Iworld.com.vn gửi tới độc giả thông tin về tuổi tên miền dưới dạng Internet Filter Criteria
Sử dụng “tuổi tên miền” là một tính năng đang được quảng bá bởi các nhà cung cấp tường lửa và bảo mật web khác nhau như một phương pháp để bảo vệ người dùng và hệ thống khỏi việc truy cập các đích Internet độc hại. Khái niệm này là sử dụng tuổi tên miền làm tham số lọc lưu lượng truy cập chung. Tư duy là các máy chủ liên quan đến các tên miền mới đăng ký nên bị chặn hoàn toàn, cô lập hoặc được khắc phục với sự nghi ngờ cao. Blog này sẽ mô tả tuổi tên miền là gì, tên miền được tạo và đăng ký như thế nào, giá trị tuổi tên miền và cách tuổi tên miền có thể được sử dụng hiệu quả nhất như một lời khen cho các công cụ bảo mật web khác.
Định nghĩa tính năng “Tuổi tên miền”
Các địa chỉ web và tên miền của Internet không ngừng thay đổi và phát triển. Trong quý đầu tiên của năm 2020, trung bình hơn 40.000 tên miền đã được đăng ký mỗi ngày. Nếu tên miền của máy chủ đích được biết rằng tên miền có ngày đăng ký có sẵn để tra cứu từ nhiều nguồn khác nhau. Tuổi tên miền là một phép tính đơn giản về thời gian giữa đăng ký tên miền ban đầu và ngày hiện tại.
Tính năng tuổi tên miền được thiết kế để sử dụng trong việc kiểm soát chính sách, trong đó quản trị viên có thể đặt tuổi tên miền tối thiểu cần thiết để cho phép truy cập vào một đích Internet nhất định. Lý tưởng là vì các tên miền rất dễ dàng và rẻ để thiết lập, các tên miền mới nên được xử lý một cách cẩn thận, nếu không sẽ bị chặn hoàn toàn. Thật không may, với hầu hết các giao thức và khai triển, lựa chọn chính sách tuổi tên miền là một quyết định nhị phân để cho phép hoặc chặn. Điều này không hữu ích lắm khi các đích đến cuối cùng là máy chủ, tên miền phụ và địa chỉ đích có thể được kích hoạt, thay đổi, và hủy kích hoạt nhanh chóng mà không bao giờ thay đổi tuổi tên miền.Do đó, các quyết định bảo mật nhị phân chỉ dựa trên tên miền hoặc tuổi miền đương nhiên sẽ dẫn đến cả lỗi sai xác thực và lỗi sai chưa xác thực gây bất lợi cho bảo mật, trải nghiệm người dùng và năng suất.
Đăng ký tên miền
IANA (Internet Assigned Numbers Authority) là một bộ phận của ICANN ((Internet Corporation for Assigned Names and Numbers) chịu trách nhiệm quản lý các cơ quan đăng ký, tham số giao thức, tên miền, địa chỉ IP và số hệ thống tự trị.
IANA quản lý vùng gốc DNS và TLD (Tên miền cấp cao nhất như .com, .org, .edu, v.v.) và các nhà đăng ký có trách nhiệm làm việc với Internet Registry và IANA để đăng ký các tên miền phụ riêng lẻ trong các tên miền cấp cao nhất.
Chi tiết về quá trình đăng ký và định nghĩa có thể được tìm thấy trên trang web IANA (iana.org). Chi tiết bổ sung có thể được tìm thấy ở đây: https://whois.icann.org/en/domain-name-registration-process Vị trí này bao gồm câu lệnh sau:
“Trong một số trường hợp, một cá nhân hoặc tổ chức không muốn thông tin của họ được liệt kê trong WHOIS có thể ký hợp đồng với nhà cung cấp dịch vụ proxy để đăng ký tên miền thay mặt cho họ. Trong trường hợp này, nhà cung cấp dịch vụ là người đăng ký tên miền, không phải khách hàng cuối cùng.”
Điều này có nghĩa là các nhà cung cấp dịch vụ và khách hàng cuối có thể tự do đăng ký miền một lần và tái sử dụng, gán lại hoặc bán tên miền đó mà không thay đổi ngày đăng ký hoặc thay đổi bất kỳ thông tin đăng ký nào khác. Các nhà đăng ký tên miền có thể và thực hiện các địa chỉ đấu giá tạo ra một thị trường rộng lớn cho tên miền “squatters và trolls”. Kẻ tấn công có thể mua một tên miền được thiết lập của một doanh nghiệp không còn tồn tại hoặc đăng ký một tên miền mới nghe có vẻ hợp pháp hoàn toàn và để nó không được sử dụng trong nhiều tuần, vài tháng hoặc nhiều năm. Ví dụ: tính đến thời điểm viết bài airnigeria.com được bán trên các godaddy.com chỉ với 65 USD. Tên miền được airnigeria.com đăng ký lần đầu tiên vào năm 2003. IANA và các nhà đăng ký tên miền không có trách nhiệm hoặc kiểm soát việc sử dụng tên miền.
