Getty Images
Cilvēka salasāmu domēnu nosaukumu tulkošana ciparu IP adresēs jau sen ir saistīta ar ievērojamiem drošības riskiem. Galu galā meklējumi reti tiek šifrēti no gala līdz galam. Serveri, kas nodrošina domēna vārda meklēšanu, nodrošina tulkojumus gandrīz jebkurai IP adresei — pat ja ir zināms, ka tās ir ļaunprātīgas. Daudzas galalietotāja ierīces var viegli konfigurēt, lai pārtrauktu apstiprinātu meklēšanas serveru izmantošanu un tā vietā izmantotu ļaunprātīgus serverus.
Microsoft piektdien iepazīstināja ar a Skatiens Visaptverošā sistēmā, kuras mērķis ir izjaukt domēna vārdu sistēmas (DNS) jucekli, lai tā būtu labāk aizsargāta Windows tīklos. To sauc par ZTDNS (Zero Trust DNS). Divas galvenās priekšrocības ir (1) šifrēta un kriptogrāfiski autentificēta saziņa starp galalietotāju klientiem un DNS serveriem un (2) administratoru spēja stingri ierobežot diapazonus, ko šie serveri atrisinās.
Mīnu lauka attīrīšana
Viens no iemesliem, kāpēc DNS var kļūt par drošības mīnu lauku, ir tas, ka šīs divas funkcijas var būt viena otru izslēdzošas. Kriptogrāfiskās autentifikācijas un šifrēšanas pievienošana DNS bieži vien aizsedz redzamību, kas administratoriem nepieciešama, lai neļautu lietotāja ierīcēm izveidot savienojumu ar ļaunprātīgiem domēniem vai atklātu anomālu darbību tīklā. Rezultātā DNS trafika tiek nosūtīta skaidrā tekstā vai tiek šifrēta tādā veidā, kas ļauj administratoriem to atšifrēt pārsūtīšanas laikā, izmantojot to, kas būtībā ir Ienaidnieka uzbrukums pa vidu.
Administratoriem ir atstāta izvēle starp tikpat nepievilcīgām opcijām: (1) maršrutēt DNS trafiku skaidrā tekstā, serverim un klienta mašīnai nevarot viens otru autentificēt, lai varētu bloķēt ļaunprātīgos domēnus un uzraudzīt tīklu, vai (2) šifrēt un autentificēt DNS trafiku un atmest No domēna kontroles un tīkla redzamības.
ZTDNS mērķis ir atrisināt šo gadu desmitiem veco problēmu, integrējot Windows DNS dzinēju ar Windows filtrēšanas sistēmu – Windows ugunsmūra galveno komponentu – tieši klienta ierīcēs.
Šo iepriekš atšķirīgo dzinēju apvienošana ļaus veikt Windows ugunsmūra atjauninājumus katram domēna nosaukumam, sacīja Džeiks Viljamss, konsultāciju uzņēmuma Hunter Strategies pētniecības un attīstības viceprezidents. Rezultāts ir mehānisms, kas ļauj organizācijām būtībā likt klientiem “izmantot tikai mūsu DNS serveri, kas izmanto TLS, un atrisinās tikai noteiktus domēnus”, viņš teica. Microsoft šo DNS serveri vai serverus sauc par “aizsargājošu DNS serveri”.
Pēc noklusējuma ugunsmūris noraidīs risinājumus visiem domēniem, izņemot tos, kas norādīti atļauju sarakstos. Atsevišķā atļauju sarakstā būs IP adrešu apakštīkli, kas klientiem ir nepieciešami apstiprinātas programmatūras palaišanai. Galvenais, lai šis darbs tiktu veikts vērienīgi organizācijā ar strauji mainīgām vajadzībām. Tīkla drošības eksperts Roiss Viljamss (nav saistīts ar Džeiku Viljamsu) to raksturoja kā “savdabīgu ugunsmūra slāņa divvirzienu API, lai jūs varētu aktivizēt ugunsmūra darbības (ievadot * ugunsmūri*) un aktivizēt ārējas darbības, kas ir atkarīgas uz ugunsmūra Stāvokļa aizsardzība (izvade *no* ugunsmūra. Ja esat AV pārdevējs vai kas cits), vienkārši zvaniet uz WFP.
