Tłumaczenie czytelnych dla człowieka nazw domen na numeryczne adresy IP od dawna jest obarczone poważnymi zagrożeniami bezpieczeństwa. Wreszcie, wyszukiwania rzadko są szyfrowane od początku do końca. Serwery umożliwiające wyszukiwanie nazw domen zapewniają tłumaczenia praktycznie każdego adresu IP – nawet jeśli wiadomo, że jest on złośliwy. Wiele urządzeń użytkowników końcowych można łatwo skonfigurować tak, aby zaprzestały korzystania z autoryzowanych serwerów wyszukiwania i zamiast tego korzystały ze złośliwych serwerów.
Microsoft udostępnił je w piątek zerkać w kompleksowych ramach, których celem jest uporządkowanie chaosu w systemie nazw domen (DNS), aby był on lepiej chroniony w sieciach Windows. Nazywa się ZTDNS (Zero Trust DNS). Jego dwie główne cechy to (1) szyfrowane i uwierzytelniane kryptograficznie połączenia między klientami użytkownika końcowego a serwerami DNS oraz (2) możliwość ścisłego ograniczania domen rozpoznawanych przez te serwery przez administratorów.
Oczyszczanie pola minowego
Jednym z powodów, dla których DNS jest takim polem minowym bezpieczeństwa, jest fakt, że te dwie funkcje mogą się wzajemnie wykluczać. Dodanie uwierzytelniania kryptograficznego i szyfrowania do DNS często przesłania widoczność potrzebną administratorom, aby uniemożliwić urządzeniom użytkowników łączenie się ze złośliwymi domenami lub wykrywanie nietypowego zachowania w sieci. Dlatego ruch DNS jest wysyłany w postaci zwykłego tekstu lub szyfrowany w sposób umożliwiający administratorom odszyfrowanie go podczas przesyłania Atak przeciwnika w środku.
Administratorzy stają przed wyborem pomiędzy równie nieatrakcyjnymi opcjami: (1) przekazywanie ruchu DNS w postaci zwykłego tekstu, nie pozwalając serwerowi i urządzeniu klienckiemu na wzajemne uwierzytelnienie, co pozwala na blokowanie złośliwych domen i umożliwienie monitorowania sieci, lub (2) szyfrowanie i uwierzytelniaj Blokuj ruch DNS i eliminuj potrzebę kontroli domeny i widoczności sieci.
Celem ZTDNS jest rozwiązanie tego problemu sprzed kilkudziesięciu lat poprzez integrację silnika DNS systemu Windows z platformą filtrowania systemu Windows – głównym składnikiem Zapory systemu Windows – bezpośrednio z urządzeniami klienckimi.
Jake Williams, wiceprezes ds. badań i rozwoju w firmie konsultingowej Hunter Strategies, powiedział, że połączenie tych wcześniej odmiennych silników umożliwiłoby aktualizowanie Zapory systemu Windows dla poszczególnych nazw domen. W rezultacie, powiedział, powstał mechanizm, który zasadniczo umożliwia firmom informowanie klientów, aby „korzystali wyłącznie z naszego serwera DNS, który korzysta z protokołu TLS i rozpoznaje tylko określone domeny”. Firma Microsoft nazywa ten serwer lub serwery DNS „ochronnym serwerem DNS”.
Domyślnie zapora odrzuca rozwiązania dla wszystkich domen z wyjątkiem tych znajdujących się na listach dozwolonych. Oddzielna lista dozwolonych zawiera podsieci adresów IP, których klienci potrzebują do uruchamiania autoryzowanego oprogramowania. Kluczem do zapewnienia efektu skali w firmie o szybko zmieniających się potrzebach. Ekspert ds. bezpieczeństwa sieci Royce Williams (niespokrewniony z Jake’em Williamsem) nazwał to „rodzajem dwukierunkowego interfejsu API dla warstwy zapory sieciowej, dzięki któremu można uruchamiać zarówno działania zapory (wpisując *w* zaporze), jak i działania zewnętrzne w oparciu o stan zapory sieciowej.” (wyjście *z* zapory). Zamiast więc wymyślać na nowo koło firewalla jako dostawca AV czy cokolwiek innego, po prostu dołącz do WFP.