Перетворення зрозумілих для людини доменних імен у цифрові IP-адреси вже давно пов’язане зі значними ризиками для безпеки. Зрештою, пошук рідко виконується з наскрізним шифруванням. Сервери, які забезпечують пошук доменних імен, забезпечують переклади майже для будь-якої IP-адреси, навіть якщо відомо, що вони шкідливі. Багато пристроїв кінцевих користувачів можна легко налаштувати так, щоб вони припинили використовувати схвалені пошукові сервери та використовували замість них шкідливі сервери.
Microsoft у п’ятницю представила a Погляд У комплексній структурі, спрямованій на розплутування системи доменних імен (DNS), щоб вона була краще захищена в мережах Windows. Він називається ZTDNS (Zero Trust DNS). Двома основними перевагами є (1) зашифрований і криптографічно автентифікований зв’язок між клієнтами кінцевих користувачів і DNS-серверами та (2) можливість адміністраторів жорстко обмежувати діапазони, які ці сервери вирішуватимуть.
Розмінування поля
Однією з причин, чому DNS може стати мінним полем безпеки, є те, що ці дві функції можуть бути взаємовиключними. Додавання криптографічної автентифікації та шифрування до DNS часто приховує видимість, яка потрібна адміністраторам, щоб запобігти підключенню пристроїв користувачів до зловмисних доменів або виявити аномальну поведінку в мережі. У результаті DNS-трафік надсилається відкритим текстом або шифрується таким чином, що дозволяє адміністраторам розшифровувати його під час передачі через те, що по суті є Атака ворога посередині.
Адміністраторам залишається вибирати між однаково непривабливими варіантами: (1) маршрутизувати трафік DNS у вигляді відкритого тексту без можливості для сервера та клієнтської машини автентифікувати один одного, щоб можна було заблокувати зловмисні домени та контролювати мережу, або (2) шифрувати та автентифікувати DNS-трафік і відкидати від контролю домену та видимості мережі.
ZTDNS прагне вирішити цю десятирічну проблему шляхом інтеграції механізму Windows DNS із системою фільтрації Windows — основним компонентом брандмауера Windows — безпосередньо в клієнтські пристрої.
Джейк Вільямс, віце-президент з досліджень і розробок консалтингової фірми Hunter Strategies, сказав, що об’єднання цих раніше несхожих механізмів дозволить оновлювати брандмауер Windows для кожного доменного імені. Результатом є механізм, який дозволяє організаціям, по суті, повідомляти клієнтам «використовувати лише наш DNS-сервер, який використовує TLS, і розпізнаватиме лише певні домени», — сказав він. Microsoft називає цей DNS-сервер або сервери «захисним DNS-сервером».
За замовчуванням брандмауер відхиляє рішення для всіх доменів, крім тих, які перераховані в дозволених списках. Окремий дозволений список міститиме підмережі IP-адрес, які потрібні клієнтам для запуску затвердженого програмного забезпечення. Ключ до виконання цієї роботи в масштабах організації з потребами, що швидко змінюються. Експерт з мережевої безпеки Ройс Вільямс (не має відношення до Джейка Вільямса) описав це як «своєрідний двосторонній API для рівня брандмауера, щоб ви могли запускати дії брандмауера (шляхом введення *в* брандмауер) і запускати зовнішні дії, які залежать від на брандмауері Stateful protection (вихід *з* брандмауера), тому замість того, щоб заново винаходити колесо брандмауера, якщо ви постачальник AV чи щось інше, просто зателефонуйте WFP.
“Загальний ніндзя в соціальних мережах. Інтроверт. Творець. Шанувальник телебачення. Підприємець, що отримує нагороди. Веб-ботанік. Сертифікований читач”