¿Qué es Domain Fronting?
Existen numerosas técnicas que se pueden utilizar para mejorar la privacidad de los datos en línea. El frente de dominio es uno de los más venerados entre los tecnócratas.
Pero, ¿qué es el dominio al frente? Y cuando se trata de seguridad en línea, ¿es mejor que usar una red privada virtual (VPN)? Este artículo responderá a ambas preguntas.
Cómo funciona Domain Fronting
El frente de dominio es una técnica que se utiliza para evadir la censura en línea. Funciona aprovechando las configuraciones de plataforma como servicio (PaaS) en redes que ofrecen este tipo de personalización, generalmente los principales proveedores de servicios en la nube.
Permite la ofuscación de una conexión a Internet mediante la manipulación del Protocolo de transferencia de hipertexto (HTTP) y el redireccionamiento del tráfico. Estos hacen que parezca que un usuario está accediendo a un sitio web inocuo mientras en realidad está conectado a uno diferente, probablemente prohibido.
La transfiguración es posible mediante el uso del protocolo HTTPS en lugar de un encabezado HTTP. Esto se debe a que los protocolos HTTPS están encriptados. La configuración generalmente funciona en redes de entrega de contenido (CDN).
Tomemos, por ejemplo, dos dominios alojados en la misma CDN. Uno está bloqueado por las autoridades, mientras que el otro no. En el frente de dominio, el dominio HTTPS autorizado se coloca en el encabezado SNI. El bloqueado, por otro lado, está incrustado en el encabezado HTTP.
Los regímenes e instituciones que buscan prevenir esta técnica evasiva generalmente tienen dificultades para contrarrestarla debido a la falta de un cambio de red intermedio detectable. Bloquear la mayoría de los sitios web funcionaría, pero el daño colateral sería enorme. Esto hace que la interfaz de dominio sea una de las herramientas más formidables para las personas que buscan eludir las restricciones web.
Sin embargo, puede encontrar un gran inconveniente. La mayoría de las empresas que inicialmente ofrecieron este servicio, como Google, Amazon y Microsoft, lo cerraron debido al abuso flagrante de la función con fines maliciosos.
Donde Domain Fronting supera a las VPN
El uso de una VPN para ocultar la actividad en línea es común entre quienes buscan privacidad. Esto se debe a que los servicios son una moneda de diez centavos la docena y mucho menos técnicos en comparación con el frente de dominio, que generalmente requiere una serie de configuraciones complejas.
Para funcionar, una VPN oculta el tráfico mediante una conexión de proxy cifrada de Protocolo de Internet (IP). Esto evita que terceros, incluido su proveedor de servicios de Internet (ISP), vean los hábitos de navegación del usuario. Esto se debe a que la conexión a Internet se vincula a un ISP diferente (el que utiliza la empresa VPN).
Sin embargo, el ISP de un usuario puede ver el protocolo de enlace entre la red y el nodo VPN. Pero no puede deducir mucho más allá de esto. A diferencia de la interfaz de dominio, existen más riesgos asociados con el uso de VPN. Esto es especialmente cierto si es ilegal en la jurisdicción del usuario. En algunos países, como China, el usuario podría recibir una multa significativa.
El uso de una VPN también podría conducir a un mayor escrutinio. Las agencias de inteligencia a nivel estatal generalmente controlan los ISP utilizados por las empresas de VPN. Intentan buscar tráfico siniestro en esas redes porque se utilizan notoriamente con fines sediciosos.
Debido al avance de las tecnologías de análisis, los patrones de navegación en el extremo del usuario pueden correlacionarse con usuarios específicos en el lado del ISP de VPN.
Las redes VPN también pueden ser vistas y descifradas por una empresa VPN maliciosa, si los sitios visitados utilizan HTTP en lugar de HTTPS. Esto incluye información confidencial como contraseñas e información de tarjetas de crédito. Por lo tanto, debe abstenerse de utilizar servicios VPN gratuitos y relativamente desconocidos.
La fachada de dominio ha cambiado
Con las principales CDN deshabilitando sus funciones de frente de dominio, los grupos de privacidad de datos han buscado encontrar medios alternativos para eludir los firewalls y los sistemas de censura.
La última solución que se acerca a la fachada de dominio clásica es la "ocultación de dominios". Desarrollado por el experto en ciberseguridad Erik Hunstad, se basa en un software denominado Noctilucent para eludir los firewalls. Lo hace superponiendo datos HTTPS engañosos sobre los campos de texto sin cifrar de una conexión.
La sección encriptada de la conexión contiene información no asociada que es autorizada por los servidores de red y, por lo tanto, se acepta.