अप्रिल 11, 2022
जेफ इबेलिंग द्वारा - CISSP, CCSP उन्नत प्रौद्योगिकी विशेषज्ञ, Skyhigh Security
"डोमेन आयु" का उपयोग विभिन्न फ़ायरवॉल और वेब सुरक्षा विक्रेताओं द्वारा उपयोगकर्ताओं और सिस्टम को दुर्भावनापूर्ण इंटरनेट गंतव्यों तक पहुँचने से बचाने के लिए एक विधि के रूप में प्रचारित किया जा रहा है। अवधारणा डोमेन आयु को एक सामान्य ट्रैफ़िक फ़िल्टरिंग पैरामीटर के रूप में उपयोग करना है। विचार यह है कि नए पंजीकृत डोमेन से जुड़े मेजबानों को या तो पूरी तरह से अवरुद्ध, अलग-थलग या उच्च संदेह के साथ इलाज किया जाना चाहिए। यह ब्लॉग वर्णन करेगा कि डोमेन आयु क्या है, डोमेन कैसे बनाए और पंजीकृत किए जाते हैं, डोमेन आयु मूल्य, और डोमेन आयु का उपयोग अन्य वेब सुरक्षा उपकरणों के पूरक के रूप में सबसे प्रभावी ढंग से कैसे किया जा सकता है।
डोमेन आयु सुविधा परिभाषा
इंटरनेट की साइटें और डोमेन लगातार बदल रहे हैं और विकसित हो रहे हैं। वेरीसाइन के अनुसार, 2021 की तीसरी तिमाही के माध्यम से, प्रति दिन औसतन 40,000 से अधिक नए .net और .com डोमेन पंजीकृत किए गए। https://www.verisign.com/en_US/domain-names/dnib/index.xhtml यदि लक्ष्य होस्ट का डोमेन ज्ञात है, तो डोमेन में विभिन्न स्रोतों से लुकअप के लिए पंजीकरण दिनांक उपलब्ध है। डोमेन आयु प्रारंभिक डोमेन पंजीकरण और वर्तमान तिथि के बीच के समय की एक सरल गणना है।
एक डोमेन आयु सुविधा नीति नियंत्रण में उपयोग के लिए डिज़ाइन की गई है, जहां एक व्यवस्थापक न्यूनतम डोमेन आयु निर्धारित कर सकता है जो किसी दिए गए इंटरनेट गंतव्य तक पहुंच की अनुमति देने के लिए आवश्यक होना चाहिए। विचार यह है कि चूंकि डोमेन स्थापित करना इतना आसान और सस्ता है, इसलिए नए डोमेन को बहुत सावधानी से व्यवहार किया जाना चाहिए, अगर एकमुश्त अवरुद्ध नहीं किया गया है। दुर्भाग्य से, अधिकांश प्रोटोकॉल और कार्यान्वयन के साथ, डोमेन आयु नीति चयन अनुमति देने या ब्लॉक करने के लिए एक द्विआधारी निर्णय है। यह बहुत उपयोगी नहीं है जब अंतिम गंतव्य होस्ट, उप डोमेन और गंतव्य पते होते हैं जिन्हें डोमेन युग को बदले बिना तेजी से सक्रिय, परिवर्तित और निष्क्रिय किया जा सकता है। नतीजतन, पूरी तरह से डोमेन नाम या डोमेन आयु पर आधारित बाइनरी सुरक्षा निर्णय स्वाभाविक रूप से झूठी सकारात्मक और झूठी नकारात्मक दोनों का परिणाम होगा जो सुरक्षा, उपयोगकर्ता अनुभव और उत्पादकता के लिए हानिकारक हैं।
डोमेन पंजीकरण
IANA (इंटरनेट असाइन्ड नंबर अथॉरिटी) ICANN (इंटरनेट कॉर्पोरेशन फॉर असाइन्ड नेम्स एंड नंबर्स) का विभाग है, जो प्रोटोकॉल पैरामीटर, डोमेन नाम, आईपी पते और स्वायत्त सिस्टम नंबरों की रजिस्ट्रियों के प्रबंधन के लिए जिम्मेदार है। IANA DNS (डोमेन नेम सिस्टम) रूट ज़ोन और TLD (शीर्ष स्तर के डोमेन जैसे .com, .org, .edu, आदि) का प्रबंधन करता है और रजिस्ट्रार इंटरनेट रजिस्ट्री और IANA के साथ काम करने के लिए जिम्मेदार हैं ताकि शीर्ष-स्तरीय डोमेन के भीतर अलग-अलग उप डोमेन पंजीकृत किए जा सकें।
