Tłumaczenie czytelnych dla człowieka nazw domen na numeryczne adresy IP od dawna obarczone jest poważnymi zagrożeniami bezpieczeństwa. W końcu wyszukiwania rzadko są szyfrowane od początku do końca. Serwery umożliwiające wyszukiwanie nazw domen zapewniają tłumaczenia niemal każdego adresu IP — nawet jeśli wiadomo, że są one złośliwe. Wiele urządzeń użytkowników końcowych można łatwo skonfigurować tak, aby zaprzestały korzystania z zatwierdzonych serwerów wyszukiwania i zamiast tego korzystały ze złośliwych serwerów.
Microsoft w piątek wprowadził m.in Zerknąć W kompleksowym ramach mającym na celu uporządkowanie bałaganu w systemie nazw domen (DNS), aby był on lepiej zabezpieczony w sieciach Windows. Nazywa się ZTDNS (DNS o zerowym zaufaniu). Dwie główne zalety to (1) szyfrowana i uwierzytelniana kryptograficznie komunikacja między klientami użytkownika końcowego a serwerami DNS oraz (2) możliwość ścisłego ograniczania przez administratorów zakresów rozpoznawanych przez te serwery.
Oczyszczanie pola minowego
Jednym z powodów, dla których DNS może stać się polem minowym bezpieczeństwa, jest to, że te dwie funkcje mogą się wzajemnie wykluczać. Dodanie uwierzytelniania kryptograficznego i szyfrowania do DNS często przesłania widoczność potrzebną administratorom, aby uniemożliwić urządzeniom użytkowników łączenie się ze złośliwymi domenami lub wykrywanie nietypowego zachowania w sieci. W rezultacie ruch DNS jest albo wysyłany w postaci zwykłego tekstu, albo szyfrowany w sposób umożliwiający administratorom odszyfrowanie go podczas przesyłania przez coś, co zasadniczo jest Atak wroga w środku.
Administratorzy mają do wyboru równie nieatrakcyjne opcje: (1) kieruj ruch DNS jawnym tekstem, bez możliwości wzajemnego uwierzytelniania serwera i komputera klienckiego, co umożliwi blokowanie złośliwych domen i monitorowanie sieci lub (2) szyfruj i uwierzytelniaj ruch DNS i odrzucaj. Kontrola domeny i widoczność sieci.
ZTDNS ma na celu rozwiązanie tego problemu sprzed kilkudziesięciu lat poprzez integrację silnika DNS systemu Windows z systemem filtrowania systemu Windows – głównym składnikiem Zapory systemu Windows – bezpośrednio z urządzeniami klienckimi.
Połączenie tych wcześniej odmiennych silników umożliwi aktualizowanie Zapory systemu Windows dla poszczególnych nazw domen, powiedział Jake Williams, wiceprezes ds. badań i rozwoju w firmie konsultingowej Hunter Strategies. W rezultacie powstał mechanizm, który pozwala organizacjom na informowanie klientów, aby „korzystali wyłącznie z naszego serwera DNS, który korzysta z protokołu TLS i będzie rozpoznawał tylko określone domeny” – powiedział. Firma Microsoft nazywa ten serwer lub serwery DNS „ochronnym serwerem DNS”.
Domyślnie zapora odrzuca rozwiązania dla wszystkich domen z wyjątkiem tych znajdujących się na listach dozwolonych. Oddzielna lista dozwolonych będzie zawierać podsieci adresów IP, których klienci potrzebują do uruchamiania zatwierdzonego oprogramowania. Klucz do wykonania tej pracy na dużą skalę w organizacji o szybko zmieniających się potrzebach. Ekspert ds. bezpieczeństwa sieci Royce Williams (niespokrewniony z Jake’em Williamsem) opisał to jako „rodzaj dwukierunkowego interfejsu API dla warstwy zapory ogniowej, dzięki któremu można wyzwalać działania zapory (poprzez wejście *do* zapory) i wyzwalać działania zewnętrzne zależne od na zaporze Ochrona stanowa (wyjście *z* zapory ogniowej) Zamiast więc wymyślać na nowo koło zapory ogniowej, jeśli jesteś dostawcą AV lub kimś innym, po prostu zadzwoń do WFP.
„Muzyk. Guru kawy. Specjalista od zombie. Adwokat mediów społecznościowych. Introwertyk. Ekstremalny miłośnik jedzenia. Ewangelista alkoholu”.