Dobre zdjęcia
Tłumaczenie czytelnych dla człowieka nazw domen na numeryczne adresy IP od dawna jest obarczone zagrożeniami bezpieczeństwa. W końcu wyszukiwania rzadko są szyfrowane od początku do końca. Serwery umożliwiające wyszukiwanie nazw domen zapewniają tłumaczenia dowolnego adresu IP — nawet jeśli wiadomo, że są one złośliwe. Wiele urządzeń użytkowników końcowych można łatwo skonfigurować tak, aby zaprzestały korzystania z autoryzowanych serwerów wyszukiwania i zamiast tego korzystały ze złośliwych.
Microsoft zaoferował w piątek zajrzeć W rozbudowanej strukturze system nazw domen (DNS) ma na celu uporządkowanie zamieszania, aby lepiej był zamknięty w sieciach Windows. Nazywa się to ZTDNS (DNS o zerowym zaufaniu). Jego dwie główne cechy to (1) szyfrowane i uwierzytelniane kryptograficznie połączenia między klientami użytkownika końcowego a serwerami DNS oraz (2) możliwość ścisłej kontroli domen rozpoznawanych przez te serwery przez administratorów.
Usuwanie min
Jednym z powodów, dla których DNS jest takim polem minowym bezpieczeństwa, jest to, że te dwie funkcje mogą się wzajemnie wykluczać. Dodanie uwierzytelniania kryptograficznego i szyfrowania do DNS często zaciemnia widoczność potrzebną administratorom, aby uniemożliwić urządzeniom użytkowników łączenie się ze złośliwymi domenami lub wykrywanie nietypowego zachowania w sieci. W rezultacie ruch DNS jest wysyłany w postaci zwykłego tekstu lub szyfrowany, aby umożliwić administratorom jego odszyfrowanie. Atak wroga w środku.
Administratorzy mają do wyboru równie nieprzyjemne opcje: (1) kieruj ruch DNS zwykłym tekstem, bez możliwości wzajemnego uwierzytelnienia serwera i urządzenia klienckiego, aby można było blokować złośliwe domeny i umożliwić monitorowanie sieci, lub (2) szyfrować i uwierzytelniaj ruch DNS, umożliwiając kontrolę domeny i sieci Usuń widoczność.
ZTDNS ma na celu rozwiązanie tego problemu sprzed kilkudziesięciu lat poprzez integrację silnika DNS systemu Windows, podstawowego składnika Zapory systemu Windows, z Zaporą systemu Windows bezpośrednio na urządzeniach klienckich.
Jake Williams, wiceprezes ds. badań i rozwoju w firmie doradczej Hunter Strategies, powiedział, że połączenie tych wcześniej odmiennych silników umożliwi aktualizacje Zapory systemu Windows dla poszczególnych nazw domen. W rezultacie powstał mechanizm, który umożliwia organizacjom informowanie klientów „używaj naszego serwera DNS, używa on protokołu TLS i rozpoznaje tylko niektóre domeny”. Firma Microsoft nazywa ten serwer lub serwery DNS „bezpiecznym serwerem DNS”.
Domyślnie zapora odrzuca rozwiązania dla wszystkich domen z wyjątkiem tych wymienionych na białych listach. Oddzielna biała lista zawiera podsieci adresów IP, w których klienci muszą uruchamiać autoryzowane oprogramowanie. Kluczem do wykonania tej pracy jest praca w organizacji o szybko zmieniających się potrzebach. Ekspert ds. bezpieczeństwa sieci Royce Williams (niespokrewniony z Jake’em Williamsem) nazwał to „dwukierunkowym interfejsem API dla warstwy zapory ogniowej, dzięki czemu można zarówno wyzwalać działania zapory (poprzez dane wejściowe *do* zapory), jak i wyzwalać działania zewnętrzne w oparciu o zaporę. status (* wyjście z zapory). Zamiast więc wymyślać na nowo koło firewall, niezależnie od tego, czy jesteś dostawcą AV czy kimkolwiek innym, dołączasz do WFP.