Xác định “Tuổi tên miền”
Tuổi tên miền được xác định từ bản ghi miền trong Sổ đăng ký Internet được quản lý bởi nhà điều hành đăng ký cho một TLD (tên miền cấp cao nhất). Cuối cùng, nhà đăng ký chịu trách nhiệm thiết lập đăng ký tên miền và cập nhật dữ liệu liên quan. Bản ghi trong sổ đăng ký sẽ có ngày tạo ban đầu nhưng ngày đó không thay đổi trừ khi đăng ký cho một tên miền cụ thể hết hạn và tên miền được đăng ký lại. Bởi vì điều này mà tuổi tên miền là một thước đo cực kỳ không chính xác khi một điểm đến cá nhân tiến hành hoạt động.
Và điều gì sẽ xảy ra nếu chỉ có địa chỉ IP được biết tại thời điểm quyết định lọc? Đây có thể là trường hợp để lọc gói đầu tiên được gửi đến một đích cụ thể (TCP SYN hoặc gói UDP đầu tiên của một số giao thức mạng hoặc mức truyền tải khác). Một cách để lấy tên miền cho đích sẽ là tra cứu DNS ngược, nhưng tên miền cho máy chủ có thể không khớp với tên miền ban đầu được gửi để giải quyết, vậy tuổi tên miền có giá trị như thế nào?
Ví dụ: www.mcafee.com hiện có thể giải quyết 172.224.15.98 rằng nó đảo ngược giải quyết để a172-224-15-98.deploy.static.akamaitechnologies.com. Trong khi tên miền mcafee.com được đăng ký vào ngày 5 tháng 8 năm 1992, akamaitechnologies.com đã được đăng ký vào ngày 18 tháng 8 năm 1998. Cả hai đều là các tên miền được thiết lập từ lâu, nhưng chỉ vì đích đến này, trong tên miền mcafee.com tồn tại trong một thời gian dài, được lưu trữ trên tên miền akamaitechnologies.com cũng tồn tại trong một thời gian dài, điều này không cung cấp bất kỳ dấu hiệu nào về thời điểm đích www.mcafee.com hoặc 172.224.15.98 hoạt động hoặc nguy cơ giao tiếp với địa chỉ IP đó. Tuổi tên miền thậm chí còn trở nên ít hữu ích hơn khi chúng tôi xem xét các đích được lưu trữ trên điện toán đám mây công cộng (IaaS và SaaS) bằng cách sử dụng tên miền của nhà cung cấp.
Có tên miền sai và do đó tuổi tên miền sai từ tra cứu ngược có thể được giảm thiểu phần nào bằng cách theo dõi các truy vấn DNS của máy khách và cố gắng ánh xạ các tên miền đó trở lại IP đích được yêu cầu. Tuy nhiên, làm điều này cũng sẽ phụ thuộc vào việc có khả năng hiển thị đầy đủ về tất cả các yêu cầu DNS từ máy khách và giả định rằng địa chỉ IP đích được xác định bằng DNS tiêu chuẩn hoặc bởi hệ thống cung cấp lọc tuổi tên miền.
Những thách thức với việc sử dụng “tuổi tên miền” làm tiêu chí lọc chung (Generic Filter Criteria)
Ngay cả khi tên miền chính xác để truyền có thể được thiết lập và tuổi tên miền có thể được truy xuất chính xác, vẫn có những vấn đề cần được xem xét.
Nhà đăng ký tên miền được tự do duy trì, thay đổi, và gán lại các tên miền đã thiết lập cho bất kỳ khách hàng nào và các đại lý cũng có thể làm như vậy. Điều này làm giảm đáng kể tính hữu dụng của tuổi tên miền như một tham số lọc độc lập vì kẻ tấn công độc hại có thể dễ dàng có được một miền đã tồn tại trong một thời gian dài hiện có với danh tiếng ở mức trung lập hoặc hoặc thậm chí là tích cực. Một tác nhân độc hại cũng có thể đăng ký một tên miền mới rất lâu trước khi nó được đưa vào sử dụng như một tên miền chỉ huy và kiểm soát hoặc tấn công.
