Edad del dominio como criterio de filtro de World-wide-web


El uso de la «edad del dominio» es una característica que promueven varios proveedores de firewall y seguridad website como un método para proteger a los usuarios y sistemas contra el acceso a destinos de Web maliciosos. El concepto es utilizar la edad del dominio como un parámetro de filtrado de tráfico genérico. La thought es que los hosts asociados con dominios recién registrados deberían bloquearse por completo, aislarse o tratarse con mucha sospecha. Este website describirá qué es la antigüedad del dominio, cómo se crean y registran los dominios, el valor de la antigüedad del dominio y cómo la edad del dominio se puede utilizar de manera más eficaz como complemento de otras herramientas de seguridad web.

Definición de la característica de antigüedad del dominio

Los sitios y dominios de World wide web cambian y evolucionan constantemente. En el primer trimestre de 2020 se registraron una media de más de 40.000 dominios por día. Si se conoce el dominio de un host de destino, ese dominio tiene una fecha de registro disponible para la búsqueda de varias fuentes. La antigüedad del dominio es un cálculo very simple del tiempo entre el registro inicial del dominio y la fecha precise.

Una función de antigüedad del dominio está diseñada para su uso en el control de políticas, donde un administrador puede establecer una edad mínima de dominio que debería ser necesaria para permitir el acceso a un destino de Net determinado. La plan es que, dado que los dominios son tan fáciles y baratos de establecer, los nuevos dominios deben tratarse con mucho cuidado, si no bloquearse por completo. Desafortunadamente, con la mayoría de los protocolos e implementaciones, la selección de la política de antigüedad del dominio es una decisión binaria para permitir o bloquear. Esto no es muy útil cuando los destinos finales son hosts, subdominios y direcciones de destino que se pueden activar, cambiar y desactivar rápidamente sin cambiar la antigüedad del dominio. Como resultado, las decisiones de seguridad binaria basadas únicamente en el nombre de dominio o la antigüedad del dominio naturalmente resultarán en falsos positivos y falsos negativos que son perjudiciales para la seguridad, la experiencia del usuario y la productividad.

Registro de Dominio

IANA (Autoridad de Números Asignados de Online) es el departamento de ICANN (Corporación de World wide web para Nombres y Números Asignados) responsable de administrar los registros de parámetros de protocolo, nombres de dominio, direcciones IP y Números de sistemas autónomos.

IANA administra la zona raíz del DNS y los TLD (dominios de nivel top-quality como .com, .org, .edu, etcetera.) y los registradores son responsables de trabajar con el Registro de Web y la IANA para registrar subdominios individuales dentro de los dominios de nivel remarkable.

Los detalles del proceso de registro y las definiciones se pueden encontrar en el sitio de IANA (iana.org). Puede encontrar detalles adicionales aquí: https://whois.icann.org/en/area-title-registration-system Esta ubicación incluye la siguiente declaración:

“En algunos casos, una persona u organización que no desee que su información aparezca en WHOIS puede contratar a un proveedor de servicios proxy para registrar nombres de dominio en su nombre. En este caso, el proveedor de servicios es el registrante del nombre de dominio, no el cliente ultimate «.

Esto significa que los proveedores de servicios y los clientes finales tienen la libertad de registrar un dominio una vez y reutilizar, reasignar o vender ese dominio sin cambiar la fecha de registro o cambiar cualquier otra información de registro. Los registradores pueden subastar direcciones, lo que crea un vasto mercado para los «invasores y trolls» de dominios. Un atacante puede comprar barato un dominio establecido de una empresa desaparecida o registrar un dominio que suene legítimo completamente nuevo y dejarlo sin usar durante semanas, meses o años. Por ejemplo, al momento de escribir estas líneas, airnigeria.com está a la venta en godaddy.com por solo $ 65 USD. El dominio airnigeria.com se registró originalmente en 2003. IANA y los registradores no tienen responsabilidad ni management sobre el uso de dominios.

Determinación de la edad del dominio

La antigüedad del dominio se determina a partir del registro de dominio en el Registro de World-wide-web administrado por el operador de registro para un TLD (dominio de nivel remarkable). En última instancia, el registrador es responsable de establecer un registro de dominio y actualizar los datos relacionados. El registro en el registro tendrá una fecha de creación first, pero esa fecha no cambia a menos que el registro de un dominio específico expire y el nombre de dominio se vuelva a registrar. Debido a esto, la edad del dominio es una medida extremadamente inexacta de cuándo se activó un destino specific.

