Microsoft планирует заблокировать DNS Windows, как никогда раньше. Вот как.

Перевод удобочитаемых доменных имен в числовые IP-адреса уже давно сопряжен с серьезными угрозами безопасности. В конце концов, поисковые запросы редко подвергаются сквозному шифрованию. Серверы, выполняющие поиск доменных имен, обеспечивают переводы практически для любого IP-адреса, даже если они известны как вредоносные. А многие устройства конечных пользователей можно легко настроить так, чтобы они перестали использовать авторизованные серверы поиска и вместо этого использовали вредоносные.

Microsoft в пятницу представила заглянуть в комплексной структуре, целью которой является устранение беспорядка в системе доменных имен (DNS), чтобы лучше заблокировать его внутри сетей Windows. Это называется ZTDNS (DNS с нулевым доверием). Его двумя основными особенностями являются (1) зашифрованные и криптографически аутентифицированные соединения между клиентами конечных пользователей и DNS-серверами и (2) возможность администраторам жестко ограничивать домены, которые будут разрешаться этими серверами.

Очистка минного поля

Одна из причин, по которой DNS стала минным полем безопасности, заключается в том, что эти две функции могут быть взаимоисключающими. Добавление криптографической аутентификации и шифрования в DNS часто скрывает от администраторов видимость, необходимую для предотвращения подключения пользовательских устройств к вредоносным доменам или обнаружения аномального поведения внутри сети. В результате DNS-трафик либо отправляется в виде открытого текста, либо шифруется таким образом, что администраторы могут расшифровать его при передаче через то, что по сути является атака противника посередине.

Администраторам приходится выбирать между одинаково непривлекательными вариантами: (1) маршрутизировать DNS-трафик в виде открытого текста без возможности аутентификации сервером и клиентским устройством друг друга, чтобы можно было заблокировать вредоносные домены и сделать возможным мониторинг сети, или (2) зашифровать и аутентифицировать DNS-трафик и отказаться от контроля домена и видимости сети.

ZTDNS стремится решить эту давнюю проблему путем интеграции механизма DNS Windows с платформой фильтрации Windows — основным компонентом брандмауэра Windows — непосредственно в клиентские устройства.

Джейк Уильямс, вице-президент по исследованиям и разработкам консалтинговой компании Hunter Strategies, заявил, что объединение этих ранее разрозненных механизмов позволит вносить обновления в брандмауэр Windows для каждого доменного имени. Результатом, по его словам, является механизм, который позволяет организациям, по сути, сообщать клиентам: «Используйте только наш DNS-сервер, который использует TLS и будет разрешать только определенные домены». Microsoft называет этот DNS-сервер или серверы «защитным DNS-сервером».

По умолчанию брандмауэр отклоняет разрешения для всех доменов, кроме тех, которые перечислены в списках разрешений. Отдельный список разрешений будет содержать подсети IP-адресов, которые необходимы клиентам для запуска авторизованного программного обеспечения. Ключ к обеспечению масштабной работы внутри организации с быстро меняющимися потребностями. Эксперт по сетевой безопасности Ройс Уильямс (не имеющий отношения к Джейку Уильямсу) назвал это «своего рода двунаправленным API для уровня брандмауэра, так что вы можете как запускать действия брандмауэра (путем ввода *в* брандмауэр), так и запускать внешние действия на основе брандмауэра. состояние (выходные данные *от* брандмауэра). Таким образом, вместо того, чтобы заново изобретать колесо межсетевого экрана, если вы являетесь поставщиком AV-оборудования или кем-то еще, вы просто подключаетесь к WFP».