A Microsoft azt tervezi, hogy minden eddiginél jobban biztonságossá teszi a Windows DNS-t. Itt van, hogyan.

Az ember által olvasható domain nevek numerikus IP-címekké fordítása régóta jelentős biztonsági kockázatokkal jár. Végül is a keresések ritkán vannak végpontokig titkosítva. A tartománynév-keresést biztosító kiszolgálók szinte bármilyen IP-cím fordítását biztosítják – még akkor is, ha rosszindulatúak. Sok végfelhasználói eszköz könnyen konfigurálható úgy, hogy abbahagyja a jóváhagyott keresőkiszolgálók használatát, és helyette rosszindulatú szervereket használjon.

A Microsoft pénteken bemutatta a Pillantás Egy átfogó keretrendszerben, amelynek célja a Domain Name System (DNS) zűrzavarának feloldása, hogy az jobban védett legyen a Windows hálózatokon belül. Ezt ZTDNS-nek (Zero Trust DNS) hívják. Két fő előnye a (1) titkosított és kriptográfiailag hitelesített kommunikáció a végfelhasználói kliensek és a DNS-kiszolgálók között, valamint (2) az adminisztrátorok azon képessége, hogy szigorúan korlátozzák a szerverek által feloldandó tartományokat.

Az aknamező megtisztítása

Az egyik ok, amiért a DNS biztonsági aknamezővé válhat, az az, hogy ez a két szolgáltatás kölcsönösen kizárhatja egymást. A kriptográfiai hitelesítés és titkosítás hozzáadása a DNS-hez gyakran elhomályosítja azt a láthatóságot, amelyre a rendszergazdáknak szükségük van, hogy megakadályozzák a felhasználói eszközök rosszindulatú tartományokhoz való csatlakozását, vagy a hálózaton belüli rendellenes viselkedés észlelését. Ennek eredményeként a DNS-forgalom vagy tiszta szövegben kerül elküldésre, vagy oly módon titkosítva van, hogy az adminisztrátorok visszafejtsék azt az átvitel során, ami lényegében egy Az ellenséges támadás középen.

Az adminisztrátorok választhatnak az ugyanilyen nem vonzó lehetőségek közül: (1) a DNS-forgalom egyértelmű szöveges továbbítása anélkül, hogy a szerver és a kliensgép hitelesítené egymást, így a rosszindulatú tartományok blokkolhatók és a hálózat megfigyelhető, vagy (2) DNS-forgalom titkosítása és hitelesítése, valamint elvetés A tartományvezérlésből és a hálózati láthatóságból.

A ZTDNS ezt az évtizedes problémát kívánja megoldani azáltal, hogy a Windows DNS-motort integrálja a Windows szűrőrendszerrel – a Windows tűzfal alapvető összetevőjével – közvetlenül az ügyféleszközökbe.

A korábban eltérő motorok egyesítése lehetővé teszi a Windows tűzfal frissítéseinek elvégzését domainnévenként – mondta Jake Williams, a Hunter Strategies tanácsadó cég kutatási és fejlesztési alelnöke. Az eredmény egy olyan mechanizmus, amely lényegében lehetővé teszi a szervezetek számára, hogy megmondják az ügyfeleknek, hogy „csak a DNS-szerverünket használják, amely TLS-t használ, és csak bizonyos tartományokat old meg” – mondta. A Microsoft ezt a DNS-kiszolgálót vagy szervereket „védő DNS-kiszolgálónak” nevezi.

Alapértelmezés szerint a tűzfal minden tartományra vonatkozóan elutasítja a megoldásokat, kivéve az engedélyezési listán szereplőket. Egy külön engedélyezési lista tartalmazza az IP-címek alhálózatait, amelyekre az ügyfeleknek a jóváhagyott szoftverek futtatásához szükségük van. A kulcs ahhoz, hogy ezt a munkát nagyszabásúan végezzék el egy gyorsan változó igényekkel rendelkező szervezeten belül. Royce Williams hálózatbiztonsági szakértő (nincs kapcsolatban Jake Williams-szel) ezt úgy írta le, mint „egyfajta kétirányú API-t a tűzfalréteg számára, így tűzfalműveleteket indíthat el (a *tűzfalba való bemenettel), és olyan külső műveleteket indíthat el, amelyek attól függnek. a tűzfalon Állapottartó védelem (kimenet *a tűzfalról) Tehát ahelyett, hogy újra fel kellene találnia a tűzfalkereket, ha Ön AV-szállító vagy valami más, hívja fel a WFP-t.