¿Y si solo se conoce la dirección IP de destino en el momento de la decisión de filtrado? Este podría ser el caso de filtrar el primer paquete enviado a un destino específico (TCP SYN o primer paquete UDP de alguna otra red o protocolo de nivel de transporte). Una forma de obtener el dominio para el destino sería una búsqueda de DNS inversa, pero es posible que el dominio del host no coincida con el dominio que se envió originalmente para su resolución, entonces, ¿qué valor tiene la antigüedad del dominio allí?

Por ejemplo, www.mcafee.com actualmente se puede resolver en 172.224.15.98, que a la inversa se resuelve en a172-224-15-98.deploy.static.akamaitechnologies.com. Mientras que el dominio mcafee.com se registró el 1992-08-05, akamaitechnologies.com se registró el 1998-08-18. Ambos son dominios establecidos desde hace mucho tiempo, pero solo porque este destino, en el dominio mcafee.com bien establecido, está alojado en el dominio akamaitechnologies.com bien establecido, esto no proporciona ninguna indicación de cuándo www.mcafee.com, o 172.224.15.98 se activó el destino, o el riesgo de comunicarse con esa dirección IP. La antigüedad del dominio se vuelve aún menos útil cuando consideramos los destinos alojados en la nube pública (IaaS y SaaS) que utilizan los dominios de los proveedores.

Obtener el dominio incorrecto y, por lo tanto, la antigüedad del dominio incorrecto a partir de la búsqueda inversa podría mitigarse de alguna manera rastreando las consultas de DNS del cliente e intentando asignar esos dominios a la IP de destino solicitada. Sin embargo, hacer esto también dependería de tener una visibilidad completa de todas las solicitudes de DNS del cliente, y se supone que la dirección IP de destino se determinó utilizando DNS estándar o por el sistema que proporciona el filtrado de edad del dominio.

Desafíos con el uso de la antigüedad del dominio como un criterio de filtro genérico

Incluso si se puede establecer el dominio correcto para la transmisión y la antigüedad del dominio se puede recuperar con precisión, todavía hay cuestiones que deben considerarse.

Los registradores son libres de mantener, cambiar y reasignar dominios establecidos a cualquier cliente, y los revendedores pueden hacer lo mismo. Esto disminuye en gran medida la utilidad de la antigüedad del dominio como un parámetro de filtrado independiente porque un actor malintencionado puede adquirir fácilmente un dominio existente bien establecido con una reputación neutral o incluso positiva. Un actor malintencionado también puede registrar un nuevo dominio mucho antes de que se utilice como dominio de comando y handle o ataque.

Constantemente se registran y establecen sitios legítimos y perfectamente seguros, en muchos casos a los pocos días o incluso horas de su puesta en servicio. Cuando se utiliza la antigüedad del dominio como criterio de filtrado, siempre habrá una compensación entre las tasas de falsos positivos y falsos negativos.

También debe tenerse en cuenta que la antigüedad del dominio proporciona poco valor en relación con cuando se creó un registro de nombre de host personal dentro de un dominio. Los dominios bien establecidos pueden tener un número infinito de subdominios y hosts individuales dentro de esos dominios, y no hay forma de determinar con precisión la antigüedad del nombre de host o incluso cuando el nombre estaba asociado con una IP activa. Todo lo que podría determinarse es que el nombre de host de destino es parte de un dominio que se registró en una fecha anterior.

La conclusión es que la antigüedad del dominio no es lo suficientemente granular o sustancial como para tomar una decisión de filtrado útil por sí sola. Sin embargo, la antigüedad del dominio podría proporcionar un valor de seguridad limitado en ausencia full de criterios más específicos, siempre que se puedan tolerar la tasa de falsos positivos y la tasa de falsos negativos asociados con el umbral de actualidad seleccionado. La antigüedad del dominio puede proporcionar un valor adicional cuando se combina con otros criterios de filtro más definitivos, por ejemplo, protocolo, tipo de contenido, categoría de host, reputación del host, host visto por primera vez, frecuencia de acceso al host, atributos del servicio internet y otros.