Các trang web hợp pháp và hoàn toàn an toàn liên tục được đăng ký và thiết lập đối với nhiều trường hợp trong vòng vài ngày hoặc thậm chí vài giờ sau khi được đưa vào sử dụng. Khi sử dụng tuổi tên miền làm tiêu chí bộ lọc sẽ luôn có sự đánh đổi giữa tỷ lệ lỗi sai xác thực và lỗi sai chưa xác thực.
Cũng cần chú ý rằng tuổi tên miền cung cấp ít giá trị hơn so với bản ghi hostname độc lập được tạo trong một tên miền. Các tên miền đã tồn tại trong một thời gian dài có thể có vô số tên miền phụ và máy chủ độc lập trong các tên miền đó và không có cách nào để xác định chính xác tuổi của hostname máy chủ đó, hoặc ngay cả khi tên được liên kết với IP đang hoạt động. Tất cả những gì có thể được xác định là tên máy chủ đích rằng chính là một phần của tên miền đã được đăng ký vào một vài ngày trước đó.
Điểm mấu chốt là tuổi tên miền gần như không đủ chi tiết hoặc khách quan để tự mình đưa ra quyết định lọc hữu ích. Tuy nhiên, tuổi tên miền có thể cung cấp một số giá trị bảo mật nhất định trong trường hợp hoàn toàn không có các tiêu chí cụ thể hơn, miễn là tỷ lệ lỗi sai xác thực và lỗi sai chưa xác thực liên quan đến ngưỡng tính chất mới xảy ra đã chọn lọc có thể được cho phép. Tuổi tên miền có thể cung cấp giá trị bổ sung khi kết hợp với các tiêu chí lọc dứt khoát khác, ví dụ như giao thức, loại nội dung, danh mục máy chủ, danh tiếng máy chủ, máy chủ được nhìn thấy lần đầu tiên, tần suất truy cập máy chủ, thuộc tính dịch vụ web, và các tiêu chí khác.
“Tuổi tên miền” trong ngữ cảnh lọc dựa trên HTTP/S và Proxy Based Filtering
Các tiêu chí cụ thể hơn luôn có sẵn khi giao thức HTTP được sử dụng. Lọc HTTP và HTTPS được xử lý hiệu quả nhất thông qua máy chủ proxy rõ ràng hoặc minh bạch. Nếu giao thức được tuân theo (được thực thi bởi thiết bị hoặc dịch vụ), thông tin không thể được chuyển và không thể bắt đầu thỏa hiệp hoặc tấn công cho đến khi đã thiết lập kết nối TCP.
Với việc lưu lượng truy cập đang được cho phép, và HTTPS có thể được giải mã, tên miền đủ điều kiện đầy đủ chính xác (FQDNs) cho máy chủ, đường dẫn URL và thông số URL có thể được xác định và xác minh bởi máy chủ proxy để sử dụng trong các quyết định lọc. Khả năng tra cứu thông tin trên FQDN, đường dẫn URL đầy đủ và thông số URL cung cấp thông tin có giá trị hơn nhiều so với lịch sử, mức độ rủi ro và việc sử dụng trang web, đích và dịch vụ cụ thể độc lập với tên miền hoặc ngày đăng ký của tên miền Dữ liệu theo ngữ cảnh đó có thể được tăng cường hơn nữa khi máy chủ proxy liên kết yêu cầu với một dịch vụ cụ thể và các thuộc tính bảo mật dữ liệu của nó (chẳng hạn như loại dịch vụ , sở hữu trí tuệ, lịch sử vi phạm, v.v.).
Các nhà cung cấp proxy web hàng đầu trong ngành duy trì cơ sở dữ liệu rộng lớn và toàn diện của các trang web, tên miền, ứng dụng, dịch vụ, và URL được sử dụng thường xuyên nhất. Cơ sở dữ liệu McAfee Global Threat Intelligence và Cloud Registry liên kết các trang web, tên miền và URL với vị trí địa lý, danh mục, dịch vụ, thuộc tính dịch vụ, ứng dụng, danh tiếng rủi ro dữ liệu, danh tính mối đe dọa và hơn thế nữa. Như một lợi ích phụ, việc thiếu một mục nhập trong cơ sở dữ liệu cho một máy chủ, tên miền, dịch vụ, hoặc URL cụ thể là một dấu hiệu cực kỳ mạnh mẽ và chính xác hơn nhiều, cho thấy trang web mới được thiết lập hoặc ít được sử dụng và do đó không đáng tin cậy. Các trang web như vậy nên được xử lý thận trọng và bị chặn hoặc bị cảnh cáo hoặc cô lập (hai tùy chọn sau chỉ có sẵn với HTTP/S được cho phép) chỉ dựa trên các tiêu chí đó, bất kể tuổi tên miền nào.