पंजीकरण प्रक्रिया और परिभाषाओं का विवरण IANA साइट (iana.org) पर पाया जा सकता है। अतिरिक्त विवरण यहां पाया जा सकता है: https://whois.icann.org/en/domain-name-registration-process इस स्थान में निम्नलिखित कथन शामिल हैं:
कुछ मामलों में, कोई व्यक्ति या संगठन जो अपनी जानकारी को WHOIS में सूचीबद्ध नहीं करना चाहता है, वह अपनी ओर से डोमेन नाम पंजीकृत करने के लिए प्रॉक्सी सेवा प्रदाता के साथ अनुबंध कर सकता है। इस मामले में, सेवा प्रदाता डोमेन नाम पंजीकरणकर्ता है, अंतिम ग्राहक नहीं।
इसका मतलब यह है कि सेवा प्रदाता, और अंतिम ग्राहक एक बार एक डोमेन पंजीकृत करने और पंजीकरण तिथि बदलने या किसी अन्य पंजीकरण जानकारी को बदलने के बिना उस डोमेन का पुन: उपयोग, पुन: असाइन या बिक्री करने के लिए स्वतंत्र हैं। रजिस्ट्रार नीलामी पते कर सकते हैं और कर सकते हैं, डोमेन "स्क्वाटर्स और ट्रॉल्स" के लिए एक विशाल बाजार बना सकते हैं। एक हमलावर सस्ते में एक निष्क्रिय व्यवसाय का एक स्थापित डोमेन खरीद सकता है या एक पूरी तरह से नया वैध लगने वाला डोमेन पंजीकृत कर सकता है और इसे हफ्तों, महीनों या वर्षों तक अप्रयुक्त छोड़ सकता है। उदाहरण के लिए, इस लेखन के रूप में airnigeria.com केवल $ 65 अमरीकी डालर के लिए godaddy.com पर बिक्री के लिए तैयार है। डोमेन airnigeria.com मूल रूप से 2003 में पंजीकृत किया गया था। आईएएनए और रजिस्ट्रार के पास डोमेन के उपयोग पर कोई जिम्मेदारी या नियंत्रण नहीं है।
डोमेन आयु का निर्धारण
डोमेन आयु TLD के लिए रजिस्ट्री ऑपरेटर द्वारा प्रबंधित इंटरनेट रजिस्ट्री में डोमेन रिकॉर्ड से निर्धारित की जाती है। अंततः रजिस्ट्रार एक डोमेन पंजीकरण की स्थापना और संबंधित डेटा को अपडेट करने के लिए जिम्मेदार है। रजिस्ट्री में रिकॉर्ड का एक मूल निर्माण दिनांक होगा लेकिन वह दिनांक तब तक नहीं बदलता जब तक कि किसी विशिष्ट डोमेन के लिए पंजीकरण समाप्त नहीं हो जाता और डोमेन नाम पुनः पंजीकृत नहीं हो जाता. इस वजह से, डोमेन आयु एक अत्यंत गलत उपाय है जब कोई व्यक्तिगत गंतव्य सक्रिय हो गया।
और क्या होगा यदि फ़िल्टरिंग निर्णय के समय केवल गंतव्य आईपी पता ज्ञात हो? यह किसी विशिष्ट गंतव्य (TCP SYN या किसी अन्य नेटवर्क या ट्रांसपोर्ट लेवल प्रोटोकॉल का पहला UDP पैकेट) को भेजे गए पहले पैकेट को फ़िल्टर करने का मामला हो सकता है। गंतव्य के लिए डोमेन प्राप्त करने का एक तरीका रिवर्स डीएनएस लुकअप होगा, लेकिन होस्ट के लिए डोमेन उस डोमेन से मेल नहीं खा सकता है जो मूल रूप से रिज़ॉल्यूशन के लिए सबमिट किया गया था, इसलिए डोमेन आयु क्या है?
