Boas fotos
A tradução de nomes de domínio legíveis por humanos em endereços IP numéricos há muito tempo está repleta de riscos de segurança. Afinal, as pesquisas raramente são criptografadas de ponta a ponta. Os servidores que fornecem pesquisas de nomes de domínio fornecem traduções para qualquer endereço IP, mesmo que sejam conhecidos por serem maliciosos. E muitos dispositivos de usuários finais podem ser facilmente configurados para parar de usar servidores de pesquisa autorizados e, em vez disso, usar servidores maliciosos.
A Microsoft apresentou na sexta-feira um espiar Em uma estrutura elaborada, o Sistema de Nomes de Domínio (DNS) visa resolver a confusão para que ela fique melhor bloqueada nas redes Windows. Isso é chamado de ZTDNS (DNS de confiança zero). Seus dois principais recursos são (1) conexões criptografadas e autenticadas criptograficamente entre clientes de usuários finais e servidores DNS e (2) a capacidade dos administradores de controlar rigorosamente os domínios que esses servidores resolvem.
Desminagem
Uma razão pela qual o DNS é um campo minado de segurança é que esses dois recursos podem ser mutuamente exclusivos. Adicionar autenticação criptográfica e criptografia ao DNS muitas vezes obscurece a visibilidade que os administradores precisam para evitar que os dispositivos dos usuários se conectem a domínios maliciosos ou detectem comportamento anômalo na rede. Como resultado, o tráfego DNS é enviado em texto não criptografado ou criptografado para permitir que os administradores o descriptografem. Ataque inimigo no meio.
Os administradores têm que escolher entre opções igualmente desagradáveis: (1) direcionar o tráfego DNS em texto não criptografado, sem nenhuma maneira de o servidor e o dispositivo cliente se autenticarem, para que domínios maliciosos possam ser bloqueados e o monitoramento da rede possível, ou (2) criptografar e autenticar o tráfego DNS para permitir o controle do domínio e a visibilidade da rede.
O ZTDNS visa resolver esse problema de décadas integrando o mecanismo DNS do Windows, um componente central do Firewall do Windows, com o Firewall do Windows diretamente nos dispositivos clientes.
Jake Williams, vice-presidente de pesquisa e desenvolvimento da consultoria Hunter Strategies, disse que a união desses mecanismos anteriormente díspares permitirá atualizações do Firewall do Windows por nome de domínio. O resultado é, em essência, um mecanismo que permite às organizações dizer aos clientes “use nosso servidor DNS, ele usa TLS e resolve apenas determinados domínios”. A Microsoft chama esse servidor ou servidores DNS de “servidor DNS seguro”.
Por padrão, o firewall nega resoluções a todos os domínios, exceto aqueles listados nas listas de permissões. Uma lista branca separada contém as sub-redes de endereços IP nas quais os clientes devem executar software autorizado. A chave para fazer esse trabalho está dentro de uma organização com necessidades em rápida mudança. O especialista em segurança de rede Royce Williams (sem parentesco com Jake Williams) chamou-a de “uma API bidirecional para a camada de firewall, para que você possa acionar ações de firewall (por meio de *entrada para o firewall) e acionar ações externas com base no firewall. status (* saída do firewall). Então, em vez de reinventar a roda do firewall, seja você um fornecedor de AV ou algo assim, você se junta ao WFP.