Antigüedad del dominio en el contexto de HTTP / S y filtrado basado en proxy

Los criterios más específicos siempre están disponibles cuando se utiliza el protocolo HTTP. El filtrado HTTP y HTTPS se maneja de manera más efectiva a través de un proxy explícito o transparente. Si se sigue el protocolo (aplicado por el dispositivo o servicio), la información no se puede transferir y no se puede iniciar un compromiso o ataque hasta después del establecimiento de la conexión TCP.

Dado que el tráfico se está transfiriendo y HTTPS se puede descifrar, el proxy puede identificar y verificar el nombre de dominio completo (FQDN) exacto para el host, la ruta de la URL y los parámetros de la URL para utilizarlos en las decisiones de filtrado. La capacidad de buscar información en el FQDN, la ruta completa de la URL y los parámetros de la URL proporciona información mucho más valiosa en relación con el historial, el nivel de riesgo y el uso del sitio, el destino y el servicio específicos independientemente del dominio o la fecha de registro del dominio. Dichos datos contextuales se pueden mejorar aún más cuando el proxy asocia la solicitud con un servicio específico y sus atributos de seguridad de datos (como el tipo de servicio, propiedad de propiedad intelectual, historial de violaciones, etc.).

Los proveedores de proxy world-wide-web líderes en la industria mantienen bases de datos extensas y completas de los sitios, dominios, aplicaciones, servicios y URL que se utilizan con más frecuencia. Las bases de datos de McAfee Worldwide Menace Intelligence y Cloud Registry asocian sitios, dominios y URL con geolocalización, categoría, servicio, atributos de servicio, aplicaciones, reputación de riesgo de datos, reputación de amenazas y más. Como beneficio adicional, la falta de una entrada en las bases de datos para un host, dominio, servicio o URL específico es una indicación extremadamente fuerte y mucho más precisa de que el sitio se ha establecido recientemente o se utiliza poco y, por lo tanto, no debe ser de confianza inherente. . Dichos sitios deben tratarse con precaución y bloquearse, guiarse o aislarse (las dos últimas opciones están disponibles únicamente con HTTP / S proxy) basándose únicamente en ese criterio, independientemente de la antigüedad del dominio.

Unified Cloud Edge de McAfee proporciona todas las funciones anteriores e incluye aislamiento de navegador remoto (RBI) para sitios no categorizados, no verificados y de otro modo riesgosos. Esto virtualmente elimina los riesgos de que los navegadores u otras aplicaciones accedan a sitios no categorizados, sin agregar las complicaciones de falsos positivos y falsos negativos de un filtro de antigüedad de dominio.

Cuando se usa HTTP / S, la antigüedad del nombre de host o incluso la fecha de visualización del primer y / o último nombre de host podría proporcionar un valor adicional, pero la antigüedad del dominio es prácticamente inútil cuando el FQDN y la información más específica relacionada con el sitio o el servicio están disponibles. La mejor práctica es bloquear, aislar o, como mínimo, entrenar sitios y servicios no verificados sin tener en cuenta la antigüedad del dominio. Permitir sitios o servicios no verificados según la antigüedad del dominio agrega un riesgo significativo de falsos negativos (se permiten sitios y servicios de riesgo simplemente porque el dominio no se registró recientemente). El bloqueo genérico de sitios y servicios basado únicamente en la antigüedad del dominio daría lugar a un bloqueo excesivo de sitios que tienen buena reputación y no deberían bloquearse.

Conclusión

La antigüedad del dominio puede resultar algo útil para complementar las decisiones de filtrado en situaciones en las que no se dispone de otra información más precisa y específica sobre el destino de un paquete de purple. Al considerar el uso de la antigüedad del dominio para el filtrado HTTP / S, es un sustituto extremadamente pobre de una base de datos de servicios e inteligencia de amenazas más completa. Si se toma la decisión de desviarse de las mejores prácticas y permitir conexiones HTTP / S a sitios no verificados, sin aislamiento, la antigüedad del dominio puede proporcionar un valor complementario limitado al bloquear los sitios no verificados que se encuentran en dominios recién registrados. Esto se produce a expensas de una falsa sensación de seguridad y un riesgo mucho mayor de falsos negativos en comparación con la mejor práctica de usar inteligencia de amenazas world-wide-web integral, realizar análisis exhaustivos de solicitudes y respuestas y simplemente bloquear, aislar o asesorar a sitios no verificados.





Enlace a la noticia initial