Preklad názvov domén čitateľných pre ľudí na číselné IP adresy je už dlho spojený so značnými bezpečnostnými rizikami. Koniec koncov, vyhľadávania sú zriedkavo end-to-end šifrované. Servery, ktoré poskytujú vyhľadávanie názvov domén, poskytujú preklady takmer akejkoľvek adresy IP – aj keď je známe, že sú škodlivé. Mnoho zariadení koncových používateľov možno ľahko nakonfigurovať tak, aby prestali používať schválené vyhľadávacie servery a namiesto nich používali škodlivé servery.

Microsoft v piatok predstavil a Pohľad V komplexnom rámci zameranom na rozmotanie neporiadku systému názvov domén (DNS) tak, aby bol lepšie zabezpečený v rámci sietí Windows. Volá sa ZTDNS (Zero Trust DNS). Dve hlavné výhody sú (1) šifrovaná a kryptograficky overená komunikácia medzi klientmi koncových používateľov a servermi DNS a (2) schopnosť administrátorov prísne obmedziť rozsahy, ktoré tieto servery vyriešia.

Čistenie mínového poľa

Jedným z dôvodov, prečo sa DNS môže stať bezpečnostným mínovým poľom, je to, že tieto dve funkcie sa môžu navzájom vylučovať. Pridanie kryptografickej autentifikácie a šifrovania do DNS často zatemňuje viditeľnosť, ktorú správcovia potrebujú, aby zabránili užívateľským zariadeniam pripájať sa k škodlivým doménam alebo detekovať anomálne správanie v rámci siete. V dôsledku toho sa prenos DNS odosiela buď ako čistý text, alebo je šifrovaný spôsobom, ktorý umožňuje správcom dešifrovať ho pri prenose cez to, čo je v podstate Nepriateľský útok v strede.

Administrátori si môžu vybrať medzi rovnako neatraktívnymi možnosťami: (1) smerovať prenos DNS vo forme čistého textu bez možnosti vzájomnej autentifikácie servera a klientskeho počítača, aby bolo možné zablokovať škodlivé domény a monitorovať sieť, alebo (2) zašifrovať a overiť prenos DNS a vyradiť z kontroly domény a viditeľnosti siete.

Cieľom ZTDNS je vyriešiť tento desaťročia starý problém integráciou nástroja DNS systému Windows s filtrovacím systémom Windows – základným komponentom brány Windows Firewall – priamo do klientskych zariadení.

Spojenie týchto predtým odlišných motorov umožní vykonávať aktualizácie brány Windows Firewall na základe názvu domény, povedal Jake Williams, viceprezident pre výskum a vývoj v poradenskej firme Hunter Strategies. Výsledkom je mechanizmus, ktorý organizáciám v podstate umožňuje povedať zákazníkom, „aby používali iba náš server DNS, ktorý používa TLS, a vyrieši len určité domény,“ povedal. Spoločnosť Microsoft nazýva tento server alebo servery DNS „ochranný server DNS“.

Firewall štandardne odmietne riešenia pre všetky domény okrem tých, ktoré sú uvedené v zoznamoch povolených. Samostatný zoznam povolení bude obsahovať podsiete adries IP, ktoré klienti potrebujú na spustenie schváleného softvéru. Kľúč k vykonaniu tejto práce vo veľkom rozsahu v rámci organizácie s rýchlo sa meniacimi potrebami. Expert na sieťovú bezpečnosť Royce Williams (bez vzťahu k Jakeovi Williamsovi) to opísal ako „druh obojsmerného rozhrania API pre vrstvu brány firewall, takže môžete spúšťať akcie brány firewall (vstupom *do* brány firewall) a spúšťať externé akcie, ktoré na firewalle Stavová ochrana (výstup *z* firewallu), takže namiesto toho, aby ste museli znovu objavovať koleso firewallu, ak ste predajcom AV alebo niečoho iného, ​​zavolajte WFP.