Unified Cloud Edge của McAfee cung cấp tất cả các chức năng trên và bao gồm cách ly trình duyệt từ xa (RBI) cho các trang web không được phân loại, chưa được xác minh, và các rủi ro khác. Điều này hầu như loại bỏ rủi ro của trình duyệt hoặc các ứng dụng khác truy cập các trang web chưa được phân loại mà không thêm sự phiền phức của lỗi sai xác thực và lỗi sai chưa xác thực từ bộ lọc tuổi tên miền.
Khi sử dụng HTTP/S, tuổi tên máy chủ hoặc thậm chí là ngày xem tên máy chủ đầu tiên và/hoặc cuối cùng có thể cung cấp giá trị bổ sung, nhưng tuổi miền khá vô ích khi FQDN và thông tin liên quan đến trang web hoặc dịch vụ cụ thể hơn đều có sẵn. Thông lệ tốt nhất là chặn, cô lập hoặc tối thiểu, cảnh cáo các trang web và dịch vụ chưa được xác minh mà không liên quan đến tuổi tên miền. Cho phép các trang web hoặc dịch vụ chưa được xác minh dựa trên tuổi tên miền làm tăng nguy cơ có lỗi sai chưa xác thực một cách đáng kể (các trang web và dịch vụ rủi ro được phép đơn giản vì tên miền không được đăng ký gần đây). Việc chặn chung các trang web và dịch vụ chỉ dựa trên độ tuổi miền sẽ dẫn đến việc chặn quá nhiều các trang web đã thiết lập danh tiếng tốt và không nên bị chặn.
Kết luận
Tuổi tên miền có thể đem lại một chút hữu ích để bổ sung các quyết định bộ lọc trong các tình huống mà không có thông tin chính xác và cụ thể nào khác có sẵn về đích của một gói mạng. Khi xem xét việc sử dụng tuổi tên miền để lọc HTTP/S, nó là một sự thay thế cực kỳ yếu cho cơ sở dữ liệu dịch vụ và tình báo về mối đe dọa một cách toàn diện hơn. Nếu quyết định được đưa ra để đi chệch khỏi thông lệ tốt nhất và cho phép kết nối HTTP/S đến các trang web chưa được xác minh, mà không bị cô lập, thì tuổi tên miền có thể cung cấp giá trị bổ sung hạn chế bằng cách chặn các trang web chưa được xác minh trong các tên miền được đăng ký mới. Điều này đi kèm với chi phí cho sự lầm tưởng về bảo mật và nguy cơ có lỗi sai chưa xác thực lớn hơn nhiều khi so sánh với thông lệ tốt nhất của việc sử dụng tình báo về mối đe dọa web toàn diện, thực hiện phân tích yêu cầu và phản hồi kỹ lưỡng, và chỉ đơn giản là chặn, cô lập hoặc cảnh cáo các trang web chưa được xác minh.
Link tham khảo thêm cho bạn: https://www.pacisoft.com/bao-mat-security/for-business/mcafee-business.html
Biên dịch bởi Phương Linh – iworld.com.vn
more recommended stories
Freepik gia nhập cuộc đua AI với tính năng Freepik PikasoFreepik chắc hẳn là một cái.
[Đăng ký tham gia] webinar: Unlocking the power of AI with Adobe Creative CloudTrong kỷ nguyên công nghệ phát.
Mua 01 thuê bao SketchUp Pro/Studio – Nhận ưu đãi* 10% cho bộ thứ 2Nếu bạn đang tìm kiếm một.
Phân tích mối đe dọa trong Microsoft 365 DefenderThreat analytics là giải pháp thông.
Tìm hiểu Microsoft Defender for Business – Giải pháp nâng cao bảo mật doanh nghiệpBảo mật vẫn là một trong.
Microsoft 365 Copilot: Các lợi ích dành cho doanh nghiệpTrong thời gian gần đây, cộng.
Paessler PRTG MultiBoard – Được thiết kế dành riêng cho PRTG Enterprise MonitorTổng quan toàn diện Paessler PRTG.
Triển khai & Đào tạo giám sát mạng PRTGPRTG Implementation (Triển khai) Đơn giản.