Η Microsoft σχεδιάζει να ασφαλίσει τα Windows DNS όπως ποτέ πριν. Να πώς.

Η μετάφραση ονομάτων τομέα αναγνώσιμων από τον άνθρωπο σε αριθμητικές διευθύνσεις IP είναι από καιρό γεμάτη με σημαντικούς κινδύνους για την ασφάλεια. Εξάλλου, οι αναζητήσεις σπάνια είναι κρυπτογραφημένες από άκρο σε άκρο. Οι διακομιστές που παρέχουν αναζητήσεις ονομάτων τομέα παρέχουν μεταφράσεις για σχεδόν οποιαδήποτε διεύθυνση IP — ακόμα και όταν είναι γνωστό ότι είναι κακόβουλες. Πολλές συσκευές τελικού χρήστη μπορούν εύκολα να ρυθμιστούν ώστε να σταματήσουν να χρησιμοποιούν εγκεκριμένους διακομιστές αναζήτησης και να χρησιμοποιούν κακόβουλους διακομιστές.

Η Microsoft παρουσίασε την Παρασκευή ένα Ματιά Σε ένα ολοκληρωμένο πλαίσιο που στοχεύει στην επίλυση της ακαταστασίας του Συστήματος Ονομάτων Τομέα (DNS) έτσι ώστε να είναι καλύτερα ασφαλισμένο στα δίκτυα των Windows. Ονομάζεται ZTDNS (Zero Trust DNS). Δύο βασικά πλεονεκτήματα είναι (1) κρυπτογραφημένες και κρυπτογραφικά πιστοποιημένες επικοινωνίες μεταξύ πελατών τελικού χρήστη και διακομιστών DNS και (2) η ικανότητα των διαχειριστών να περιορίζουν αυστηρά τις περιοχές που θα επιλύσουν αυτοί οι διακομιστές.

Εκκαθάριση του ναρκοπεδίου

Ένας από τους λόγους για τους οποίους το DNS μπορεί να γίνει ναρκοπέδιο ασφαλείας είναι ότι αυτές οι δύο δυνατότητες μπορεί να είναι αμοιβαία αποκλειστικές. Η προσθήκη κρυπτογραφικού ελέγχου ταυτότητας και κρυπτογράφησης στο DNS συχνά αποκρύπτει την ορατότητα που χρειάζονται οι διαχειριστές για να αποτρέψουν τη σύνδεση των συσκευών χρήστη σε κακόβουλους τομείς ή τον εντοπισμό ανώμαλης συμπεριφοράς εντός του δικτύου. Ως αποτέλεσμα, η κυκλοφορία DNS είτε αποστέλλεται σε καθαρό κείμενο είτε κρυπτογραφείται με τρόπο που επιτρέπει στους διαχειριστές να την αποκρυπτογραφούν κατά τη μεταφορά μέσω αυτού που ουσιαστικά είναι Επίθεση του εχθρού στη μέση.

Οι διαχειριστές αφήνονται να επιλέξουν μεταξύ εξίσου μη ελκυστικών επιλογών: (1) να δρομολογούν την κυκλοφορία DNS σε καθαρό κείμενο, χωρίς να υπάρχει τρόπος ελέγχου ταυτότητας μεταξύ του διακομιστή και του υπολογιστή-πελάτη, έτσι ώστε να μπορούν να αποκλειστούν κακόβουλοι τομείς και να παρακολουθείται το δίκτυο, ή (2) κρυπτογράφηση και έλεγχος ταυτότητας της κυκλοφορίας DNS και απόρριψη Από έλεγχο τομέα και ορατότητα δικτύου.

Το ZTDNS στοχεύει να λύσει αυτό το πρόβλημα δεκαετιών ενσωματώνοντας τη μηχανή DNS των Windows με το Σύστημα Φιλτραρίσματος των Windows – το βασικό στοιχείο του Τείχους προστασίας των Windows – απευθείας σε συσκευές-πελάτες.

Η ένωση αυτών των προηγουμένως ανόμοιων μηχανών θα επιτρέψει τις ενημερώσεις του Τείχους προστασίας των Windows να γίνονται με βάση το όνομα τομέα, δήλωσε ο Jake Williams, αντιπρόεδρος έρευνας και ανάπτυξης στην εταιρεία συμβούλων Hunter Strategies. Το αποτέλεσμα είναι ένας μηχανισμός που επιτρέπει στους οργανισμούς, ουσιαστικά, να λένε στους πελάτες “να χρησιμοποιούν μόνο τον διακομιστή μας DNS, ο οποίος χρησιμοποιεί TLS και θα επιλύει μόνο ορισμένους τομείς”, είπε. Η Microsoft αποκαλεί αυτόν τον διακομιστή ή τους διακομιστές DNS “προστατευτικός διακομιστής DNS”.

Από προεπιλογή, το τείχος προστασίας θα απορρίψει λύσεις για όλους τους τομείς εκτός από αυτούς που αναφέρονται στις λίστες επιτρεπόμενων. Μια ξεχωριστή λίστα επιτρεπόμενων θα περιέχει υποδίκτυα διευθύνσεων IP που χρειάζονται οι πελάτες για την εκτέλεση εγκεκριμένου λογισμικού. Το κλειδί για να γίνει αυτό το έργο σε κλίμακα σε έναν οργανισμό με ταχέως μεταβαλλόμενες ανάγκες. Ο ειδικός σε θέματα ασφάλειας δικτύου Royce Williams (καμία σχέση με τον Jake Williams) το περιέγραψε ως «ένα είδος αμφίδρομου API για το επίπεδο του τείχους προστασίας, ώστε να μπορείτε να ενεργοποιήσετε ενέργειες τείχους προστασίας (με είσοδο *στο* στο τείχος προστασίας) και να ενεργοποιήσετε εξωτερικές ενέργειες που εξαρτώνται στο τείχος προστασίας Stateful προστασία (έξοδος *από* το τείχος προστασίας Έτσι, αντί να χρειάζεται να εφεύρετε ξανά τον τροχό του τείχους προστασίας, εάν είστε προμηθευτής AV ή οτιδήποτε άλλο, απλώς καλέστε το WFP).