उदाहरण के लिए, www.skyhighsecurity.com वर्तमान में 34.111.16.149 को हल कर सकते हैं जो 149.16.111.34.bc.googleusercontent.com को रिवर्स हल करता है। जबकि skyhighsecurity.com डोमेन 2018-12-14 को पंजीकृत किया गया था, googleusercontent.com 2010-09-14 को पंजीकृत किया गया था। दोनों लंबे समय से स्थापित डोमेन हैं। हालांकि यह गंतव्य अच्छी तरह से स्थापित skyhighsecurity.com डोमेन में है, और अच्छी तरह से स्थापित googlecontent.com डोमेन पर होस्ट किया गया है, यह इस बात का कोई संकेत नहीं देता है कि www.skyhighsecurity.com, या 34.111.16.149 गंतव्य कब सक्रिय हो गया, या उस आईपी पते के साथ संचार करने का जोखिम। डोमेन आयु तब और भी कम उपयोगी हो जाती है जब हम प्रदाताओं के डोमेन का उपयोग करके सार्वजनिक क्लाउड (IaaS और SaaS) में होस्ट किए गए गंतव्यों पर विचार करते हैं।
गलत डोमेन प्राप्त करना और इसलिए रिवर्स लुकअप से गलत डोमेन आयु क्लाइंट के DNS प्रश्नों को ट्रैक करके और उन डोमेन को अनुरोधित गंतव्य आईपी पर वापस मैप करने का प्रयास करके कुछ हद तक कम किया जा सकता है। हालाँकि, ऐसा करना क्लाइंट से सभी DNS अनुरोधों में पूर्ण दृश्यता होने पर भी निर्भर करेगा, और मानता है कि गंतव्य IP पता मानक DNS का उपयोग करके या डोमेन आयु फ़िल्टरिंग प्रदान करने वाले सिस्टम द्वारा निर्धारित किया गया था।
एक सामान्य फ़िल्टर मानदंड के रूप में डोमेन आयु का उपयोग करने के साथ चुनौतियाँ
भले ही ट्रांसमिशन के लिए सही डोमेन स्थापित किया जा सकता है, और डोमेन आयु को सटीक रूप से पुनर्प्राप्त किया जा सकता है, फिर भी ऐसे मुद्दे हैं जिन पर विचार किया जाना चाहिए।
रजिस्ट्रार किसी भी ग्राहक को स्थापित डोमेन बनाए रखने, बदलने और पुनः असाइन करने के लिए स्वतंत्र हैं, और पुनर्विक्रेता भी ऐसा कर सकते हैं। यह एक स्टैंड-अलोन फ़िल्टरिंग पैरामीटर के रूप में डोमेन आयु की उपयोगिता को बहुत कम कर देता है क्योंकि एक दुर्भावनापूर्ण अभिनेता आसानी से एक तटस्थ या सकारात्मक प्रतिष्ठा के साथ एक मौजूदा अच्छी तरह से स्थापित डोमेन प्राप्त कर सकता है। एक दुर्भावनापूर्ण अभिनेता कमांड और नियंत्रण या हमले डोमेन के रूप में उपयोग में आने से बहुत पहले एक नया डोमेन भी पंजीकृत कर सकता है।
वैध और पूरी तरह से सुरक्षित साइटों को लगातार पंजीकृत किया जा रहा है और कई मामलों में दिनों या उपयोग में आने के घंटों के भीतर स्थापित किया जा रहा है। फ़िल्टर मानदंड के रूप में डोमेन आयु का उपयोग करते समय, हमेशा उच्च झूठी सकारात्मक और उच्च झूठी नकारात्मक दरों के बीच एक ट्रेडऑफ होगा।
यह भी ध्यान दिया जाना चाहिए कि डोमेन आयु उस समय के सापेक्ष बहुत कम मूल्य प्रदान करती है जब एक डोमेन के भीतर एक व्यक्तिगत होस्टनाम रिकॉर्ड बनाया गया था। स्थापित डोमेन में उन डोमेन के भीतर लगभग अनंत संख्या में उप-डोमेन और व्यक्तिगत होस्ट हो सकते हैं, और होस्टनाम की आयु को सटीक रूप से निर्धारित करने का कोई तरीका नहीं है या यहां तक कि जब नाम एक सक्रिय आईपी से जुड़ा था। संभवतः यह निर्धारित किया जा सकता है कि गंतव्य होस्टनाम एक डोमेन का हिस्सा है जो कुछ पहले की तारीख में पंजीकृत था।
