, c'est que le nom d'hôte de destination fait partie d'un domaine qui a été enregistré à une date antérieure.
En définitive, l'âge du domaine est loin d'être suffisamment granulaire ou substantiel pour constituer à lui seul une décision de filtrage utile. Toutefois, l'âge du domaine pourrait offrir une valeur de sécurité limitée en l'absence totale de critères plus spécifiques, à condition que le taux de faux positifs et le taux de faux négatifs associés au seuil de récurrence sélectionné puissent être tolérés. L'âge du domaine peut apporter une valeur supplémentaire lorsqu'il est associé à d'autres critères de filtrage plus définitifs, par exemple le protocole, le type de contenu, la catégorie d'hôte, la réputation de l'hôte, l'hôte vu pour la première fois, la fréquence d'accès à l'hôte, les attributs du service web, et d'autres encore.
L'âge du domaine dans le contexte du filtrage HTTP/S et du filtrage par proxy
Des critères plus spécifiques sont toujours disponibles lorsque le protocole HTTP est utilisé. Le filtrage HTTP et HTTPS est le plus efficace via un proxy explicite ou transparent. Si le protocole est respecté (par l'appareil ou le service), les informations ne peuvent pas être transférées et une compromission ou une attaque ne peut pas être initiée avant l'établissement de la connexion TCP.
Étant donné que le trafic est transmis par proxy et que le protocole HTTPS peut être décrypté, des noms de domaine entièrement qualifiés (FQDN) précis pour l'hôte, le chemin d'accès à l'URL et les paramètres de l'URL peuvent être identifiés et vérifiés par le proxy afin d'être utilisés dans les décisions de filtrage. La possibilité de consulter des informations sur le FQDN, le chemin d'accès complet à l'URL et les paramètres de l'URL fournit des informations beaucoup plus précieuses sur l'historique, le niveau de risque et l'utilisation du site, de la destination et du service spécifiques, indépendamment du domaine ou de la date d'enregistrement du domaine.
Les principaux fournisseurs de proxy web de l'industrie maintiennent des bases de données étendues et complètes des sites, domaines, applications, services et URL les plus fréquemment utilisés. Les bases de données Global Threat Intelligence et Cloud Registry utilisées par Skyhigh Security associent les sites, les domaines et les URL à la géolocalisation, à la catégorie, au service, aux attributs du service, aux applications, à la réputation des risques liés aux données, à la réputation des menaces et à bien d'autres choses encore. Par ailleurs, l'absence d'entrée dans les bases de données pour un hôte, un domaine, un service ou une URL spécifique est une indication extrêmement forte, et beaucoup plus précise, que le site est nouvellement établi ou peu utilisé et ne doit donc pas être intrinsèquement digne de confiance. Ces sites doivent être traités avec prudence et bloqués, coachés ou isolés (ces deux dernières options ne sont disponibles qu'avec le protocole HTTP/S) sur la base de ces critères, indépendamment de l'âge du domaine.
Skyhigh Security Secure Service Edge (SSE) offre toutes les fonctionnalités susmentionnées et inclut remote browser isolation (RBI) pour les sites non classés, non vérifiés et autrement risqués. Cela permet d'éliminer virtuellement les risques liés à l'accès des navigateurs ou d'autres applications à des sites non classés, sans ajouter les complications liées aux faux positifs et aux faux négatifs d'un filtre d'âge de domaine.
Lorsque vous utilisez HTTP/S, l'âge du nom d'hôte, ou même la date du premier et/ou du dernier nom d'hôte vu, peuvent apporter une valeur supplémentaire, mais l'âge du domaine est pratiquement inutile lorsque le FQDN et des informations plus spécifiques sur le site ou le service sont disponibles. La meilleure pratique consiste à bloquer, isoler ou, au minimum, encadrer les sites et services non vérifiés sans tenir compte de l'âge du domaine. Autoriser des sites ou des services non vérifiés sur la base de l'âge du domaine ajoute un risque important de faux négatifs (sites et services à risque autorisés simplement parce que le domaine n'a pas été enregistré récemment). Le blocage général de sites et de services sur la seule base de l'âge du domaine conduirait à un blocage excessif de sites qui ont acquis une bonne réputation et qui ne devraient pas être bloqués.
Conclusion
L'âge du domaine peut être quelque peu utile pour compléter les décisions de filtrage dans les situations où aucune autre information plus précise et plus spécifique n'est disponible sur la destination d'un paquet de réseau. Lorsque l'on envisage d'utiliser l'âge du domaine pour le filtrage HTTP/S, il s'agit d'un très mauvais substitut à une base de données de services et de renseignements sur les menaces plus complète. Si l'on décide de s'écarter des meilleures pratiques et d'autoriser les connexions HTTP/S à des sites non vérifiés, sans isolement, l'âge du domaine peut apporter une valeur ajoutée limitée en bloquant les sites non vérifiés qui se trouvent dans des domaines nouvellement enregistrés. Il en résulte un faux sentiment de sécurité et un risque beaucoup plus élevé de faux négatifs par rapport à la meilleure pratique qui consiste à utiliser des renseignements complets sur les menaces web, à effectuer une analyse approfondie des requêtes et des réponses et à simplement bloquer, isoler ou encadrer les sites non vérifiés.
Pour plus d'informations sur les solutions holistiques et efficaces de Skyhigh Securitypour la protection des systèmes et des données, veuillez consulter notre page d'accueil Security Service Edge .
Retour à Blogs