Microsoft planuje zabezpieczyć Windows DNS jak nigdy dotąd. Oto jak.

Tłumaczenie czytelnych dla człowieka nazw domen na numeryczne adresy IP od dawna obarczone jest poważnymi zagrożeniami bezpieczeństwa. W końcu wyszukiwania rzadko są szyfrowane od początku do końca. Serwery umożliwiające wyszukiwanie nazw domen zapewniają tłumaczenia niemal każdego adresu IP — nawet jeśli wiadomo, że są one złośliwe. Wiele urządzeń użytkowników końcowych można łatwo skonfigurować tak, aby zaprzestały korzystania z zatwierdzonych serwerów wyszukiwania i zamiast tego korzystały ze złośliwych serwerów.

Microsoft w piątek wprowadził m.in Zerknąć W kompleksowym ramach mającym na celu uporządkowanie bałaganu w systemie nazw domen (DNS), aby był on lepiej zabezpieczony w sieciach Windows. Nazywa się ZTDNS (DNS o zerowym zaufaniu). Dwie główne zalety to (1) szyfrowana i uwierzytelniana kryptograficznie komunikacja między klientami użytkownika końcowego a serwerami DNS oraz (2) możliwość ścisłego ograniczania przez administratorów zakresów rozpoznawanych przez te serwery.

Oczyszczanie pola minowego

Jednym z powodów, dla których DNS może stać się polem minowym bezpieczeństwa, jest to, że te dwie funkcje mogą się wzajemnie wykluczać. Dodanie uwierzytelniania kryptograficznego i szyfrowania do DNS często przesłania widoczność potrzebną administratorom, aby uniemożliwić urządzeniom użytkowników łączenie się ze złośliwymi domenami lub wykrywanie nietypowego zachowania w sieci. W rezultacie ruch DNS jest albo wysyłany w postaci zwykłego tekstu, albo szyfrowany w sposób umożliwiający administratorom odszyfrowanie go podczas przesyłania przez coś, co zasadniczo jest Atak wroga w środku.

Administratorzy mają do wyboru równie nieatrakcyjne opcje: (1) kieruj ruch DNS jawnym tekstem, bez możliwości wzajemnego uwierzytelniania serwera i komputera klienckiego, co umożliwi blokowanie złośliwych domen i monitorowanie sieci lub (2) szyfruj i uwierzytelniaj ruch DNS i odrzucaj. Kontrola domeny i widoczność sieci.

ZTDNS ma na celu rozwiązanie tego problemu sprzed kilkudziesięciu lat poprzez integrację silnika DNS systemu Windows z systemem filtrowania systemu Windows – głównym składnikiem Zapory systemu Windows – bezpośrednio z urządzeniami klienckimi.

Połączenie tych wcześniej odmiennych silników umożliwi aktualizowanie Zapory systemu Windows dla poszczególnych nazw domen, powiedział Jake Williams, wiceprezes ds. badań i rozwoju w firmie konsultingowej Hunter Strategies. W rezultacie powstał mechanizm, który pozwala organizacjom na informowanie klientów, aby „korzystali wyłącznie z naszego serwera DNS, który korzysta z protokołu TLS i będzie rozpoznawał tylko określone domeny” – powiedział. Firma Microsoft nazywa ten serwer lub serwery DNS „ochronnym serwerem DNS”.

Domyślnie zapora odrzuca rozwiązania dla wszystkich domen z wyjątkiem tych znajdujących się na listach dozwolonych. Oddzielna lista dozwolonych będzie zawierać podsieci adresów IP, których klienci potrzebują do uruchamiania zatwierdzonego oprogramowania. Klucz do wykonania tej pracy na dużą skalę w organizacji o szybko zmieniających się potrzebach. Ekspert ds. bezpieczeństwa sieci Royce Williams (niespokrewniony z Jake’em Williamsem) opisał to jako „rodzaj dwukierunkowego interfejsu API dla warstwy zapory ogniowej, dzięki któremu można wyzwalać działania zapory (poprzez wejście *do* zapory) i wyzwalać działania zewnętrzne zależne od na zaporze Ochrona stanowa (wyjście *z* zapory sieciowej) Zatem zamiast wymyślać na nowo koło zapory ogniowej, jeśli jesteś dostawcą AV lub kimś innym, po prostu zadzwoń do WFP.