लब्बोलुआब यह है कि डोमेन आयु लगभग दानेदार या पर्याप्त नहीं है जो अपने दम पर एक उपयोगी फ़िल्टरिंग निर्णय ले सके। हालांकि, डोमेन आयु अधिक विशिष्ट मानदंडों की पूर्ण अनुपस्थिति में कुछ सीमित सुरक्षा मूल्य प्रदान कर सकती है, बशर्ते कि चयनित पुनरावृत्ति सीमा से जुड़ी झूठी सकारात्मक दर और झूठी नकारात्मक दर को सहन किया जा सके। डोमेन आयु पूरक मूल्य प्रदान कर सकती है जब उदाहरण के लिए प्रोटोकॉल, सामग्री प्रकार, होस्ट श्रेणी, मेजबान प्रतिष्ठा, मेजबान पहली बार देखा गया, होस्ट एक्सेस की आवृत्ति, वेब सेवा विशेषताओं और अन्य के लिए अन्य निश्चित फ़िल्टर मानदंडों के साथ जोड़ा जाता है।
HTTP/S और प्रॉक्सी आधारित फ़िल्टरिंग के संदर्भ में डोमेन आयु
HTTP प्रोटोकॉल के उपयोग में होने पर अधिक विशिष्ट मापदंड हमेशा उपलब्ध होते हैं. HTTP और HTTPS फ़िल्टरिंग को स्पष्ट या पारदर्शी प्रॉक्सी के माध्यम से सबसे प्रभावी ढंग से नियंत्रित किया जाता है। यदि प्रोटोकॉल का पालन किया जाता है (डिवाइस या सेवा द्वारा प्रवर्तित), तो जानकारी स्थानांतरित नहीं की जा सकती है, और टीसीपी कनेक्शन स्थापना के बाद तक समझौता या हमला शुरू नहीं किया जा सकता है।
यह देखते हुए कि ट्रैफ़िक को प्रॉक्सी किया जा रहा है, और HTTPS को डिक्रिप्ट किया जा सकता है, होस्ट, URL पथ और URL पैरामीटर के लिए सटीक पूरी तरह से योग्य डोमेन नाम (FQDNs) को फ़िल्टरिंग निर्णयों में उपयोग के लिए प्रॉक्सी द्वारा पहचाना और सत्यापित किया जा सकता है। FQDN, पूर्ण URL पथ और URL पैरामीटर पर जानकारी देखने की क्षमता डोमेन या डोमेन के पंजीकरण की तारीख से स्वतंत्र विशिष्ट साइट, गंतव्य और सेवा के इतिहास, जोखिम स्तर और उपयोग के सापेक्ष बहुत अधिक मूल्यवान जानकारी प्रदान करती है इस तरह के प्रासंगिक डेटा को तब और बढ़ाया जा सकता है जब प्रॉक्सी अनुरोध को किसी विशिष्ट सेवा और उसकी डेटा सुरक्षा विशेषताओं (जैसे सेवा का प्रकार, बौद्धिक संपदा स्वामित्व, उल्लंघन इतिहास, आदि)।
उद्योग के अग्रणी वेब प्रॉक्सी विक्रेता सबसे अधिक उपयोग की जाने वाली साइटों, डोमेन, एप्लिकेशन, सेवाओं और URL के व्यापक और व्यापक डेटाबेस बनाए रखते हैं। ग्लोबल थ्रेट इंटेलिजेंस और क्लाउड रजिस्ट्री डेटाबेस द्वारा उपयोग किया जाता है Skyhigh Security संबद्ध साइटें, डोमेन, और URL जियोलोकेशन, श्रेणी, सेवा, सेवा विशेषताओं, एप्लिकेशन, डेटा जोखिम प्रतिष्ठा, खतरे की प्रतिष्ठा और बहुत कुछ के साथ। एक साइड बेनिफिट के रूप में, किसी विशिष्ट होस्ट, डोमेन, सेवा या यूआरएल के लिए डेटाबेस में प्रविष्टि की कमी एक अत्यंत मजबूत, और बहुत अधिक सटीक है, यह संकेत है कि साइट नव स्थापित है या बहुत कम उपयोग की जाती है और इसलिए इसे स्वाभाविक रूप से भरोसा नहीं किया जाना चाहिए। ऐसी साइटों को सावधानी के साथ व्यवहार किया जाना चाहिए और डोमेन आयु की परवाह किए बिना, उन मानदंडों के आधार पर अवरुद्ध या प्रशिक्षित या पृथक (बाद के दो विकल्प विशिष्ट रूप से प्रॉक्सी HTTP /
