Was ist Domain Fronting?
Es gibt zahlreiche Techniken, mit denen der Online-Datenschutz verbessert werden kann. Domain Fronting ist eine der am meisten verehrten unter Technokraten.
Aber was ist Domain-Fronting? Und wenn es um Online-Sicherheit geht, ist es besser als ein virtuelles privates Netzwerk (VPN) zu verwenden? Dieser Artikel beantwortet beide Fragen.
So funktioniert Domain Fronting
Domain Fronting ist eine Technik, die verwendet wird, um der Online-Zensur zu entgehen. Dabei werden PaaS-Konfigurationen (Platform as a Service) in Netzwerken genutzt, die diese Art der Anpassung bieten, normalerweise bei großen Cloud-Dienstanbietern.
Es ermöglicht die Verschleierung einer Internetverbindung durch HTTP-Manipulation (HyperText Transfer Protocol) und Umleitung des Datenverkehrs. Dadurch sieht es so aus, als würde ein Benutzer auf eine harmlose Website zugreifen, während er tatsächlich auf einer anderen, höchstwahrscheinlich verbotenen Website angemeldet ist.
Die Verklärung wird durch die Verwendung des HTTPS-Protokolls anstelle eines HTTP-Headers ermöglicht. Dies liegt daran, dass HTTPS-Protokolle verschlüsselt sind. Das Setup funktioniert normalerweise in Content Delivery Networks (CDNs).
Nehmen Sie zum Beispiel zwei Domains, die unter demselben CDN gehostet werden. Einer wird von den Behörden blockiert, der andere nicht. Beim Domain-Fronting wird die autorisierte HTTPS-Domain im SNI-Header platziert. Der blockierte ist dagegen in den HTTP-Header eingebettet.
Regime und Institutionen, die diese Ausweichtechnik verhindern wollen, haben es normalerweise schwer, dem entgegenzuwirken, da keine erkennbare Änderung des Zwischennetzwerks vorliegt. Das Blockieren der meisten Websites würde den Trick tun, aber der Kollateralschaden wäre enorm. Dies macht Domain-Fronting zu einem der beeindruckendsten Tools für Leute, die Web-Einschränkungen umgehen möchten.
Es kann jedoch vorkommen, dass Sie einen großen Nachteil haben. Die meisten Unternehmen, die diesen Dienst ursprünglich angeboten haben, wie Google, Amazon und Microsoft, haben ihn aufgrund eines offensichtlichen Missbrauchs der Funktion für böswillige Zwecke geschlossen.
Wo Domain Fronting VPNs schlägt
Die Verwendung eines VPN zum Ausblenden von Online-Aktivitäten ist bei Datenschutzsuchenden üblich. Dies liegt daran, dass die Dienste ein Dutzend Cent kosten und im Vergleich zum Domain-Fronting, für das normalerweise eine Reihe komplexer Konfigurationen erforderlich sind, viel weniger technisch sind.
Ein VPN verbirgt den Datenverkehr mithilfe einer verschlüsselten IP-Proxy-Verbindung (Internet Protocol). Dies verhindert, dass die Surfgewohnheiten des Benutzers von Dritten, einschließlich seines Internetdienstanbieters (ISP), angezeigt werden. Dies liegt daran, dass die Internetverbindung mit einem anderen ISP (dem von der VPN-Firma verwendeten) verbunden ist.
Der ISP eines Benutzers kann jedoch den Handshake zwischen dem Netzwerk und dem VPN-Knoten sehen. Aber darüber hinaus kann man nicht viel ableiten. Im Gegensatz zum Domain-Fronting sind mit der VPN-Nutzung mehr Risiken verbunden. Dies gilt insbesondere dann, wenn dies in der Gerichtsbarkeit des Benutzers illegal ist. In einigen Ländern wie China kann der Benutzer eine erhebliche Geldstrafe erhalten.
Die Verwendung eines VPN könnte auch zu einer genaueren Prüfung führen. Geheimdienste auf Landesebene überwachen normalerweise ISPs, die von VPN-Unternehmen verwendet werden. Sie versuchen, in diesen Netzwerken nach unheimlichem Verkehr zu suchen, weil sie notorisch für aufrührerische Zwecke verwendet werden.
Aufgrund der Weiterentwicklung der Analysetechnologien können Browsing-Muster auf Benutzerseite mit bestimmten Benutzern auf der VPN-ISP-Seite korreliert werden.
VPN-Netzwerke können auch von einem böswilligen VPN-Unternehmen angezeigt und entschlüsselt werden, wenn die besuchten Websites HTTP anstelle von HTTPS verwenden. Dies umfasst vertrauliche Informationen wie Passwörter und Kreditkarteninformationen. Sie sollten daher keine kostenlosen und relativ unbekannten VPN-Dienste verwenden.
Domain Fronting hat sich geändert
Da große CDNs ihre Domain-Fronting-Funktionen deaktivieren, haben Datenschutzgruppen nach alternativen Mitteln gesucht, um Firewalls und Zensursysteme zu umgehen.
Die neueste Lösung, die dem klassischen Domain-Fronting nahe kommt, ist das "Verstecken von Domains". Es wurde vom Cybersicherheitsexperten Erik Hunstad entwickelt und basiert auf Software namens Noctilucent, um Firewalls zu umgehen. Dazu werden irreführende HTTPS-Daten über die unverschlüsselten Klartextfelder einer Verbindung gelegt.
Der verschlüsselte Abschnitt der Verbindung enthält nicht zugeordnete Informationen, die von Netzwerkservern autorisiert werden und daher akzeptiert werden.