Getty Images
Η μετάφραση ονομάτων τομέα αναγνώσιμων από τον άνθρωπο σε αριθμητικές διευθύνσεις IP είναι εδώ και καιρό γεμάτη με κενά κινδύνους για την ασφάλεια. Εξάλλου, οι αναζητήσεις σπάνια κρυπτογραφούνται από άκρο σε άκρο. Οι διακομιστές που παρέχουν αναζητήσεις ονομάτων τομέα παρέχουν μεταφράσεις για σχεδόν οποιαδήποτε διεύθυνση IP — ακόμη και όταν είναι γνωστό ότι είναι κακόβουλες. Και πολλές συσκευές τελικού χρήστη μπορούν εύκολα να ρυθμιστούν ώστε να σταματήσουν να χρησιμοποιούν εξουσιοδοτημένους διακομιστές αναζήτησης και αντί να χρησιμοποιούν κακόβουλους.
Η Microsoft την Παρασκευή παρείχε α κρυφοκοίταγμα σε ένα ολοκληρωμένο πλαίσιο που στοχεύει να διευθετήσει το χάος του Συστήματος Ονομάτων Τομέα (DNS), έτσι ώστε να είναι καλύτερα κλειδωμένο μέσα στα δίκτυα των Windows. Ονομάζεται ZTDNS (zero trust DNS). Τα δύο κύρια χαρακτηριστικά του είναι (1) κρυπτογραφημένες και κρυπτογραφικά πιστοποιημένες συνδέσεις μεταξύ πελατών τελικού χρήστη και διακομιστών DNS και (2) η δυνατότητα των διαχειριστών να περιορίζουν αυστηρά τους τομείς που θα επιλύσουν αυτοί οι διακομιστές.
Εκκαθάριση του ναρκοπεδίου
Ένας από τους λόγους για τους οποίους το DNS είναι ένα τέτοιο ναρκοπέδιο ασφαλείας είναι ότι αυτά τα δύο χαρακτηριστικά μπορούν να αποκλείονται αμοιβαία. Η προσθήκη κρυπτογραφικού ελέγχου ταυτότητας και κρυπτογράφησης στο DNS συχνά αποκρύπτει την ορατότητα που χρειάζονται οι διαχειριστές για να εμποδίσουν τις συσκευές χρηστών να συνδεθούν σε κακόβουλους τομείς ή να εντοπίσουν ανώμαλη συμπεριφορά μέσα σε ένα δίκτυο. Ως αποτέλεσμα, η κίνηση DNS είτε αποστέλλεται σε καθαρό κείμενο είτε κρυπτογραφείται με τρόπο που επιτρέπει στους διαχειριστές να την αποκρυπτογραφούν κατά τη μεταφορά μέσω αυτού που ουσιαστικά είναι επίθεση αντιπάλου στη μέση.
Οι διαχειριστές αφήνονται να επιλέξουν μεταξύ εξίσου μη ελκυστικών επιλογών: (1) δρομολόγηση της κυκλοφορίας DNS σε καθαρό κείμενο, χωρίς μέσα για τον έλεγχο ταυτότητας του διακομιστή και της συσκευής πελάτη, ώστε να μπορούν να αποκλειστούν κακόβουλοι τομείς και να είναι δυνατή η παρακολούθηση δικτύου, ή (2) κρυπτογράφηση και ελέγξτε την κυκλοφορία DNS και καταργήστε τον έλεγχο τομέα και την ορατότητα του δικτύου.
Το ZTDNS στοχεύει να λύσει αυτό το πρόβλημα δεκαετιών ενσωματώνοντας τη μηχανή DNS των Windows με την Πλατφόρμα Φιλτραρίσματος των Windows – το βασικό στοιχείο του Τείχους προστασίας των Windows – απευθείας σε συσκευές-πελάτες.
Ο Jake Williams, αντιπρόεδρος έρευνας και ανάπτυξης στην εταιρεία συμβούλων Hunter Strategies, είπε ότι η ένωση αυτών των προηγουμένως ανόμοιων μηχανών θα επιτρέψει την πραγματοποίηση ενημερώσεων στο τείχος προστασίας των Windows με βάση το όνομα τομέα. Το αποτέλεσμα, είπε, είναι ένας μηχανισμός που επιτρέπει στους οργανισμούς, ουσιαστικά, να λένε στους πελάτες «χρησιμοποιούν μόνο τον διακομιστή μας DNS, που χρησιμοποιεί TLS και θα επιλύει μόνο ορισμένους τομείς». Η Microsoft αποκαλεί αυτόν τον διακομιστή ή τους διακομιστές DNS “προστατευτικός διακομιστής DNS”.
Από προεπιλογή, το τείχος προστασίας θα αρνηθεί τις αναλύσεις σε όλους τους τομείς εκτός από αυτούς που απαριθμούνται στις λίστες επιτρεπόμενων. Μια ξεχωριστή λίστα επιτρεπόμενων θα περιέχει υποδίκτυα διευθύνσεων IP που χρειάζονται οι πελάτες για την εκτέλεση εξουσιοδοτημένου λογισμικού. Το κλειδί για να γίνει αυτό το έργο σε κλίμακα μέσα σε έναν οργανισμό με ταχέως μεταβαλλόμενες ανάγκες. Ο ειδικός σε θέματα ασφάλειας δικτύων Royce Williams (καμία σχέση με τον Jake Williams) το ονόμασε αυτό ένα «είδος αμφίδρομου API για το επίπεδο του τείχους προστασίας, ώστε να μπορείτε να ενεργοποιείτε ενέργειες τείχους προστασίας (με είσοδο *στο* στο τείχος προστασίας) και να ενεργοποιείτε εξωτερικές ενέργειες με βάση το τείχος προστασίας κατάσταση (έξοδος *από* το τείχος προστασίας). Έτσι, αντί να χρειάζεται να εφεύρετε ξανά τον τροχό του τείχους προστασίας εάν είστε προμηθευτής AV ή οτιδήποτε άλλο, απλώς συνδέεστε στο WFP.