Skyhigh Security सिक्योर सर्विस एज (SSE) उपरोक्त सभी कार्यक्षमता प्रदान करता है और इसमें शामिल हैं remote browser isolation (आरबीआई) अवर्गीकृत, असत्यापित और अन्यथा जोखिम भरी साइटों के लिए। यह वस्तुतः डोमेन आयु फ़िल्टर से झूठी सकारात्मकता और झूठी नकारात्मक की जटिलताओं को जोड़े बिना, ब्राउज़रों या अन्य अनुप्रयोगों के अवर्गीकृत साइटों तक पहुंचने के जोखिम को समाप्त करता है।
HTTP/S का उपयोग करते समय, होस्टनाम आयु, या यहां तक कि पहली और/या अंतिम होस्टनाम देखी गई तिथि अतिरिक्त मूल्य प्रदान कर सकती है, लेकिन FQDN और अधिक विशिष्ट साइट या सेवा से संबंधित जानकारी उपलब्ध होने पर डोमेन आयु बहुत बेकार है। डोमेन आयु की परवाह किए बिना असत्यापित साइटों और सेवाओं को ब्लॉक करना, अलग करना या कम से कम कोच करना सबसे अच्छा अभ्यास है। डोमेन आयु के आधार पर असत्यापित साइटों या सेवाओं को अनुमति देने से झूठी नकारात्मक घटनाओं का महत्वपूर्ण जोखिम बढ़ जाता है (जोखिम भरी साइटों और सेवाओं को केवल इसलिए अनुमति दी जा रही है क्योंकि डोमेन हाल ही में पंजीकृत नहीं था)। अकेले डोमेन युग के आधार पर साइटों और सेवाओं को सामान्य रूप से अवरुद्ध करने से उन साइटों को ओवर-ब्लॉकिंग किया जाएगा जिन्होंने अच्छी प्रतिष्ठा स्थापित की है और उन्हें अवरुद्ध नहीं किया जाना चाहिए।
समाप्ति
डोमेन आयु उन स्थितियों में फ़िल्टर निर्णयों के पूरक के लिए कुछ हद तक उपयोगी हो सकती है जहां नेटवर्क पैकेट के गंतव्य के बारे में कोई अन्य अधिक सटीक और विशिष्ट जानकारी उपलब्ध नहीं है। Http/S फ़िल्टरिंग के लिए डोमेन आयु के उपयोग पर विचार करते समय, यह अधिक व्यापक खतरे की खुफिया जानकारी और सेवा डेटाबेस के लिए एक अत्यंत खराब विकल्प है। यदि निर्णय सर्वोत्तम अभ्यास से विचलित होने और अलगाव के बिना असत्यापित साइटों के लिए HTTP / S कनेक्शन की अनुमति देने के लिए किया जाता है, तो डोमेन आयु नए पंजीकृत डोमेन में असत्यापित साइटों को अवरुद्ध करके सीमित पूरक मूल्य प्रदान कर सकती है। यह सुरक्षा की झूठी भावना की कीमत पर आता है और व्यापक वेब खतरे की खुफिया जानकारी का उपयोग करने, पूरी तरह से अनुरोध और प्रतिक्रिया विश्लेषण करने, और बस असत्यापित साइटों को अवरुद्ध करने, अलग करने या कोचिंग करने के सर्वोत्तम अभ्यास की तुलना में झूठी नकारात्मक के बहुत अधिक जोखिम की कीमत पर आता है।
अधिक जानकारी के लिए Skyhigh Securityसिस्टम और डेटा सुरक्षा के लिए समग्र और प्रभावी समाधान, कृपया हमारे Security Service Edge लैंडिंग पृष्ठ।
ब्लॉग पर वापस जाएं